Доброго времени.

При попытке просмотреть свойства wav-файла (http://rghost.ru/35102821) - система начинает что-то бесконечно и усердно обрабатывать. Перегружаются компоненты explorer.exe и dllhost.exe. Удалить файл можно с помощью нештатного файлового менеджера (total commaned например), перед этим нужно перезагрузить систему и не обращаться эксплорером к загадочному файлу. Загадочный файл можно воспроизвести плеером в системе, вирусного кода в нём нет (KIS 2012 с обновлениями). Такой wav получается из рендера программы FL Studio. Проблема появилась у брата (Windows 7 x32), перекинул файл к себе (Windows 7 SP1 x64) - ситуация не меняется.

Спасибо за любую полезную информацию.

Перегружаются компоненты explorer.exe и dllhost.exe
Поищите (и выложите) свежие MDMP-файлы (дампы процессов после сбоя) во вложенных папках C:\ProgramData\Microsoft\Windows\WER\ReportQueue (смотрите по дате/времени).

Поиском не удаётся найти MDMP-файлы в той папке. Вот всё (http://s1.ipicture.ru/uploads/20111217/H58jJzcV.jpg) что там есть.

Скачайте утилиту ProcDump (http://technet.microsoft.com/en-us/sysinternals/dd996900) и распакуйте в отдельную папку, типа C:\ProcDump
Запустите командную строку (cmd.exe) от имени Администратора (http://oszone.net/4331/#5) и выполните:
C:\ProcDump\procdump.exe -accepteula -e explorer.exe C:\ProcDump
C:\ProcDump\procdump.exe -accepteula -e -w dllhost.exe C:\ProcDump
Спровоцируйте сбой процессов.
Выложите сохраненные дампы из папки C:\ProcDump в архиве на любой файлообменник.

Следуя инструкциям у меня почему-то не создаётся файл дампа:
C:\Users\vulcan>C:\ProcDump\procdump.exe -accepteula -e explorer.exe C:\ProcDump


ProcDump v4.0 - Writes process dump files
Copyright (C) 2009-2011 Mark Russinovich
Sysinternals - www.sysinternals.com

Process: explorer.exe (1720)
CPU threshold: n/a
Performance counter: n/a
Commit threshold: n/a
Threshold seconds: n/a
Number of dumps: 1
Hung window check: Disabled
Exception monitor: Unhandled
Terminate monitor: Disabled
Dump file: C:\ProcDump\explorer.dmp


Press Ctrl-C to end monitoring without terminating the process.
Запускал команды перед и после "спровоцированного сбоя процессов". С dllhost.exe аналогично. В папке C:\ProcDump\ на протяжении всего времени появляется только procdump64.exe.
Cmd.exe запущен от Администратора, UAC отключен, KIS отключал. Вот лог (http://rghost.ru/35502871) от утилиты Process Monitor (http://www.google.ru/url?sa=t&rct=j&q=process%20monitor&source=web&cd=1&sqi=2&ved=0CCkQFjAA&url=http%3A%2F%2Ftechnet.microsoft.com%2Fru-ru%2Fsysinternals%2Fbb896645&ei=_fvvTufDBIHtObHfoa0I&usg=AFQjCNEH0r9TQPqVjPZgVACfw6LCEZJDvQ). Понимаю так, что ProcDump (http://technet.microsoft.com/en-us/sysinternals/dd996900) фиксирует именно сбои программ. primary purpose is monitoring an application for CPU spikes and generating crash dumps А в данном случае, предположу, что даже какой-нибудь намёк не будет занесён в журналы событий, т.к. фактически сбоя нет, только "утечка".

Peutrov, к сожалению, Process Monitor в 32-битной системе (у меня) не может открыть PML-лог, сделанный в 64-битной (у вас).

Попробуйте с помощью ShellExView (http://www.nirsoft.net/utils/shexview.html) отключить сторонние (не Microsoft) элементы (правой кнопкой мыши -> Disable Selected Items) и перезагрузиться.
Если не поможет, включите обратно.

Отключил всё кроме Microsoft. Но после перезагрузки системы в контекстное меню AIMP всё же просочился. Полагаю, что он не влияет на проблему, т.к. на компьютере с х32 системой этого проигрывателя не было и нет. Вот лог (http://rghost.ru/35543164) из х32 системы.

Peutrov, чтение файла инициируется системной библиотекой mf.dll (относится к Microsoft Media Foundation). Читаются одни и те же фрагменты:
Offset: 51978664 Length: 16384
Offset: 52016790 Length: 34

Есть хотфикс KB976417 (http://support.microsoft.com/kb/976417/en-us) (но он старый и не установится на вашей системе).

Спасибо большое.
Почему он старый? Не могу скачать его со страницы microsoft. Правда, можно скачать с других сайтов (http://www.google.ru/#sclient=psy-ab&hl=ru&newwindow=1&site=&source=hp&q=KB976417&pbx=1&oq=KB976417&aq=f&aqi=&aql=1&gs_sm=e&gs_upl=389l1438l0l1647l3l2l1l0l0l0l617l617l5-1l2l0&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=cfea70a0f73738e4&biw=1024&bih=646)..

Почему он старый?
Потому что вышел до SP1 (и на систему с SP1 не встанет).

Жутко. Значит, видимо, проблему не решить? От чего зависит - размера wav файла?

Peutrov, поскольку это ошибка в системной библиотеке, разумно обратиться в службу технической поддержки корпорации Microsoft :)

что ж я сразу туда не обратился : )