mars Opublikowano 3 Maja 2012 Zgłoś Udostępnij Opublikowano 3 Maja 2012 Pierwsze symptomy były takie, że czasem jak włączałem laptopa to następowoło sprawdzanie poprawności dysku mimo że pamiętałem, że system został poprawnie zamknięty. Następnie kilka razy zdarzyły się Blue Screeny. W końcu jeden raz nie udało się w ogóle uruchomić systemu, ale po przywróceniu systemu do stanu ostatniej kopii zapasowej, udało się go jednak uruchomić. Ale nadal co jakiś czas powtarzają się BSoD. Inne niepokojące symptopy to: - Co jakiś czas występuje awaryjne zamknięcie Mozilli Firefox (przeinstalowanie jej nie pomogło) - Raz miałem błąd z sdiagnhost.exe, ale nie pamiętam dokładnie treści, było coś w stylu "Program przestał działać w wyniku awarii.." - Używałem wcześniej jako programu antywirusowego AVG Free 2012 i co jakiś czas dostawałem błąd: "W następujących składnikach AVG wystąpił nieokreślony błąd: - avgcsrva.exe - avgcsrva.exe Czy chcesz wysłać dane diagnostyczne do działu Pomocy technicznej AVG w celu dalszej analizy?" Program AVG nie znajdywał żadnego wirusa. W końcu zmieniłem antywirusa na COMODO (od 2 dni). Po przeskanowaniu całego systemu znalazł: Backdoor.Win32.Turkojan.a38@122853176 w C:\Program Files (x86)/System Control Manager\MGSysCtrl.exe Niestety nadal pojawiają się BSoD oraz już 2 razy zdarzyło się, że padło COMODO Internet Security - wyświetlił się monit czy wysłać do nich raport z awarii. Dodam jeszcze, że laptop jest świeżo kupiony, bo mam go niewiele ponad miesiąc, był bez systemu operacyjnego i sam installowałem Windows 7 Professional 64-bit oraz sterowniki, które dostałem przy zakupie. Rezultaty z WinDbg, OTL zamieszczam w załącznikach. Proszę o w miarę szybką pomoc --------------------------------------------------------------------------------- Czekając na odpowiedź, spróbowałem sam przeanalizować to co wypluł OTL: Zacząłem od próby ustalenia co spowodowało pierwszego Blue Sreena.. Z minidumpów można wyczytać, że pierwszy BSoD wystąpił 5 kwietnia 2012. Na pewno istotne są informacje: BugCheck 1000009F, {4, 258, fffffa8006704680, fffff80000b9c3d0} Probably caused by : memory_corruption DRIVER_POWER_STATE_FAILURE (9f) A driver is causing an inconsistent power state. Arguments: Arg1: 0000000000000004, The power transition timed out waiting to synchronize with the Pnp subsystem. Arg2: 0000000000000258, Timeout in seconds. Arg3: fffffa8006704680, The thread currently holding on to the Pnp lock. Arg4: fffff80000b9c3d0 PROCESS_NAME: System STACK_TEXT: fffff880`033a1060 fffff800`030da6c2 : fffffa80`06704680 fffffa80`06704680 fffff800`03513910 00000000`0000000c : nt!KiSwapContext+0x7a fffff880`033a11a0 fffff800`030ebbaf : fffffa80`096ae5f8 00000000`00000001 00000000`00000000 fffffa80`096ae5f8 : nt!KiCommitThreadWait+0x1d2 fffff880`033a1230 fffff880`01ad8194 : 00000000`0dbea500 fffff800`00000000 00000000`00000000 00000000`00000000 : nt!KeWaitForSingleObject+0x19f fffff880`033a12d0 fffff880`01af4207 : 00000000`00000000 00000000`00008000 fffffa80`0bbeb8e0 00000000`00000000 : volsnap!VspAcquire+0x24 fffff880`033a1310 fffff880`01ac08f9 : fffffa80`096ae301 ffffffff`80001ca4 fffffa80`096ae83c fffff880`033a192c : volsnap!VspOpenAndValidateDiffAreaFiles+0x497 fffff880`033a13f0 fffff800`0334e87c : fffff8a0`048e9100 fffff8a0`048e9200 fffff880`033a1950 fffff800`00000000 : volsnap! ?? ::FNODOBFM::`string'+0xdc5 fffff880`033a1860 fffff800`0334d153 : fffff8a0`180abda0 fffff880`033a1928 fffff800`0321d518 00000000`00000000 : nt!PnpNotifyDriverCallback+0x5c fffff880`033a18f0 fffff800`0355dab4 : 00000000`00000000 fffff8a0`1f1b6310 fffffa80`0c06002e fffff8a0`00000004 : nt!PnpNotifyTargetDeviceChange+0x16b fffff880`033a19a0 fffff800`0355e29c : fffff880`00000000 fffffa80`090b5100 fffffa80`06704600 fffffa80`00000006 : nt!PnpProcessQueryRemoveAndEject+0xaa4 fffff880`033a1ae0 fffff800`0344756e : 00000000`00000000 fffffa80`090b5170 fffff8a0`15d56860 00000000`00000000 : nt!PnpProcessTargetDeviceEvent+0x4c fffff880`033a1b10 fffff800`030ee471 : fffff800`0334d958 fffff8a0`1f1b6310 fffff800`032842b8 00000000`00000000 : nt! ?? ::NNGAKEGL::`string'+0x5aeab fffff880`033a1b70 fffff800`0337ef7a : 00000000`00000000 fffffa80`06704680 00000000`00000080 fffffa80`066ee6f0 : nt!ExpWorkerThread+0x111 fffff880`033a1c00 fffff800`030d59c6 : fffff880`031d7180 fffffa80`06704680 fffff880`031e1fc0 00000000`00000000 : nt!PspSystemThreadStartup+0x5a fffff880`033a1c40 00000000`00000000 : fffff880`033a2000 fffff880`0339c000 fffff880`10be44d0 00000000`00000000 : nt!KxStartSystemThread+0x16 Analizując te dane trafiłem na link - http://www.sevenforums.com/crashes-debugging/152788-frequent-bsods.html Z informacji tam zawartych wynika, że może to być problem związany ze sterownikami. Poza tym wracając do wyników z OTL, zauważyłem że: ========== Files Created - No Company Name ========== [2012-05-01 19:57:21 | 000,525,153 | ---- | C] () -- C:\Windows\SysNative\drivers\sfi.dat [2012-05-01 19:55:53 | 000,001,846 | ---- | C] () -- C:\Users\Public\Desktop\COMODO Internet Security.lnk [2012-05-01 15:34:08 | 000,000,512 | ---- | C] () -- C:\Users\Mars\Desktop\MBR.dat [2012-04-22 21:00:44 | 029,708,364 | ---- | C] () -- C:\Users\Mars\Desktop\Wprowadzenie_do_algorytmow_by_Thomas_Cormen.pdf [2012-04-14 12:59:48 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk [2012-04-14 12:59:48 | 000,002,020 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2012-04-05 07:39:04 | 772,498,489 | ---- | C] () -- C:\Windows\MEMORY.DMP <- wystąpienie pierwszego BSoD [2012-04-04 21:43:40 | 000,000,183 | ---- | C] () -- C:\Users\Mars\Desktop\100075480093.sdx [2012-04-04 19:34:33 | 000,003,133 | ---- | C] () -- C:\Users\Mars\Desktop\Shortcut to SecureDownloadManager.exe.lnk [2012-04-04 18:40:51 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf <- podejrzewam, że to może być przyczyna [2012-03-31 14:52:41 | 001,823,000 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI [2012-03-30 20:05:24 | 000,000,092 | ---- | C] () -- C:\ProgramData\CameraRecorder.ini Idąc dalej poszukałem informacji o tym Msft_User_WpdFs_01_09_00.Wdf i znalazłem tylko, że jest to plik tworzony przez Windows Driver Foundation - User-mode Platform Device Co-Installer, więc niby powinnien być ok. Ale, co ciekawe, okazało się, że jest kilka przypadków gdzie ludziom zdarzały się BSoD, właśnie po utworzeniu pliku Msft_User_WpdFs_01_09_00.Wdf: 1. http://peb.pl/logi-do-sprawdzenia/815776-100-obciazenie-procesora-mimo-wylaczonych-programow.html 2010-05-17 07:00:23 194834354 ----a-w- c:\windows\MEMORY.DMP 2010-05-17 06:43:22 0 d-----w- c:\program files\GIGABYTE 2010-05-17 06:43:03 17488 ----a-w- c:\windows\gdrv.sys 2010-05-16 22:36:25 0 d-----w- c:\windows\Panther 2010-05-16 21:17:39 445016 ----a-w- c:\windows\system32\wrap_oal.dll 2010-05-16 21:17:39 109144 ----a-w- c:\windows\system32\OpenAL32.dll 2010-05-16 21:17:39 0 d-----w- c:\program files\OpenAL 2010-05-16 21:16:42 0 d-----w- c:\program files\common files\Futuremark Shared 2010-05-16 21:15:41 0 d-----w- c:\program files\Futuremark 2010-05-16 20:30:57 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf 2. http://forums.techguy.org/virus-other-malware-removal/953128-inst-exe-trogan-pretends-antivirus.html [2010/09/28 23:52:57 | 294,631,983 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010/09/28 23:51:31 | 000,921,636 | ---- | M] () -- C:\PAP7501.dat [2010/09/28 17:35:05 | 000,002,231 | ---- | M] () -- C:\Users\Public\Desktop\BlackBerry Desktop Software.lnk [2010/09/28 17:32:09 | 105,378,136 | ---- | M] () -- C:\Users\Josh\Documents\600_b047_multilanguage.exe [2010/09/28 16:44:34 | 000,713,888 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2010/09/28 16:44:34 | 000,615,122 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2010/09/28 16:44:34 | 000,103,496 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2010/09/28 16:43:04 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf 3. http://forum.idg.pl/prosze-o-pomoc-komuter-sie-wylancza-oto-log-z-otl-t210672.html [2012-01-12 07:15:07 | 250,079,975 | ---- | M] () -- C:\Windows\MEMORY.DMP [2012-01-11 18:13:56 | 000,001,142 | ---- | M] () -- C:\Users\Public\Desktop\Mozilla Firefox.lnk [2012-01-11 18:11:49 | 000,739,385 | ---- | M] (V9 Downloader) -- C:\Users\Adam\Desktop\Mozilla Firefox 9.0.1.exe [2012-01-11 15:48:37 | 000,000,561 | ---- | M] () -- C:\Users\Adam\Desktop\Testy kategorii T.lnk [2012-01-09 18:12:09 | 000,001,852 | ---- | M] () -- C:\Users\Public\Desktop\Vuze.lnk [2012-01-09 16:04:18 | 000,000,124 | ---- | M] () -- C:\Users\Adam\Documents\ax_files.xml [2012-01-09 15:42:09 | 000,001,184 | ---- | M] () -- C:\Users\Public\Desktop\Alcohol 120%.lnk [2012-01-09 15:40:06 | 000,503,352 | ---- | M] () -- C:\Windows\SysNative\drivers\sptd.sys [2012-01-09 15:34:15 | 000,000,085 | -HS- | M] () -- C:\ProgramData\.zreglib [2012-01-09 14:59:08 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{D24262DB-E563-45E7-8218-5AB256053B75} [2012-01-09 10:29:31 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{5021C4E0-7818-431A-80BD-E9037A4F8E84} [2012-01-09 06:53:19 | 000,000,000 | ---- | M] () -- C:\Users\Adam\AppData\Local\{589DDE33-96A4-4D9C-92A9-C852C739AEA3} [2012-01-08 17:41:45 | 000,000,276 | ---- | M] () -- C:\Windows\SysNative\PSUNCpl.dat [2012-01-08 17:25:47 | 000,001,035 | ---- | M] () -- C:\Users\Public\Desktop\foobar2000.lnk [2012-01-08 17:18:38 | 000,000,000 | -H-- | M] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf Wydaje mi się, że nieprzypadkowo Blue Screeny pojawiają się własnie po dodaniu Msft_User_WpdFs_01_09_00.Wdf W każdym razie sprowadza się to do problemu ze sterownikami, bo w końcu to Msft_User_WpdFs_01_09_00.Wdf to też jakiś sterownik chyba. Jakieś rady co powinienen zrobić? Wypowie się ktoś? Przeinstalować sterowniki, tylko które? OTL.Txt Extras.Txt windbg.txt securitycheck.txt Odnośnik do komentarza
picasso Opublikowano 4 Maja 2012 Zgłoś Udostępnij Opublikowano 4 Maja 2012 Temat przenoszę wstępnie do działu Windows 7, ale nie jest wykluczone, że wyniesie się do Hardware. W ogóle nie wygląda to na problem infekcji. COMODO wykrywa - moim zdaniem fałszywy alarm - plik oprogramowania MSI. Skutek to naruszenie tego oprogramowania i wybrakowany wpis startowy: O4 - HKLM..\Run: [MGSysCtrl] C:\Program Files (x86)\System Control Manager\MGSysCtrl.exe File not found Plik należy przywrócić. Pierwsze symptomy były takie, że czasem jak włączałem laptopa to następowoło sprawdzanie poprawności dysku mimo że pamiętałem, że system został poprawnie zamknięty. Następnie kilka razy zdarzyły się Blue Screeny. (...) Dodam jeszcze, że laptop jest świeżo kupiony, bo mam go niewiele ponad miesiąc, był bez systemu operacyjnego i sam installowałem Windows 7 Professional 64-bit oraz sterowniki, które dostałem przy zakupie. BSODy są różne (i widać, że niezależne od oprogramowania zabezpieczającego), trudno mi tu coś wywnioskować. Mówisz o sterownikach otrzymanych przy zakupie, czy na stronie producenta podzespołów są może nowsze wersje? Cytując na wyrywki widzę aktualnie w raporcie następujące datowanie elementów relatywnych do sprzętu / sterowniki (zakres 2009-2011): ========== Processes (SafeList) ========== PRC - [2011-01-12 18:00:42 | 000,013,336 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe PRC - [2011-01-12 18:00:38 | 000,283,160 | ---- | M] (Intel Corporation) -- C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe PRC - [2010-10-20 14:29:52 | 000,083,456 | ---- | M] (MSI) -- C:\Program Files (x86)\msi\NVIDIA Overclock Tool\NVIDIAOCAP.exe PRC - [2010-07-29 10:08:36 | 002,795,008 | ---- | M] (msi) -- C:\Program Files (x86)\msi\msi LED Manager\SLM.exe PRC - [2010-04-27 04:09:52 | 000,113,288 | ---- | M] (Renesas Electronics Corporation) -- C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe PRC - [2009-07-09 15:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) -- C:\Program Files (x86)\System Control Manager\MSIService.exe ========== Win32 Services (SafeList) ========== SRV:64bit: - [2011-01-05 13:41:38 | 001,515,792 | ---- | M] (Intel® Corporation) [Auto | Running] -- C:\Program Files\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) Intel® SRV:64bit: - [2011-01-05 13:28:50 | 000,340,240 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe -- (MyWiFiDHCPDNS) SRV:64bit: - [2011-01-05 13:26:56 | 000,836,880 | ---- | M] (Intel® Corporation) [Auto | Running] -- C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) Intel® SRV - [2011-01-12 18:00:42 | 000,013,336 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe -- (IAStorDataMgrSvc) Intel® SRV - [2009-07-09 15:54:42 | 000,160,768 | ---- | M] (Micro-Star International Co., Ltd.) [Auto | Running] -- C:\Program Files (x86)\System Control Manager\MSIService.exe -- (Micro Star SCM) ========== Driver Services (SafeList) ========== DRV:64bit: - [2011-03-03 15:29:20 | 000,174,184 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nvhda64v.sys -- (NVHDA) DRV:64bit: - [2011-01-12 17:51:44 | 000,439,320 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) DRV:64bit: - [2011-01-04 11:29:46 | 008,507,392 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\NETwNs64.sys -- (NETwNs64) ___ Sterownik karty Intel® DRV:64bit: - [2010-10-19 10:34:26 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (MEIx64) Intel® DRV:64bit: - [2010-06-23 11:10:56 | 000,344,680 | ---- | M] (Realtek ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167) Podaj dokładny model laptopa. [2012-04-04 18:40:51 | 000,000,000 | -H-- | C] () -- C:\Windows\SysNative\drivers\Msft_User_WpdFs_01_09_00.Wdf Nie sugeruj się odnawianiem określonych plików w Windows. To co zamalowujesz to nie jest sterownik, to jest rodzaj pliku pomocniczego platformy Windows Driver Foundation, mniej więcej coś takiego jak "plik log", i nie jest to jedyny delikwent tego typu w katalogu drivers (KLIK / KLIK). A plik jest pusty, waży zero bajtów. Dokładnie tak jak na moim systemie. . Odnośnik do komentarza
mars Opublikowano 6 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2012 MSI GT683-686XPL (tylko że z 8GB RAM) Że jestem niecierpliwy zrobiłem reinstall systemu, niestety problemu to nie naprawiło, bo wystąpił już mi jeden BSoD na świeżo postawionym systemie. Zrobiłem wczoraj test pamięci RAM (rozszerzony), który trwał cały dzień ;/ Niby zakończył sukcesem, bo po uruchomieniu systemu dostałem informacje, że nie znaleziono żadnych problemów z pamięcią, ale dokopałem się do wyników tego testu w C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_4097_6163171e29bf3bc371c19e8f58be28723bd4c8_cab_08c1c66a i chyba nie jest do końca dobrze: Version=1 EventType=MemDiagV1 EventTime=129807218461702983 Consent=1 UploadTime=129807218461858983 ReportIdentifier=775b24c7-96ed-11e1-a9b9-6c626d3447a7 Response.type=4 Sig[0].Name=Zakres rozmiaru pamięci Sig[0].Value=4097 Sig[1].Name=Typ uruchomienia Sig[1].Value=Manual Sig[2].Name=Typ harmonogramu Sig[2].Value=Immediate Sig[3].Name=Typ ukończenia Sig[3].Value=Pass Sig[4].Name=Typ testu Sig[4].Value=Custom Sig[5].Name=Testy zakończone niepomyślnie Sig[5].Value=0 Sig[6].Name=Liczba złych stron Sig[6].Value=0 Sig[7].Name=Czas trwania testu w sekundach Sig[7].Value=3480 DynamicSig[1].Name=Wersja systemu operacyjnego DynamicSig[1].Value=6.1.7601.2.1.0.256.48 DynamicSig[2].Name=Identyfikator ustawień regionalnych DynamicSig[2].Value=1045 File[0].CabName=MemDiag.bin File[0].Path=MemDiag.bin File[0].Flags=65536 File[0].Type=5 File[0].Original.Path=C:\Windows\System32\LogFiles\MemDiag\MemDiag.bin FriendlyEventName=Zgłoszone wyniki testu pamięci ConsentKey=MemDiagV1 AppName=Diagnostyka pamięci systemu Windows AppPath=C:\Windows\System32\RelPost.exe ReportDescription=Wyniki uruchomienia narzędzia Diagnostyka pamięci systemu Windows zostały przesłane do firmy Microsoft w celu analizy i ulepszenia produktu. Zamierzam jeszcze dzisiaj puścić Memtest86+, ale na noc bo to za długo trwa. Sprawdzałem również programem CPU-Z, czy obie kości RAM mają zgodne wszystkie parametry i tak jest. Przeglądnąłem sobie Raportowanie błędów systemu Windows w zaawansowanych szczegółach systemu i okazało się że jest tam sporo tych błędów. Jest tam kilka z nazwą zdarzenia PnPDriverNotFound, PnPGenericDriverFound i PnPRequestAdditionalSoftware, ale sądząc po datach to było to przed zainstallowaniem sterowników. Natomiast potem jest mnóstwo zdarzeń WindowsUpdateFailure z parametrem 7.5.7601.17514, a pamiętam że wczoraj po ukończeniu testu pamięci instalowało się 39 aktualizacji Windows i daty tych zdarzeń się z tym pokrywają. Oraz jeszcze parę innych.. Czy te błędy typu WindowsUpdateFailure wnoszą że jest też jakiś problem z aktualizacjami systemu? Odnośnik do komentarza
Anonim8 Opublikowano 6 Maja 2012 Zgłoś Udostępnij Opublikowano 6 Maja 2012 BugCheck 1000009F, {4, 258, fffffa8006704680, fffff80000b9c3d0}<br> Probably caused by : memory_corruption Zrób testy pamieći Ram https://www.fixitpc.pl/topic/6006-jak-przetestowac-pamiec-za-pomoca-memtest86/ i Dysku https://www.fixitpc.pl/topic/7334-film-instruktazowy-mhdd-od-plyty-iso-do-skanu/ Odnośnik do komentarza
mars Opublikowano 7 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2012 Dobra, puściłem memtest86+, w ogóle to nie wiedziałem, że to się wykonuje w pętli, więc cierpliwie czekałem.. W końcu wyłączyłem go po 22h i sądząc po liczbie w polu PASS wykonało się 12 pętli znajdując przy tym prawie 7,5 mln błędów Nie pozostaje mi nic innego jak udać się jutro do sklepu z reklamacją pamięci RAM. Dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi