BEX-Fehler der Data Execution Prevention (DEP)?

karnin · Post by *karnin » 2016-01-05, 07:35 UTC

Hallo,
auf einem Win2008R2-Enterprise-Server gab es jüngst einen BEX-Error, siehe beigefügtes Log.
Der Fehler trat auf, als ein Verzeichnis auf einem eingebundenen Netzlaufwerk via Rechtsklick umbenannt werden sollte.
Nach Neustart nur des TC funktionierte es dann...

Sind Inkompatibilitäten mit aktivierter DEP bekannt?

Evt. Zusammenhang mit http://ghisler.ch/board/viewtopic.php?t=43228 ?

Log:

Code: Select all

Version=1
EventType=BEX
EventTime=130964520050848321
ReportType=2
Consent=1
ReportIdentifier=bd583095-b37c-11e5-a367-001e67a318d2
IntegratorReportIdentifier=bd583094-b37c-11e5-a367-001e67a318d2
WOW64=1
Response.type=4
Sig[0].Name=Anwendungsname
Sig[0].Value=TOTALCMD.EXE
Sig[1].Name=Anwendungsversion
Sig[1].Value=8.5.2.1
Sig[2].Name=Anwendungszeitstempel
Sig[2].Value=2a425e19
Sig[3].Name=Fehlermodulname
Sig[3].Value=SearchFolder.dll
Sig[4].Name=Fehlermodulversion
Sig[4].Value=6.1.7601.17514
Sig[5].Name=Fehlermodulzeitstempel
Sig[5].Value=4ce7b9c8
Sig[6].Name=Ausnahmeoffset
Sig[6].Value=00001600
Sig[7].Name=Ausnahmecode
Sig[7].Value=c0000005
Sig[8].Name=Ausnahmedaten
Sig[8].Value=00000008
DynamicSig[1].Name=Betriebsystemversion
DynamicSig[1].Value=6.1.7601.2.1.0.18.10
DynamicSig[2].Name=Gebietsschema-ID
DynamicSig[2].Value=1031
DynamicSig[22].Name=Zusatzinformation 1
DynamicSig[22].Value=0a9e
DynamicSig[23].Name=Zusatzinformation 2
DynamicSig[23].Value=0a9e372d3b4ad19135b953a78882e789
DynamicSig[24].Name=Zusatzinformation 3
DynamicSig[24].Value=0a9e
DynamicSig[25].Name=Zusatzinformation 4
DynamicSig[25].Value=0a9e372d3b4ad19135b953a78882e789
UI[2]=C:\Program Files\Totalcmd\TOTALCMD.EXE
UI[3]=Total Commander 32 bit funktioniert nicht mehr
UI[4]=Windows kann online nach einer Lösung für das Problem suchen.
UI[5]=Online nach einer Lösung suchen und das Programm schließen
UI[6]=Später online nach einer Lösung suchen und das Programm schließen
UI[7]=Programm schließen
LoadedModule[0]=C:\Program Files\Totalcmd\TOTALCMD.EXE
LoadedModule[1]=C:\Windows\SysWOW64\ntdll.dll
LoadedModule[2]=C:\Windows\syswow64\kernel32.dll
LoadedModule[3]=C:\Windows\syswow64\KERNELBASE.dll
LoadedModule[4]=C:\Windows\system32\tsappcmp.dll
LoadedModule[5]=C:\Windows\syswow64\msvcrt.dll
LoadedModule[6]=C:\Windows\syswow64\USER32.dll
LoadedModule[7]=C:\Windows\syswow64\GDI32.dll
LoadedModule[8]=C:\Windows\syswow64\LPK.dll
LoadedModule[9]=C:\Windows\syswow64\USP10.dll
LoadedModule[10]=C:\Windows\syswow64\ADVAPI32.dll
LoadedModule[11]=C:\Windows\SysWOW64\sechost.dll
LoadedModule[12]=C:\Windows\syswow64\RPCRT4.dll
LoadedModule[13]=C:\Windows\syswow64\SspiCli.dll
LoadedModule[14]=C:\Windows\syswow64\CRYPTBASE.dll
LoadedModule[15]=C:\Windows\syswow64\ole32.dll
LoadedModule[16]=C:\Windows\system32\IMM32.DLL
LoadedModule[17]=C:\Windows\syswow64\MSCTF.dll
LoadedModule[18]=C:\Windows\system32\mpr.dll
LoadedModule[19]=C:\Windows\system32\version.dll
LoadedModule[20]=C:\Windows\syswow64\shell32.dll
LoadedModule[21]=C:\Windows\syswow64\SHLWAPI.dll
LoadedModule[22]=C:\Windows\system32\winmm.dll
LoadedModule[23]=C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d\comctl32.dll
LoadedModule[24]=C:\Windows\system32\winspool.drv
LoadedModule[25]=C:\Windows\syswow64\comdlg32.dll
LoadedModule[26]=C:\Windows\system32\UxTheme.dll
LoadedModule[27]=C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_5.82.7601.18837_none_ec86b8d6858ec0bc\comctl32.dll
LoadedModule[28]=C:\Windows\syswow64\OLEAUT32.dll
LoadedModule[29]=C:\Windows\syswow64\SETUPAPI.dll
LoadedModule[30]=C:\Windows\syswow64\CFGMGR32.dll
LoadedModule[31]=C:\Windows\syswow64\DEVOBJ.dll
LoadedModule[32]=C:\Windows\syswow64\profapi.dll
LoadedModule[33]=C:\Windows\system32\WindowsCodecs.dll
LoadedModule[34]=C:\Windows\system32\apphelp.dll
LoadedModule[35]=C:\Windows\syswow64\CLBCatQ.DLL
LoadedModule[36]=C:\Windows\system32\EhStorShell.dll
LoadedModule[37]=C:\Windows\system32\PROPSYS.dll
LoadedModule[38]=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 3\shellex.dll
LoadedModule[39]=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 3\MSVCP100.dll
LoadedModule[40]=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 3\MSVCR100.dll
LoadedModule[41]=C:\Windows\syswow64\api-ms-win-downlevel-advapi32-l1-1-0.dll
LoadedModule[42]=C:\Windows\system32\ntshrui.dll
LoadedModule[43]=C:\Windows\system32\srvcli.dll
LoadedModule[44]=C:\Windows\system32\cscapi.dll
LoadedModule[45]=C:\Windows\system32\slc.dll
LoadedModule[46]=C:\Windows\System32\drprov.dll
LoadedModule[47]=C:\Windows\System32\WINSTA.dll
LoadedModule[48]=C:\Windows\System32\ntlanman.dll
LoadedModule[49]=C:\Windows\System32\davclnt.dll
LoadedModule[50]=C:\Windows\System32\DAVHLPR.dll
LoadedModule[51]=C:\Windows\system32\NETPLWIZ.dll
LoadedModule[52]=C:\Windows\system32\credui.dll
LoadedModule[53]=C:\Windows\system32\DUser.dll
LoadedModule[54]=C:\Windows\system32\dwmapi.dll
LoadedModule[55]=C:\Windows\system32\OLEACC.dll
LoadedModule[56]=C:\Windows\system32\netutils.dll
LoadedModule[57]=C:\Windows\system32\wkscli.dll
LoadedModule[58]=C:\Windows\system32\explorerframe.dll
LoadedModule[59]=C:\Windows\system32\DUI70.dll
LoadedModule[60]=C:\Windows\system32\NetworkExplorer.dll
LoadedModule[61]=C:\Windows\system32\NetworkItemFactory.dll
LoadedModule[62]=C:\Windows\system32\CRYPTSP.dll
LoadedModule[63]=C:\Windows\system32\rsaenh.dll
LoadedModule[64]=C:\Windows\system32\RpcRtRemote.dll
LoadedModule[65]=C:\Windows\System32\npmproxy.dll
LoadedModule[66]=C:\Windows\SysWOW64\FunDisc.dll
LoadedModule[67]=C:\Windows\SysWOW64\ATL.DLL
LoadedModule[68]=C:\Windows\System32\msxml6.dll
LoadedModule[69]=C:\Windows\System32\bcrypt.dll
LoadedModule[70]=C:\Windows\SysWOW64\fdproxy.dll
LoadedModule[71]=C:\Windows\SysWOW64\fdWNet.dll
LoadedModule[72]=C:\Windows\SysWOW64\IPHLPAPI.DLL
LoadedModule[73]=C:\Windows\syswow64\NSI.dll
LoadedModule[74]=C:\Windows\SysWOW64\WINNSI.DLL
LoadedModule[75]=C:\Windows\syswow64\WS2_32.dll
LoadedModule[76]=C:\Windows\system32\dfscli.dll
LoadedModule[77]=C:\Windows\system32\dtsh.dll
LoadedModule[78]=C:\Windows\system32\FirewallAPI.dll
LoadedModule[79]=C:\Windows\system32\browcli.dll
LoadedModule[80]=C:\Windows\system32\wbem\wbemprox.dll
LoadedModule[81]=C:\Windows\system32\wbemcomn.dll
LoadedModule[82]=C:\Windows\system32\wbem\wbemsvc.dll
LoadedModule[83]=C:\Windows\system32\wbem\fastprox.dll
LoadedModule[84]=C:\Windows\system32\NTDSAPI.dll
LoadedModule[85]=C:\Windows\system32\mswsock.dll
LoadedModule[86]=C:\Windows\System32\wshtcpip.dll
LoadedModule[87]=C:\Windows\System32\wship6.dll
LoadedModule[88]=C:\Windows\system32\DNSAPI.dll
LoadedModule[89]=C:\Windows\system32\rasadhlp.dll
LoadedModule[90]=C:\Windows\System32\fwpuclnt.dll
LoadedModule[91]=C:\Windows\system32\dhcpcsvc6.DLL
LoadedModule[92]=C:\Windows\system32\dhcpcsvc.DLL
LoadedModule[93]=C:\Program Files (x86)\Internet Explorer\ieproxy.dll
LoadedModule[94]=C:\Windows\syswow64\api-ms-win-downlevel-shlwapi-l1-1-0.dll
LoadedModule[95]=C:\Windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
LoadedModule[96]=C:\Windows\system32\prnfldr.dll
LoadedModule[97]=C:\Windows\SysWOW64\urlmon.dll
LoadedModule[98]=C:\Windows\syswow64\api-ms-win-downlevel-ole32-l1-1-0.dll
LoadedModule[99]=C:\Windows\syswow64\api-ms-win-downlevel-user32-l1-1-0.dll
LoadedModule[100]=C:\Windows\syswow64\api-ms-win-downlevel-version-l1-1-0.dll
LoadedModule[101]=C:\Windows\syswow64\api-ms-win-downlevel-normaliz-l1-1-0.dll
LoadedModule[102]=C:\Windows\syswow64\normaliz.DLL
LoadedModule[103]=C:\Windows\syswow64\iertutil.dll
LoadedModule[104]=C:\Windows\syswow64\WININET.dll
LoadedModule[105]=C:\Windows\syswow64\USERENV.dll
LoadedModule[106]=C:\Windows\system32\Secur32.dll
LoadedModule[107]=C:\Windows\system32\SHDOCVW.dll
LoadedModule[108]=C:\Windows\syswow64\WINTRUST.dll
LoadedModule[109]=C:\Windows\syswow64\CRYPT32.dll
LoadedModule[110]=C:\Windows\syswow64\MSASN1.dll
LoadedModule[111]=C:\Windows\syswow64\imagehlp.dll
LoadedModule[112]=C:\Windows\system32\ncrypt.dll
LoadedModule[113]=C:\Windows\SysWOW64\bcryptprimitives.dll
LoadedModule[114]=C:\Windows\system32\GPAPI.dll
LoadedModule[115]=C:\Windows\system32\cryptnet.dll
LoadedModule[116]=C:\Windows\syswow64\WLDAP32.dll
LoadedModule[117]=C:\Windows\system32\SensApi.dll
LoadedModule[118]=C:\Windows\system32\WINHTTP.dll
LoadedModule[119]=C:\Windows\system32\webio.dll
LoadedModule[120]=C:\Windows\system32\credssp.dll
LoadedModule[121]=C:\Program Files\Totalcmd\wcmzip32.dll
LoadedModule[122]=C:\Windows\system32\cabinet.dll
LoadedModule[123]=C:\Program Files\Totalcmd\plugins\wlx\ulister\ulister.wlx
LoadedModule[124]=C:\Windows\system32\LINKINFO.dll
LoadedModule[125]=C:\Windows\System32\cscobj.dll
LoadedModule[126]=C:\Program Files\WinRAR\rarext32.dll
LoadedModule[127]=C:\Windows\SysWOW64\StartMenuHelper32.dll
LoadedModule[128]=C:\Windows\system32\SearchFolder.dll
LoadedModule[129]=C:\Windows\system32\syncui.dll
LoadedModule[130]=C:\Windows\system32\SYNCENG.dll
LoadedModule[131]=C:\Windows\system32\twext.dll
LoadedModule[132]=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 3\prremote.dll
LoadedModule[133]=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 3\prloader.dll
LoadedModule[134]=C:\Windows\system32\ntmarta.dll
LoadedModule[135]=C:\Windows\SysWOW64\thumbcache.dll
LoadedModule[136]=C:\Windows\syswow64\PSAPI.DLL
LoadedModule[137]=C:\Windows\system32\XmlLite.dll
LoadedModule[138]=C:\Windows\system32\PortableDeviceApi.dll
LoadedModule[139]=C:\Windows\system32\EhStorAPI.dll
FriendlyEventName=Nicht mehr funktionsfähig
ConsentKey=BEX
AppName=Total Commander 32 bit
AppPath=C:\Program Files\Totalcmd\TOTALCMD.EXE

Horst.Epp · Post by *Horst.Epp » 2016-01-05, 08:56 UTC

Bei dieser Liste von geladenen Modulen ist es der TC wohl nur an Stelle 999

Vor allen Dingen wenn es nachher dann geht.
Da dürfte wohl eher Kapersky der verdächtige sein.

Dalai · Post by *Dalai » 2016-01-05, 12:57 UTC

Der Rechtsklick riecht mir schon wieder nach Shell Extensions, die inkompatibel - oder zumindest ungetestet - mit allem sind außer Explorer. Dazu gibt es bereits jede Menge Diskussionsthemen hier im Forum, auch wie man sie mit ShellExView deaktivieren kann, um den Schuldigen herauszufinden.

MfG Dalai

Post by *ghisler(Author) » 2016-01-07, 10:04 UTC

Laut dem Log trat das Problem in der Windows-Library SearchFolder.dll auf:
Sig[3].Name=Fehlermodulname
Sig[3].Value=SearchFolder.dll

Total Commander benutzt diese nicht selbst. Es liegt also entweder an einer Explorererweiterung, oder an einem Plugin, welches die SearchFolder.dll benutzt.

karnin · Post by *karnin » 2016-01-11, 10:20 UTC

Hmmm,
die SearchFolder.dll ist eine Windows-Systemdatei:
c:\Windows\System32\SearchFolder.dll 867.840 21.11.2010 04:24 -a--
c:\Windows\SysWOW64\SearchFolder.dll 646.144 21.11.2010 04:23 -a--

Von dieser Datei dürfte ein BEX-fehler damit eher nicht ausgelöst werden.

Als TC-Plugin ist lediglich uLister.ulx installiert.
Als Explorer-Plugins sind WinRAR und KasperskySOS installiert.

Ob diese die SearchFolder.dll nutzen, weiß ich leider nicht!?

Gruß!

Post by *ghisler(Author) » 2016-01-11, 10:28 UTC

Sie könnten das Lister-Plugin "fileinfo" installieren - wenn Sie damit eine Plugin-Datei oder Explorer-Erweiterung mit F3 öffnen, können Sie sehen, welche DLLs dieses Plugin verwendet.

uLister habe ich überprüft, das benutzt keine SearchFolder.dll. In WinRAR5 kann ich auch keinen Hinweis darauf finden. Bleibt noch KasperskySOS.

Sie können auch die normale Suchen-Funktion verwenden, und nach dem String KasperskySOS in ANSI und UTF-16 suchen.