vince Opublikowano 11 Maja 2012 Zgłoś Udostępnij Opublikowano 11 Maja 2012 Pojawił się BSOD, którego przyczyną był niewłaściwy sterownik karty grafiki. Po przeinstalowaniu sterownika wystąpiły restarty komputera bez BSOD, więc sprawdziłem Ram i dysk twardy - obydwa OK. Brak jakichkolwiek konfliktów sprzętowych. Po restarcie systemu zapora Windows jest w stanie wyłączona, mimo że była uruchomiona. Ponadto odłożyły się 3 dumpy, z których tylko jeden da się odczytać. Najistotniejsze dwie linijki z niego to: BugCheck 1000007F Probably caused by : ntoskrnl.exe Kiedy odpaliłem Gmera z LiveCD wstępny skan pokazał informację ? \I386\SYSTEM32\NTOSKRNL.EXE kernel module suspicious modification Próba przeskanowania autostartu zakończyła się BSODem Proszę o sprawdzenie logów. OTL.Txt Extras.Txt Gm.txt Odnośnik do komentarza
picasso Opublikowano 12 Maja 2012 Zgłoś Udostępnij Opublikowano 12 Maja 2012 Brak oznak infekcji. Temat przenoszę do działu Windows XP. Kiedy odpaliłem Gmera z LiveCD wstępny skan pokazał informację? \I386\SYSTEM32\NTOSKRNL.EXE kernel module suspicious modification Próba przeskanowania autostartu zakończyła się BSODem GMER z LiveCD = to nie będzie działać według planu. GMER skanuje czynności w załadowanym systemie, z LiveCD w ogóle nie uzyskasz prawdy na ten temat, gdyż system nie jest załadowany. Przyjrzyj się na to "suspicious modification" = przecież to nawet nie jest ścieżka w zainstalowanym na dysku Windows, tylko ścieżka na płycie LiveCD (i386)... Pojawił się BSOD, którego przyczyną był niewłaściwy sterownik karty grafiki. Po przeinstalowaniu sterownika wystąpiły restarty komputera bez BSOD, więc sprawdziłem Ram i dysk twardy - obydwa OK. Brak jakichkolwiek konfliktów sprzętowych. Opis wręcz sugeruje, że BSODy są następstwem instalacji sterowników grafiki. Aczkolwiek, czy rzeczywiście to była jedyna akcja? Otóż wg OTL dnia 10 maja zostały zainstalowane bądź zaktualizowane Avast i COMODO Internet Security: [2012-05-10 13:52:59 | 000,020,696 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys[2012-05-10 13:52:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\avast! Free Antivirus[2012-05-10 13:52:58 | 000,337,880 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys[2012-05-10 13:52:57 | 000,053,848 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys[2012-05-10 13:52:57 | 000,035,672 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys[2012-05-10 13:52:56 | 000,612,184 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSnx.sys[2012-05-10 13:52:56 | 000,095,704 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys[2012-05-10 13:52:55 | 000,089,048 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys[2012-05-10 13:52:55 | 000,024,920 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys[2012-05-10 13:51:07 | 000,041,184 | ---- | C] (AVAST Software) -- C:\WINDOWS\avastSS.scr[2012-05-10 13:51:04 | 000,201,352 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe[2012-05-10 13:50:29 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software[2012-05-10 13:50:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software[2012-05-10 13:46:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA[2012-05-10 13:45:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dokumenty\COMODO[2012-05-10 13:42:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo[2012-05-10 13:41:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Comodo[2012-05-10 13:41:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\COMODO[2012-05-10 13:41:32 | 000,000,000 | ---D | C] -- C:\Program Files\Comodo W Dzienniku zdarzeń blisko tego zaczynają się BSOD: Error - 2012-05-10 11:50:28 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. Error - 2012-05-11 03:17:53 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. Error - 2012-05-11 03:19:49 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. Oprogramowanie zabezpieczające jest równie prawdopodobne jako przyczyna BSOD STOP 0x1000007f. Po restarcie systemu zapora Windows jest w stanie wyłączona, mimo że była uruchomiona. Czy na pewno jest tu problem? Jest tu COMODO Internet Security, który wyłącza zaporę systemową. To mało sensowne mieć działające dwie zapory typu softwarowego, dla uniknięcia kolizji zapory producentów trzecich deaktywują tę wbudowaną w system. Co więcej, jeśli COMODO sam nie ubije zapory Windows, należy to zrobić ręcznie. Ponadto odłożyły się 3 dumpy, z których tylko jeden da się odczytać. Najistotniejsze dwie linijki z niego to:BugCheck 1000007F Probably caused by : ntoskrnl.exe Jaki jest problem z odczytem tych DMP w MS Debugging Tools? Poza tym, obciąłeś dane z debuggera dostarczając tylko dwie frazy a nie całość. Zapakuj cały folder C:\Windows\Minidump do ZIP, shostuj gdzieś paczkę i podaj tu link. . Odnośnik do komentarza
vince Opublikowano 12 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2012 Opis wręcz sugeruje, że BSODy są następstwem instalacji sterowników grafiki. Nie koniecznie, ponieważ BSOD wskazywał na plik nv4_mini.sys jako źródło problemów. Zmieniłem wersję i BSODy z tym źródłem problemów skończyły się. Jaki jest problem z odczytem tych DMP w MS Debugging Tools? Poza tym, obciąłeś dane z debuggera dostarczając tylko dwie frazy a nie całość. Zapakuj cały folder C:\Windows\Minidump do ZIP, shostuj gdzieś paczkę i podaj tu link. Windbg zwraca następujący komunikat: Failure when opening dump file (...) It may be corrupt or in a format not understood by the debbuger. Nieokreślony błąd. Wklejam link do dumpów: https://hotfile.com/...idumps.zip.html Odnośnik do komentarza
picasso Opublikowano 13 Maja 2012 Zgłoś Udostępnij Opublikowano 13 Maja 2012 Nie wypowiadasz się nic na temat Avast i COMODO, czy aby ich instalacja nie zbiegła się z BSOD. Rzeczywiście, dwa DMP nie mogą być w ogóle otworzone, jest sugerowane ich uszkodzenie. Ten jedyny otwieralny po przepuszczeniu przez MS Debugging Tools: Loading Dump File [D:\DMP\vince\minidumps\Mini051012-02.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols Executable search path is: Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp_sp3_qfe.090804-1456 Machine Name: Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055b1c0 Debug session time: Thu May 10 16:00:35.922 2012 (UTC + 2:00) System Uptime: 0 days 1:03:13.229 Loading Kernel Symbols ............................................................... .............................................................. Loading User Symbols Loading unloaded module list ............ ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck 1000007F, {8, 80042000, 0, 0} Probably caused by : memory_corruption Followup: memory_corruption --------- kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f) This means a trap occurred in kernel mode, and it's a trap of a kind that the kernel isn't allowed to have/catch (bound trap) or that is always instant death (double fault). The first number in the bugcheck params is the number of the trap (8 = double fault, etc) Consult an Intel x86 family manual to learn more about what these traps are. Here is a *portion* of those codes: If kv shows a taskGate use .tss on the part before the colon, then kv. Else if kv shows a trapframe use .trap on that value Else .trap on the appropriate frame will show where the trap was taken (on x86, this will be the ebp that goes with the procedure KiTrap) Endif kb will then show the corrected stack. Arguments: Arg1: 00000008, EXCEPTION_DOUBLE_FAULT Arg2: 80042000 Arg3: 00000000 Arg4: 00000000 Debugging Details: ------------------ BUGCHECK_STR: 0x7f_8 CUSTOMER_CRASH_COUNT: 2 DEFAULT_BUCKET_ID: CODE_CORRUPTION PROCESS_NAME: lsass.exe UNALIGNED_STACK_POINTER: 00000103 LAST_CONTROL_TRANSFER: from 00000000 to 805764f0 STACK_TEXT: f760dd38 00000000 000004c4 00000000 00000000 nt!NtReadFile+0x7d STACK_COMMAND: kb CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt 805764e7 - nt!NtReadFile+74 [ 07:27 ] 1 error : !nt (805764e7) MODULE_NAME: memory_corruption IMAGE_NAME: memory_corruption FOLLOWUP_NAME: memory_corruption DEBUG_FLR_IMAGE_TIMESTAMP: 0 MEMORY_CORRUPTOR: ONE_BIT FAILURE_BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT Followup: memory_corruption --------- "Probably caused by : memory_corruption". Na wszelki wypadek przeprowadź test RAM z poziomu bootowalnej płyty memtest86. Test powinien trwać conajmniej kilka godzin lub do wystąpienia pierwszych błędów. . Odnośnik do komentarza
vince Opublikowano 13 Maja 2012 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2012 Ram przetestowałem Memtestem (7 passów), wynik: 0 błędów. Restarty systemu spowodowały, że najpierw odinstalowałem Comodo, a ponieważ występowały one dalej, więc odinstalowałem również Avasta. Ponadto uwsteczniłem wersję sterowników grafiki. Jak na razie brak restartów. Odnośnik do komentarza
Rekomendowane odpowiedzi