Debugowanie plików dmp - dlaczego bez efektów?

[covo]

pewne programy, nie wszystkie (co jest wazna uwaga) - nagle nie dają sie uruchomic. To są programy z roznych "dziedzin", nie ma żadnej reguly, jedne sa b.proste - jakies do notowania, inne troche wieksze - multimedialne. I codziennie na jakis taki wlasnie trafiam - dotąd dzialal bez zarzutu, dzisiaj - zgon. 

Kazdy z nich, jak na zawolanie, przy probie uruchomienia daje zrzut *.dmp w katalogu watsona. 

Postanowilem wreszcie sprawdzic o co chodzi - czyli debugowac pliki dmp tworzone przez te programy-niewypały.

 

Debugging Tools for Windows z windbg_6.12.0002.633_x86.msi  zainstalowany. Debuguję, windbg.exe  dociaga potrzebne symbole, wspomagam poleceniem !analyze -v  i .... nie mam zadnych wnioskow, debugowanie nie podpowiada/nie sugeruje zadnego winnego niewatpliwych awarii przy probach uruchamian tych wielu programow. Tych programow awaryjnych wytropilem juz z 20 parę i żaden nie ma sensownego/podpowiadającego cos konkretnego po debugowaniu wlasciwego *.dmp.

 

Dlaczego debugowanie wrecz masowo nie odpowiada na pytanie o przyczyne awarii wielu programow?

 

Pomożecie?  

Ponizej przykladowe dwa pliki *.dmp - powstaly przy probie uruchomienia dwoch prostych programow. I ich dwa wyniki debugowania w Debugging Tools for Windows. Jakby komus chcialo sie przyjrzec sprawie - bede bardzo**2  zobowiazany.

 

plik dmp pierwszy

https://www.dropbox.com/s/kb24yo9t30r8v04/user_1.dmp?dl=0

wynik debugowania:

http://wklej.eu/index.php?id=6018ce588d

 

plik dmp drugi:

https://www.dropbox.com/s/kko6ep5getqlfa0/user_2.dmp?dl=0

wynik debugowania:

http://wklej.eu/index.php?id=058cb7550a

 

 

[Zappa]

W jednym dumpie problemem jest Ultraiso. Ja bym prosił o logi z FRST i OTL, tak na początek. Podaj też dokładna konfigurację sprzetową.

[covo]

zaraz, zaraz.... chwileczke mowisz, ze problemem jest Ultraiso... A jak myslisz - dlaczego moj post tutaj? :)

przeciez wlasnie dlatego, ze debugowanie masowo mi wykazuje,ze te programy sa "same dla siebie" problemem, ultraiso dla ultraiso, a w drugim przykladzie -  problemem dla DesktopOK_Unicode  jest sam DesktopOK_Unicode.  Tyle, to ja widze.

 

Po co konfig sprzetowa? laptop w porzadku, jak dotad programy chodzily bez problemu, "pasty nie trzeba wymieniac", gwarantuje. 

 

FRST, OTL? Tylko - dlaczego? po co? - skoro calosc przeskanowana:  AdwCleaner, gmer, Malwarebytes Anti-Rootkit, Malwarebytes' Anti-Malware,  KasperskyTDSSKiller, Webroot,  avira, drweb...  - zero sygnalu o czymkolwiek. Nie bylo infekcji. rootkita,ani zadnego innego goscia.

 

Po co armaty otl i frst...?  Moze nie idzmy po odruchach bezwarunkowych...  Zatrzymajmy sie na problemie slepego wynikowo debugowania, nic nie wykazuje,a programy leżą i to jest ciekawe,że debugowanie masowo wrecz nic nie pokazuje. Dlaczego nie pokazuje? Co moze byc powodem, przy zalozeniu, ze nie ma hakow wynikajacych z infekcji? Nie wierze w tym przypadku w infekcje, a moglbym, bo miewalem i otl/frst byly w robocie.

 

Te programy na czyms sie po prostu "roztrzaskuja", czegos "nie łapią", jest moze jakis nagly, z jakiegos powodu ubytek w systemie - stad moj zwrot ku debugowaniu. 

BTW:

a zauwazanie programow, ktore nagle sie nie uruchamiaja, ale daja pliki *.dmp zaczelo sie od zauwazenia tego: 

https://www.fixitpc.pl/topic/23697-alcohol-nagle-zero-mozliwosci-napedow-wirtualnych/

- tylko ze w tym akurat przypadku plik dmp nie powstaje. Czyli nadal brak mozliwosci zakladania dyskow wirtualnych w alcoholu120  ,ale doszlo to, co jest tematem tutaj.

[Zappa]

mowisz, ze problemem jest Ultraiso... A jak myslisz - dlaczego moj post tutaj?

Na jakim kontrolerrze pracuje dysk? Masz Intela?

[covo]

no tak, ale... zawsze pracował na intelu, a programy chodziły bez zarzutu.

[mgrzeg]

Z takich małych dumpów za wiele nie da się wyczytać. Mamy tylko stos, rejestry i kawałeczek pamięci.

 

 

Comment: 'Dr. Watson generated MiniDump'
User Mini Dump File: Only registers, stack and portions of memory are available

 

 

Poza tym wszelkie 'access denied' to crossowa analiza zazwyczaj z procmonem, albo wpt. Spróbuj może użyć procdump z sysinternals suite, zastąp nim dr Watsona i przygotuj pełen dump. Użyj polecenia:

 

procdump -ma -i c:\dumps

 

przy czym oczywiście na dysku c:\ musi znajdować się katalog dumps, do którego będą trafiać zrzuty pamięci.

 

Przy okazji - czy masz jakieś wyjątki w ramach ustawień DEP? (Mój komputer -> prawa mysz -> właściwości, zakładka zaawansowane, sekcja wydajność -> ustawienia, zakładka 'Zapobieganie wykonywaniu danych'). Korzystasz może z EMETa?

 

m.g.

[covo]

tak dla jsnosci i jakiejs mojej orientacji zanim zrobie to i owo z procdump Russinovicha: poki co dla watsona mam takie zapisy w rejestrze:
http://i.imgur.com/tlERA8s.png

http://i.imgur.com/Jfr8KRQ.png
oraz w dwoch (jedynych) kluczach CrashControl (nizej daje przyklad jednego z nich ) zmienilem sciezke (np. przy wypadku BSOD) dla memory.dmp, zeby miec zawsze w stalym miejscu wszelkie zrzuty, mniejsze i te wieksze (kernelowe chocby):
http://i.imgur.com/shuVMRv.png

I to dziala - wszelkie zrzuty laduja w jednym,wyznaczonym katalogu Dr Watson.

 

C:\>procdump -ma -i c:\dumps
a/

czy chodzi o to, ze procdump.exe polozyc bezposrednio na C: i utworzyc tam katalog dumps? dokladnie tak ma byc, czy to jest tylko wzor, a procdump.exe + dumps moga lezec gdziekolwiek, byle sciezki dobre wpisac w tym poleceniu? (pytam, bo "lekko" zakrecony jest opis u Russinovicha, ale widze/czuje, ze chodzi o rejestracje procdump.exe w miejsce watsona...)
b/
co teraz stanie sie po wykonaniu powyzszego polecenia (z wlasciwymi sciezkami)... watson bedzie zastapiony przez procdump.exe? pewnie tak. Ale calkowicie przejmie role watsona?
Czy zmiany rejestrowe we wszystkich (i tylko tych) powyzszych obrazkach nastapia?
Czy procdump.exe bedzie odtad domyslnie w akcji nie tylko przy minidump-ach, ale i przy wszelkich zrzutach, takze tych wiekszych?
 

Co do DEP:
i tutaj zaczyna sie ciekawostka ja zawsze , po instalacji xp, WYłączam DEP (panel sterow > system...). Pewnie dlatego,ze za czesto mi wrzeszczal... Tak robie od lat. Jak tylko zaczely sie te awarie programow - od razu sprawdzilem DEP i faktycznie, byl wylaczony http://i.imgur.com/ylxONms.png.
Ale - juz po napisaniu tego tematu tutaj,a przed Twoja odpowiedzia - cos mnie tknelo i uruchomilem EMET, i pokazal, ze jest... wrecz odwrotnie. Wiec emet-em wylaczylem DEP. Z ponad 20-u programow prawie wszystkie ożyły. Juz są OK. 

 

Wiec jest pytanie "oboczne" niejako:

dlaczego przez "panel ster > system..." widze, ze DEP jest na stale wylaczony, jak zabetonowany,chociaz EMET-em moge go wlaczac i wylaczac, a programy wowczas dzialaja, badz nie dzialaja.Moze w panelu sterowania DEP jest z jakichs powodow na stale wyszarzony, a dopiero EMET skutecznie dziala na boot.ini dając wlasciwy wpis...

Czyli EMET-em "uleczylem" duzo programow, ale czterech (innych niz podanych w zalozonym temacie) - niestety nie. Te ciagle daja pliki dmp.
Wiec po Twojej odpowiedzi (gdy juz bede wiedzial co-i-jak), podesle co trzeba z przykladowych dwoch awaryjnych programikow (bo to jakies male cuda są).

Co podeslac?
linki na pliki dmp (przy pomocy procdump)? czy tylko wyniki dla nich z windbg?

[mgrzeg]

Procdump robi kopię poprzednich ustawień, więc jest możliwość powrotu do poprzednich (procdump -u).

Odnośnie 4 wspomnianych aplikacji - przygotuj pełne zrzuty, shostuj je (np. na dropboxie) i daj do nich linki. Być może uda się coś znaleźć.

 

m.g.

[covo]

Odnośnie 4 wspomnianych aplikacji - przygotuj pełne zrzuty, shostuj je (np. na dropboxie) i daj do nich linki. Być może uda się coś znaleźć.

 

1.

dziwna sprawa z tym programem: co jakis czas odpala sie prawidlowo, ale w wiekszosci przypadkow jest crash. Tutaj sa dwa zlapane pliki dmp:

- z watsonem      https://www.dropbox.com/s/7fkpan8xnesxj2o/Color_Pilot_user.dmp?dl=0

- gdy procdump zastapil watsona:  https://www.dropbox.com/s/t62pl257rztb51t/Color_Pilot_b2e.exe_140909_235100.dmp?dl=0

(windbg podpowiada: crtdll.dll ?)

 

2.

ten program regularnie produkuje dwa pliki dmp, jeden po drugim,zawsze parę (przy watsonie natomiast daje jeden dmp):

https://www.dropbox.com/s/t4ne5ti17z279on/Doctor.TCP.exe_140909_234744.dmp?dl=0

https://www.dropbox.com/s/uxl3lzo23zzagdc/Doctor.TCP.exe_140909_234744-1.dmp?dl=0

(windbg podpowiada...  Doctor.TCP.exe ? sam dla siebie program problemem?)

 

3.

ten program wywraca sie z jednym dmp:

https://www.dropbox.com/s/m4zsyzzh6of94mo/Easy%20WIFI%20Radar.exe_140909_233934.dmp?dl=0

(j/w ?)

 

4.

ten program dostaje szału - wpada w "nieskonczonosc" i produkuje masowo pliki dmp, jeden po drugim,jak w pętli, nie zatrzymasz (z trudem) - to zapelnią dysk; jeden z nich ponizej (przy watsonie natomiast daje jeden dmp):

https://www.dropbox.com/s/yyzom3qxz74ytvl/TorrentSpy-0.2.4.26.exe_140909_233158.dmp?dl=0

(windbg podpowiada kernel32.dll, jakas mocno "jadrowa" sprawa...)

 

Wszystkie dmp przejrzalem z ciekawosci, na szybko, w windbg, ale wnioskow nie mam...

[mgrzeg]

Ciężko wyczytać coś z tych dumpów, więc prośba o przygotowanie w nieco inny sposób - pod kontrolą procdump. W tym celu uruchom cmd.exe, przejdź do swojego katalogu z dumpami i dla każdego programu z osobna uruchom procdump w trybie oczekiwania:

procdump.exe -e -ma -w "TorrentSpy-0.2.4.26.exe"

po czym uruchom sam program (w tym przypadku jest to TorrentSpy-0.2.4.26.exe). Oczywiście dla innych programów zmień nazwę programu na odpowiednią (b2e.exe, Doctor.TCP.exe, etc.)

 

Możesz także 'zasadzić się' na wyjątki pierwszego rodzaju, zmieniając nieco polecenie:

procdump.exe -e 1 -ma -w "TorrentSpy-0.2.4.26.exe"

 

Linki do dumpów poproszę tak jak poprzednio.

 

m.g.

[covo]

załóżmy,że te dwa polecenia beda wykonane dla umownego programu  aaa.exe:

 

   1. 

czy  zanim dwa powyzsze polecenia beda  wykonane, to musi byc zamiana watsona na procdump - procdump -ma -i c:\dumps?

 

   2. 

w "trybie oczekiwania" i dla "wyjatkow pierwszego rodzaju": procdump.exe  i  aaa.exe musza byc w tym samym katalogu?

 

  3.

w "trybie oczekiwania": najpierw polecenie potem uruchomienie  aaa.exe, OK, to jasne. 

A co dla "wyjatkow p-go rodzaju" ? - najpierw polecenie z wiersza i tez potem uruchomic aaa.exe?

[mgrzeg]

1. Nie trzeba zamieniać dr Watsona;

2. Nie muszą, ale mogą, tak pewnie będzie wygodniej. W nazwie pliku zrzutu jest data i godzina, a w headerze dumpa informacja o poleceniu, więc bez problemu można się zorientować co i jak;

3. Dla wyjątków 1-ego rodzaju identycznie jak dla kolejnych - procdump po prostu będzie zbierał wcześniej zrzuty.

 

m.

[covo]

cos sie mi z dropboxem pokićkało,wiec wszystkie dmp z poprzedniego "doswiadczenia" sa w jednej paczce (ale moze masz jeszcze na dysku...)  -> https://www.dropbox.com/s/3jjqnp06aet3t8q/dumps.rar?dl=0

 

A teraz co do "tryb oczekiwania" i "wyjatki pierwszego rodzaju":

 

1. Doctor.TCP.exe

tryb oczekiwania https://www.dropbox.com/s/ytb5l1n4w71x1i3/Doctor.TCP.exe_140912_215736.dmp?dl=0

wyjatki I rodz. https://www.dropbox.com/s/a908c2ikhhav2d9/Doctor.TCP.exe_140912_220033.dmp?dl=0

 

2. TorrentSpy-0.2.4.26.exe

za licho nie chce dac dmp w tych dwoch trybach, za to zawsze w tym momencie daje dmp z watsona (w katalogu watsona; ale nie podsylam, bylo). 

Jednakże: 

w ktorejs tam (moze 15-tej)  probie "tryb oczekiwania", nagle (losowa sprawa) dal dodatkowy komunikat, ze (o ile pamietam) - "apl. nieprawidlowo otwarta"/"zainicjowana...", a procdump dal dmp -> https://www.dropbox.com/s/qxonzgee4pyz7io/TorrentSpy-0.2.4.26.exe_140912_220538.dmp?dl=0  - ale to zapewne/raczej nie jest to o co chodzi, bo to zapewne byl jakis inny crash, a nie ten notoryczny, ktory zamierzamy wysledzic....

 

3. Color_Pilot.exe + Easy WIFI Radar.exe

to samo co w 2., tzn dzialam procdumpem, jak napisales, ale zero dmp z niego, za to  w tym momencie produkowane sa z watsona

btw:

nie jest jasne, dlaczego co jakis czas Color_Pilot jednak daje sie uruchomic, powiedzmy...10% prob uruchomienia jest udanych,reszta daje dmp z watsona, tylko z watsona).

[mgrzeg]

We wszystkich dumpach jest to samo - próba odwołania się do niedozwolonego adresu, wygląda jak błąd aplikacji, pamięci. Może być to problem jakiegoś AV / EMET, lub innego zabezpieczenia, a może faktycznie coś fizycznego - zaczął bym od usunięcia softu zabezpieczającego i jak to nie pomoże, to test pamięci.

 

m.

[covo]

1. 
problem w tym, ze av nie chodzi w tle, calkowicie wygaszony, sluzy tylko do sprawdzania przez ppm. Poza tym - jest od tzw. "zawsze" i te aplikacje dzialaly dotad bez problemu.
 
2.
Co do DEP / EMET - sprawe opisalem wyzej: DEP wylaczony calkowicie i zwyczajowo.
 
3.
pamięć... - troche ponad miesiac temu,bez specjalnego powodu, sprawdzana memtestem, jest ok, a aplikacje nie dzialaja od b.b dawna
 
4.
no i warto wspomniec, ze jedna z tych aplikacji (Color_Pilot.exe) od czasu do czasu jednak daje sie uruchomic, ale zadnej reguly - kiedy, dlaczego... - nie dostrzeglem.
 
pytanie:

tak zastanawiam sie, czy jest jakis zwiazek - czy moze byc jakis zwiazek - miedzy kolapsem tych aplikacji, a tym, ze od dawna nie moge utworzyc napedow wirtualnych w alcoholu; poza tym felerem - alc. dziala ok. Opisalem to tutaj: https://www.fixitpc.pl/topic/23697-alcohol-nagle-zero-możliwosci-napędów-wirtualnych/
Przy probie zalozenia napedow wirt.   alc.  nie daje zadnego pliku dmp, jeno komunikat... wg mnie komunikat lekko bez sensu. Usilowalem podejrzec sprawe w procmonitorze - nic cpecjalnego nie widac. 
Juz pomijajac to, czy jest zwiazek czy go nie ma - jak z kolei dotrzec do przyczyny tej z kolei awarii alcohola...?

 

pytanie:

z ciekawosci pytam, na przyszlosc: skoro juz wspomniales o av, hipotetycznie zalozmy, ze w tle chodza jakies komponenty z av i widac je np w procexp. Jak , bez odinstalowania av, wytropic, za co sie one łapią w systemie, ze moga to i owo blokowac (np dzialanie innych programow, ich funkcjonalnosc)...?   

 

Oczywiscie: bardzo dzieki za czas poświecony tematowi

[mgrzeg]

Dumpy, które podesłałeś poprzednio pochodzą z trybu użytkownika i nie widać w nich nic, z tego co dzieje się niżej, czyli w trybie jądra. W zasadzie każdy sterownik trybu jądra może być podejrzany o wraże działanie, więc najprostsza metoda, to usuwanie po kolei sterowników firm trzecich, które mogą sprawiać problemy. Można zacząć od przejrzenia listy wszystkich, korzystając z DriverView [KLIK], uruchomić procmon i podglądać call stack dla wspomnianych aplikacji [zachęcam do lektury mojego tekstu sprzed równo (!) 3 lat: KLIK], albo pobawić się w analizę systemu z debuggerem podłączonym via local kernel debug i przejrzenie aktywnych pakietów irp oraz urządzeń i sterowników (tu za wiele nie pisałem, ale może coś pomoże: [KLIK]).

Tak czy owak taka analiza wymaga czasu i pewnego doświadczenia przy takich zabawach, więc sugerowałbym najpierw podstawy - przejrzenie listy sterowników, eliminację podejrzanych, sprawdzenie co się dzieje na call stacku w procmonie przy starcie aplikacji, a dopiero potem zaglądanie głębiej. Można też zrobić full dump systemu [KLIK] i pobawić się offline'owo np. z użyciem Volatility, które wiele rzeczy upraszcza.

 

m.g.

[covo]

dzięki, czyli wypada zejść do piekieł z tymi dmp.

a co do alcohola (troche wyzej opisalem) - tez tak nisko? nie jest możliwe sledztwo prostsze?

[mgrzeg]

Dlaczego od razu do piekieł! Jak pisałem - często rzut oka na call stack w procmonie już dużo daje, do tego lista driverów z nirsofta i powinno być ok )

 

m.

[covo]

bo należy jeszcze mocniej "wejść w temat",czyli w wiedzę jeszcze mniej banalną

(ale czuję, że pochylę się nad sprawą, bo po pierwsze - nie ma tak, że nie ma przyczyny w tych softowych kolapsach, to raz;

a dwa: niemożliwość zakladania dyskow wirtualnych w alcoholu  -  dla mnie akurat jest uciążliwa i wolę doprowadzic to do pionu, tylko, że plikow dmp juz w tej sprawie nie ma...)

to , co podpowiedziales lekturowo - poczytam, ciekawym, czy doprowadzi do rozwiazania.

[Zappa]

1. 

problem w tym, ze av nie chodzi w tle, calkowicie wygaszony, sluzy tylko do sprawdzania przez ppm. Poza tym - jest od tzw. "zawsze" i te aplikacje dzialaly dotad bez problemu.

Problem w tym, że chyba nie rozumiesz, jak funkcjonują antywirusy. Wydaje Ci się, że jak pracuje w tle to nie ma wpływu na system. Antywirus jest ciagle obecny i monitoruje wszystkie akcje w systemie. A to, że jest od zawsze nic nie znaczy, ponieważ stale pobiera aktualizacje i zmienia się. Tylko całkowita deinstalacja antywirusa moze wykluczyć wpływ programu na system. Stosowała to nie raz Picasso.

[covo]

Problem w tym, że chyba nie rozumiesz, jak funkcjonują antywirusy. Wydaje Ci się, że jak pracuje w tle to nie ma wpływu na system.

Nic mi sie nie wydaje. Czyli nie wydaje mi sie, ze chociaz pracuje w tle, to nie ma wplywu. Bowiem:

przeciez napisalem wyraznie i rozumiem to doslownie i do konca --> "[...]problem w tym, ze av nie chodzi w tle [...]". To znaczy: zaden jego komponent nie jest widoczny chocby (chocby!)  w procexp. Ani żadną inną droga nic nie widac. Wszelkie monitorowanie jest wylaczone, że nie wspomne o automatycznym pobieraniu aktualizacji. Wszystko recznie dziala.

[Zappa]

Wszelkie monitorowanie jest wylaczone, że nie wspomne o automatycznym pobieraniu aktualizacji. Wszystko recznie dziala.

Wydaje ci sie ze nie ma wpływu. Zreszta po co komu taki antywirus co go nie ma w systemie i jest niby recznie sterowany.

 

Zobacz temat, moze tam Eset też jest ręcznie sterowany??  Jaka zapadła propozycja Picasso?

 

https://www.fixitpc.pl/topic/24159-nie-instalują-się-poprawki-wu-nie-można-uruchamiać-programów/

[covo]

Wydaje ci sie ze nie ma wpływu.

[......]

https://www.fixitpc.pl/topic/24159-nie-instalują-się-poprawki-wu-nie-można-uruchamiać-programów/

"oczywiscie", ze jest mozliwe, iz tzw "coś" z av - co nie pracuje w tle, co nie jest widoczne w zadnym detekcyjnym sofcie - haczy sie o system metafizycznie, albo: lezac bezczynnie odlogiem jako komponent av, zawadza innym programom. Chetnie sie dowiem - CO to jest? Ale jak mam sie dowiedziec - CO? 

Odinstalowac av zawsze mozna. Tak samo,jak sformatowac, w innych okolicznosciach awaryjnych. Tylko, ze z tego nie ma odpowiedzi na "CO". 

tak btw: 

w safe mode sytuacja tych 4ech apl. nie zmienia sie (a w przypadku alcohola nie dziwi, bo sprawe braku wirtualiow w safe mode alc. sam lojalnie komunikuje)

[Zappa]

Tak samo,jak sformatowac, w innych okolicznosciach awaryjnych. Tylko, ze z tego nie ma odpowiedzi na "CO".

Nie sprawdzałem logów które podał mgrzeg. To jego działka

 

Daj log z FRST i powiem Ci co działa w tle cały czas.

 

w safe mode sytuacja tych 4ech apl. nie zmienia sie

Tryb awaryjny tez nie wyłacza antywirusa. Usługi takowego sa w stanie czynnym. Nawet nie wiadomo co to za program.

 

Ale zaraz powiesz:

 

FRST, OTL? Tylko - dlaczego? po co? - skoro calosc przeskanowana:  AdwCleaner, gmer, Malwarebytes Anti-Rootkit, Malwarebytes' Anti-Malware,  KasperskyTDSSKiller, Webroot,  avira, drweb...  - zero sygnalu o czymkolwiek. Nie bylo infekcji. rootkita,ani zadnego innego goscia.

 

Logi z tych programów to nie tylko sprawa infekcji. To wgląd w system.

[covo]

Daj log z FRST i powiem Ci co działa w tle cały czas.

frst  http://wklej.eu/index.php?id=105850a816

addition  http://wklej.eu/index.php?id=ea1d512438

 

np.

"jakies" pliki aviry [dll, minidrivery, itd w tym stylu] są - by w ogole mozna bylo spod ppm skanowac, albo recznie uruchomic uaktualnienie, usluga-monitor wylaczona, usluga aviry scheduler na reczne ustawiona, na moj gust nic twardo nie trzyma czegokolwiek w systemie, ale to Ty wiesz co-i-jak .

pobieżnie przejrzalem jeno.

 

btw:

zastanowil mnie brak pliku volsnap.sys - pewnie nie ma zwiazku z awariami tych 4ech aplikacji, ani z niemozliwoscia zakladania napedow wirtualnych alcoholem..., ale brak pliku jest, jeszcze nie doczytalem po co ten plik...