Skocz do zawartości

Bardzo długie zamykanie systemu - UPHClean nie pomaga


Rekomendowane odpowiedzi

System XP prof SP3

System zamyka się bardzo długo - za każdym razem komunikat "System Windows zapisał rejestr użytkownika ANIA\User, kiedy aplikacja lub usługa nadal użytkowała rejestr podczas wylogowania. Pamięć używana przez rejestr użytkownika nie została zwolniona. Rejestr zostanie zwolniony, kiedy nie będzie używany."

 

Zainstalowanie UPHClean jeszcze pogarsza sytuację, zamykanie systemu trwa jeszcze dłużej, w podglądzie zdarzeń pojawiają sie komunikaty:Nie można znaleźć opisu dla identyfikatora zdarzenia ( 1001 ) w źródle ( UPHClean ). Być może komputer lokalny nie ma wymaganych informacji rejestru lub plików DLL potrzebnych do wyświetlania komunikatów z komputera zdalnego. Możesz użyć flagi /AUXSOURCE= do pobrania tego opisu; więcej informacji można znaleźć w Pomocy i obsłudze technicznej. Następujące informacje są częścią zdarzenia: 1.6.36.0.

 

Problem jest denerwujący, gdyż zamykanie systemu potrafi trwać nawet 10 minut. Jak dojść, który program powoduje problemy ? Nie antywirus, gdyż po wyłączeniu automatycznego uruchamiania Kasperskiego problem jest nadal

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Przepraszam za długi czas odpowiedzi, ale niespodziewanie musiałam wyjechać. Załączam logi o które prosiła Picasso. Dodatkowo pomyślałam, że wyślę spakowany katalog minidump - sama tego nie odczytam. Laptop się często resetuje (myślę nawet o założeniu kolejnego tematu) - może ma to coś wspólnego z tym długim zamykaniem

 

dziennik zdarzeń: http://www.sendspace.pl/file/68e72ebd5ab78d212e3d111

minidump: http://www.sendspace.pl/file/f15329a258702141f26d0f5

OTL.Txt

Extras.Txt

Odnośnik do komentarza

Obawiam się, że za wszystko ponosi winę Kaspersky i należy wykonać test jak zachowuje się system pozbawiony całkowicie tej aplikacji. Oceniając dostarczony materiał:

 

1. Dzienniki zdarzeń: od góry do dołu wytapetowane tym błędem z odładowaniem rejestru. Wyszukałam zdarzenia nagrywane przez UPHClean, chodzi o te z numerem 1201. Narzędzie zgłasza, że rejestr przetrzymuje proces Kasperskiego:

 

Event ID: 1201

 

The description for Event ID ( 1201 ) in Source ( UPHClean ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description; see Help and Support for details.

 

The following information is part of the event: ANIA\User, S-1-5-21-1123561945-1580436667-1417001333-1003, avp.exe (1344)

HKCU (0x47ec)

UPHClean nagrało ponad 130 zdarzeń tego rodzaju, a wszystkie punktują ten sam proces avp.exe, czyli usługę:

 

SRV - [2010-11-02 22:06:06 | 000,365,336 | ---- | M] (Kaspersky Lab ZAO) [Auto | Running] -- D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe -- (AVP)

 

2. BSODy różne i dla mnie nic z tego konkretnego nie wynika, choć owszem wystąpiły tu incydenty ze sterownikiem KIS (klif.sys):

 

 

 

Mini032011-01.dmp 2011-03-20 14:46:31 UNEXPECTED_KERNEL_MODE_TRAP 0x1000007f 0x00000008 0xba338d70 0x00000000 0x00000000 portcls.sys portcls.sys+10632

Mini031711-01.dmp 2011-03-17 15:00:33 THREAD_STUCK_IN_DEVICE_DRIVER 0x100000ea 0x89c1e340 0x8a305ce0 0xba4e7cbc 0x00000001 ntoskrnl.exe ntoskrnl.exe+6e9b6

Mini022311-01.dmp 2011-02-23 17:14:38 DRIVER_IRQL_NOT_LESS_OR_EQUAL 0x100000d1 0x00000000 0x00000002 0x00000001 0xb85f0a6a psched.sys psched.sys+7a6a

Mini012511-01.dmp 2011-01-25 14:21:55 PFN_LIST_CORRUPT 0x0000004e 0x0000008f 0x000d507b 0x00087dbb 0x00000000 ntoskrnl.exe ntoskrnl.exe+22f43

Mini011411-01.dmp 2011-01-14 13:22:34 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0xa2b4331a 0xa27b9c1c 0x00000000 klif.sys klif.sys+2631a

Mini010511-01.dmp 2011-01-05 18:02:49 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc000001d 0xa2ad2797 0xa13fd9bc 0x00000000 afd.sys afd.sys+10797

Mini123010-01.dmp 2010-12-30 00:32:08 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xfffffff9 0x00000000 0x8054b51a 0x00000000 ntoskrnl.exe ntoskrnl.exe+7451a

Mini122910-01.dmp 2010-12-29 16:42:27 NTFS_FILE_SYSTEM 0x00000024 0x001902fe 0xa25c9eb4 0xa25c9bb0 0xb9d9ab4c Ntfs.sys Ntfs.sys+24b4c

Mini122110-01.dmp 2010-12-21 20:04:40 DRIVER_IRQL_NOT_LESS_OR_EQUAL 0x100000d1 0x9641d569 0x00000002 0x00000000 0xb8607cdb ndiswan.sys ndiswan.sys+dcdb

Mini121710-01.dmp 2010-12-17 16:38:28 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xffffffd0 0x00000001 0xb9d977ea 0x00000000 Ntfs.sys Ntfs.sys+217ea

Mini121410-01.dmp 2010-12-14 22:24:09 UNEXPECTED_KERNEL_MODE_TRAP 0x1000007f 0x0000000d 0x00000000 0x00000000 0x00000000 tcpip.sys tcpip.sys+d23b

Mini112710-01.dmp 2010-11-27 21:13:24 IRQL_NOT_LESS_OR_EQUAL 0x1000000a 0x00000000 0x00000002 0x00000001 0x80522718 ntoskrnl.exe ntoskrnl.exe+4b718

Mini112310-01.dmp 2010-11-23 16:38:08 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0x805c5e58 0xa25004f4 0x00000000 ntoskrnl.exe ntoskrnl.exe+eee58

Mini111610-01.dmp 2010-11-16 09:08:32 ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY 0x000000fc 0xa21390bc 0x7e4e5963 0xa2139174 0x00000001 Ntfs.sys Ntfs.sys+575b

Mini111110-01.dmp 2010-11-11 18:23:20 NTFS_FILE_SYSTEM 0x00000024 0x001902fe 0xa0c683e8 0xa0c680e4 0xb9dcba20 Ntfs.sys Ntfs.sys+55a20

Mini110710-01.dmp 2010-11-07 17:47:28 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc000001d 0xbf836211 0xa1ef0f98 0x00000000 win32k.sys win32k.sys+36211

Mini110210-01.dmp 2010-11-02 09:14:03 UNEXPECTED_KERNEL_MODE_TRAP 0x1000007f 0x0000000d 0x00000000 0x00000000 0x00000000 ntoskrnl.exe ntoskrnl.exe+dc0ad

Mini103010-01.dmp 2010-10-30 18:36:30 IRQL_NOT_LESS_OR_EQUAL 0x1000000a 0x00000000 0x00000002 0x00000001 0x80522718 ntoskrnl.exe ntoskrnl.exe+4b718

Mini101810-03.dmp 2010-10-18 21:49:47 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x8928a648 0x89b6e668 0x89adc838 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini101810-02.dmp 2010-10-18 21:09:17 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x89beb8c0 0x89e16da0 0x89abfc58 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini101810-01.dmp 2010-10-18 20:54:14 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x8995cc48 0x89afb008 0x89b5dd80 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini101510-01.dmp 2010-10-14 22:04:17 IRQL_NOT_LESS_OR_EQUAL 0x1000000a 0xcd7310e8 0x00000002 0x00000001 0x8052226a ntoskrnl.exe ntoskrnl.exe+4b26a

Mini101210-01.dmp 2010-10-12 14:25:46 BAD_POOL_CALLER 0x000000c2 0x00000007 0x00000cd4 0x050402e1 0xe13ce3c7 ntoskrnl.exe ntoskrnl.exe+22f43

Mini101110-01.dmp 2010-10-11 09:31:15 NTFS_FILE_SYSTEM 0x00000024 0x00190292 0xa11aead0 0xa11ae7cc 0xb9d78f82 Ntfs.sys Ntfs.sys+25400

Mini083110-01.dmp 2010-08-31 14:02:31 DRIVER_PORTION_MUST_BE_NONPAGED 0x100000d3 0xbffb974c 0x0000001c 0x00000000 0x80502e37 iaStor.sys iaStor.sys+1da58

Mini073110-01.dmp 2010-07-31 19:12:15 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xe8574fa1 0x00000001 0x804ff7e8 0x00000002 hal.dll hal.dll+2ef2

Mini031110-01.dmp 2010-03-11 20:16:16 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0x805f723c 0xa12debd8 0x00000000 ntoskrnl.exe ntoskrnl.exe+12023c

Mini013110-01.dmp 2010-01-31 10:46:48 IRQL_NOT_LESS_OR_EQUAL 0x1000000a 0x00000000 0x0000001c 0x00000001 0x805023be klif.sys klif.sys+31901

Mini011410-01.dmp 2010-01-14 07:45:11 PAGE_FAULT_IN_NONPAGED_AREA 0x10000050 0xfffa2e1c 0x00000001 0xbf90962a 0x00000000 win32k.sys win32k.sys+10962a

Mini122409-01.dmp 2009-12-24 16:40:28 MEMORY_MANAGEMENT 0x0000001a 0x00041785 0xc0e00000 0x000b0d56 0x00000000 ntoskrnl.exe ntoskrnl.exe+22f43

Mini120609-01.dmp 2009-12-06 13:23:20 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc000001d 0xbf8160a5 0xb263e894 0x00000000 win32k.sys win32k.sys+160a5

Mini111809-01.dmp 2009-11-18 15:33:00 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0x33ee3c05 0xa1410694 0x00000000 win32k.sys win32k.sys+14326

Mini110109-01.dmp 2009-11-01 10:51:52 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0xbf47bdc3 0xa1fb86d4 0x00000000 igxpdx32.DLL igxpdx32.DLL+193dc3

Mini072709-01.dmp 2009-07-27 21:56:12 KERNEL_MODE_EXCEPTION_NOT_HANDLED 0x1000008e 0xc0000005 0x00e5e7ec 0xa241767c 0x00000000 klif.sys klif.sys+122a3

Mini052409-01.dmp 2009-05-24 13:47:38 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x8a49b838 0x8a512da0 0x8a386810 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini052309-01.dmp 2009-05-23 08:26:11 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x89c11b00 0x8afc7300 0x8a387a98 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini051009-01.dmp 2009-05-10 14:38:44 THREAD_STUCK_IN_DEVICE_DRIVER 0x000000ea 0x899fb410 0x8a3e91f8 0x8a42e0e0 0x00000001 igxpdv32.DLL igxpdv32.DLL+21619

Mini042309-01.dmp 2009-04-22 23:39:08 IRQL_NOT_LESS_OR_EQUAL 0x1000000a 0xd868ec08 0x00000002 0x00000001 0x805161fc ntoskrnl.exe ntoskrnl.exe+3f1fc

 

 

 

 

3. OTL = Było podpinane zainfekowane USB:

 

O33 - MountPoints2\{b9cc18a9-33d4-11de-84da-001d0961d77b}\Shell\AutoRun\command - "" = fnexsjs.exe

O33 - MountPoints2\{b9cc18a9-33d4-11de-84da-001d0961d77b}\Shell\explore\Command - "" = fnexsjs.exe

O33 - MountPoints2\{b9cc18a9-33d4-11de-84da-001d0961d77b}\Shell\open\Command - "" = fnexsjs.exe

O33 - MountPoints2\{bf798885-b001-11de-8574-001d0961d77b}\Shell\AutoRun\command - "" = F:\ClickMe.exe

O33 - MountPoints2\{c8b062e7-7b9b-11de-854b-001fe1dd38e7}\Shell - "" = AutoRun

O33 - MountPoints2\{c8b062e7-7b9b-11de-854b-001fe1dd38e7}\Shell\AutoRun\command - "" = D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explore.exe

Start > Uruchom > regedit > skasuj klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

Po restarcie odbuduje się w formie czystej.

 

 

Nie antywirus, gdyż po wyłączeniu automatycznego uruchamiania Kasperskiego problem jest nadal

 

To tylko Autostart. Nie jest możliwe przy takich programach doprowadzić do całkowitego wyłączenia (pozostają w formie aktywnej wszystkie sterowniki / usługi) i jedyny nie budzący wątpliwości test to odinstalowanie programu. I od tego rozpocznij. To ma być też test pod kątem BSOD.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...