Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 10056 views
  • Users 0 members are here
Options
Suggested

[8.930][ANSWERED] Unknown error 0x80070057 sophos endpoint

wingman
Hi All

I've set my endpoint to perform weekly scans and checking the log today I've noticed the following:

****************** Sophos Anti-Virus Log - 25/04/2012 07:51:16 **************

20120419 200000	Scan 'Scanner Profile' started.
20120419 200701	Unknown error 0x80070057 decomposing "".
      (2 items)


Other users reported this to the sophos community as well 

Unfortunately I don't have any internal address/filename  next to the decomposing  statement as per URL above

According to Sophos AutoUpdate: Sophos AutoUpdate error codes
the error is : One or more arguments are invalid (not sure if this applies as it's different product version)


Thanks
  • 0
    Hi wingman,

    I've forwarded this issue/question. Hopefully I'll have an answer for you soon.
  • 0
    Hi wingman,

    Here's the answer we have so far:
    "This is not a SAVI error, in fact the error code 0x80070057 is a Win32 error code. The error message shown in the screenshot is generated by SAV when we fail decompose an item during either an on-demand file or rootkit scan. This looks like something may have gone wrong in our code but I couldn’t tell you any more without taking a look at the issue properly."

    Bottom line, we need your help to track down this bug. Can you reproduce this issue? We'd like to tell you how to enable debug logging, as just the current logs aren't enough to pin point the issue.
  • 0
    Happy to assist further to nail this down. Let me know how to enable debug logging and I will try to reproduce the issue
  • 0
    I've set the logging level to verbose and I will try to reproduce
  • 0
    Hi wingman,

    Here's the response I have:
    "Instructions for turning on debug logging for SAVService are as follows:
    1. Stop the Sophos Anti-Virus service, if started as an account other than Local Service.
    2. Add a registry DWORD value called Debug to HKLM\SOFTWARE\Sophos\SAVService\Application , set the value of this new item to 1.
    3. Take a backup of the file:
    C:\documents and settings\All Users\Application Data\Sophos\Sophos Anti-Virus\Config\factory.xml (C:\ProgramData\Sophos\Sophos Anti-Virus\Config\factory.xml on Vista and later)
    4. Rename C:\documents and settings\All Users\Application Data\Sophos\Sophos Anti-Virus\logs\SAV.TXT to SAV.OLD (C:\ProgramData\Sophos\Sophos Anti-Virus\ logs\SAV.TXT on Vista and later)
    5. Open factory.xml in Notepad from C:\documents and settings\All Users\Application Data\Sophos\Sophos Anti-Virus\Config
    6. Find a section with the following:

    40

    Change this to the following:

    0

    NOTE: LogLevel is the master filter, setting this to 0 allows the individual logging components under Savservice to log to that level. If you set LogLevel to 100, no component will be able to log any data at all, even if you add Debug and set it to 0.
    7. Search the Factory.xml file for the following line:
    Sophos\Sophos Anti-Virus\logs\SAV.txt
    8. In the  section below the location found in point 6, insert the following line:
    0

    NOTE: If the log file grows too quickly and is unmanagable then you may use a higher log level, this should keep most of the essential information, . Set Debug to 30 for higher level logging.

    Example:


    70
    70
    60
    70
    60
    70
    60
    70
    70
    70
    0


    9. Save Factory.xml, restart the Sophos Anti-Virus service.
    Note: with these settings, the SAV.txt file will grow to a large size very quickly.
    Once this has been set up, could the customer reproduce the issue and send us a copy of the SAV.txt log file which should now contain significantly more information.

    To disable logging once the test is complete: 

    Change the registry value called Debug at HKLM\SOFTWARE\Sophos\SAVService\Application
    Set the value of this new item to 0.
    "
  • 0
    I am not able to find HKLM\SOFTWARE\Sophos.. (I am running 64 bit version)

    It seems that the correct key is  
    HKLM\SOFTWARE\Wow6432Node\sophos



    Also what is the point of 
     7.	Search the Factory.xml file for the following line:

    Sophos\Sophos Anti-Virus\logs\SAV.txt


    if we are not using it?I've assumed that you refer to section 7 on the next step and not step 6 


    8.	In the  section below the location found in point 7, insert the following line:

    0
  • 0
    I have enabled debugging and once the issue is reproducible I will let you know
  • 0
    I've just completed the scan and the only recursive error I could find is below (I didn't get that error message this time but I will keep checking for it)

    20120427 142422	Debug: Begin ItemProcessed() (File: .\ProgressAdapter.cpp, Line: 423)
    20120427 142422	Debug: Begin CheckThis() (File: .\FileAttributeFilter.cpp, Line: 133)
    20120427 142422	Debug: End CheckThis() (File: .\FileAttributeFilter.cpp, Line: 176)
    20120427 142422	Debug: [800706ba] The ItemProcessed callback returned an error (File: .\ProgressAdapter.cpp, Line: 436)
    20120427 142422	Debug: Not Found in exclusions list (DECISION_UNKNOWN). (File: .\ExclusionFilterProcessor.cpp, Line: 1323)
    20120427 142422	Debug: Begin ItemProcessed() (File: .\ProgressAdapter.cpp, Line: 423)
    20120427 142422	Debug: Begin CheckThis() (File: .\VirusEngineAdapter.cpp, Line: 557)
  • 0
    more errors

    20120428 010120	Debug: [a0040229] CEngineManager::Scan - Call to engine->Check(ScannableNode) returned an error code. Attempting to continue. (File: .\EngineManagement.cpp, Line: 229)
    20120428 010120	Debug: End ICManager::CheckFile (File: .\ICManager-IICFilterHandler.cpp, Line: 166)
    20120428 010120	Debug: Begin ICManager::CheckFile (File: .\ICManager-IICFilterHandler.cpp, Line: 90)
    20120428 010120	Debug: Begin CScannableNodeFactory::CreateScannableNode (File: .\ScannableNodeFactory.cpp, Line: 50)
    20120428 010120	Debug: End CScannableNodeFactory::CreateScannableNode (File: .\ScannableNodeFactory.cpp, Line: 145)
    20120428 010120	Scanning "C:\Users\wingman\AppData\Roaming\Apple Computer\Ubiquity\peer-BF29E2CB-7682-4FE6-B26E-8E76AB64A1D5-v23\.cs\ChunkStoreDatabase" returned SAV Interface error 0xa0040202: Scan failed.
    20120428 010120	Debug: [a0040229] CEngineManager::Scan - Call to engine->Check(ScannableNode) returned an error code. Attempting to continue. (File: .\EngineManagement.cpp, Line: 229)
    20120428 010120	Debug: End ICManager::CheckFile (File: .\ICManager-IICFilterHandler.cpp, Line: 166)



    20120427 142428	Debug: Begin ScanIdle() (File: .\ProgressAdapter.cpp, Line: 479)
    20120427 142428	Debug: [800706ba] The ScanIdle callback returned an error (File: .\ProgressAdapter.cpp, Line: 488)
    20120427 142428	Debug: End ScanIdle() (File: .\ProgressAdapter.cpp, Line: 491)
    20120427 142428	Debug: Begin ScanIdle() (File: .\ProgressAdapter.cpp, Line: 479)
    20120427 142428	Debug: [800706ba] The ScanIdle callback returned an error (File: .\ProgressAdapter.cpp, Line: 488)
    20120427 142428	Debug: End ScanIdle() (File: .\ProgressAdapter.cpp, Line: 491)
    20120427 142428	Debug: Begin ScanIdle() (File: .\ProgressAdapter.cpp, Line: 479)


    20120427 142427	Debug: Begin ScanCompleted() (File: .\ProgressAdapter.cpp, Line: 268)
    20120427 142427	Debug: [800706ba] The ScanCompleted callback returned an error (File: .\ProgressAdapter.cpp, Line: 277)
    20120427 142427	Debug: End ScanCompleted() (File: .\ProgressAdapter.cpp, Line: 280)
    20120427 142427	Debug: Begin ScanCompleted() (File: .\ProgressAdapter.cpp, Line: 268)
    20120427 142427	Debug: [800706ba] The ScanCompleted callback returned an error (File: .\ProgressAdapter.cpp, Line: 277)


    20120427 142427	Debug: Begin PercentageDone() (File: .\ProgressAdapter.cpp, Line: 451)
    20120427 142427	Debug: [800706ba] The PercentageDone callback returned an error (File: .\ProgressAdapter.cpp, Line: 464)
    20120427 142427	Debug: End PercentageDone() (File: .\ProgressAdapter.cpp, Line: 468)
    20120427 142427	Debug: Begin PercentageDone() (File: .\ProgressAdapter.cpp, Line: 451)
    20120427 142427	Debug: [800706ba] The PercentageDone callback returned an error (File: .\ProgressAdapter.cpp, Line: 464)
    20120427 142427	Debug: End PercentageDone() (File: .\ProgressAdapter.cpp, Line: 468)
Unfiltered HTML