Windows 7 x64 - BSOD - TDI.sys

[pkolasa]

Witam serdecznie,

 

rozpoczynam nowy temat, gdyż od dwóch dni zaczął wygłupiać się mój laptop. W trakcie normalnego korzystania z sieci (np. pobierania plików, oglądania filmów na ipla - to drugie szczególnie) wyskakuje mi ni z tego ni z owego BSOD. Niestety trochę w pośpiechu wyłączyłem laptopa i nie zapisałem dokładnych parametrów błędu, ale w chwilę po uruchomieniu komputera ponownie musiałem skorzystać z TrueCrypt (włączonego przed restartem) i ten sam zaoferował się, że pobierze z sieci niezbędny składnik Microsoft Debugging Tools i wykona automatyczną analizę. Zgodziłem się i otrzymałem taki oto komunikat:

 

Podobnie (o ile dobrze intepretuję) informuje sam WinDbg, który wypluł coś takiego:

 

 

Microsoft (R) Windows Debugger Version 6.11.0001.404 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.

Loading Dump File [C:\Windows\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available
Symbol search path is: SRV*C:\Symbole*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 7601.17640.amd64fre.win7sp1_gdr.110622-1506
Machine Name:
Kernel base = 0xfffff800`02e57000 PsLoadedModuleList = 0xfffff800`0309c670
Debug session time: Thu Nov 17 17:40:53.679 2011 (GMT+1)
System Uptime: 0 days 19:20:27.507
Loading Kernel Symbols
...............................................................
................................................................
........................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 00000000`7efdf018).  Type ".hh dbgerr001" for details
Loading unloaded module list
................
*******************************************************************************
*																			 *
*						Bugcheck Analysis									*
*																			 *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 50, {fffffa80076b9ff8, 0, fffff8800118c396, 0}
*** ERROR: Module load completed but symbols could not be loaded for tdifw.sys
PEB is paged out (Peb.Ldr = 00000000`7efdf018).  Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 00000000`7efdf018).  Type ".hh dbgerr001" for details
Probably caused by : TDI.SYS ( TDI!memcpy+266 )
Followup: MachineOwner
---------
1: kd> !analyze -v
*******************************************************************************
*																			 *
*						Bugcheck Analysis									*
*																			 *
*******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffffa80076b9ff8, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff8800118c396, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000000, (reserved)
Debugging Details:
------------------
PEB is paged out (Peb.Ldr = 00000000`7efdf018).  Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 00000000`7efdf018).  Type ".hh dbgerr001" for details
READ_ADDRESS:  fffffa80076b9ff8 Nonpaged pool
FAULTING_IP:
TDI!memcpy+266
fffff880`0118c396 488b440a08	  mov	 rax,qword ptr [rdx+rcx+8]
MM_INTERNAL_CODE:  0
IMAGE_NAME:  TDI.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  4ce7933e
MODULE_NAME: TDI
FAULTING_MODULE: fffff8800118b000 TDI
DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT
BUGCHECK_STR:  0x50
PROCESS_NAME:  ipla.exe
CURRENT_IRQL:  0
TRAP_FRAME:  fffff8800ad7e160 -- (.trap 0xfffff8800ad7e160)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=2fbb520318c43bfa rbx=0000000000000000 rcx=fffffa80076cbfe0
rdx=fffffffffffee010 rsi=0000000000000000 rdi=0000000000000000
rip=fffff8800118c396 rsp=fffff8800ad7e2f8 rbp=fffffa80076b9010
r8=0000000000008000  r9=0000000000000080 r10=eab4c53bddb5efe4
r11=fffffa80076cb000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0		 nv up ei ng nz na pe nc
TDI!memcpy+0x266:
fffff880`0118c396 488b440a08	  mov	 rax,qword ptr [rdx+rcx+8] ds:6641:9ff8=????????????????
Resetting default scope
LAST_CONTROL_TRANSFER:  from fffff80002e7f9fc to fffff80002ed3c40
STACK_TEXT:
fffff880`0ad7dff8 fffff800`02e7f9fc : 00000000`00000050 fffffa80`076b9ff8 00000000`00000000 fffff880`0ad7e160 : nt!KeBugCheckEx
fffff880`0ad7e000 fffff800`02ed1d6e : 00000000`00000000 fffffa80`076b9ff8 00000000`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x4611f
fffff880`0ad7e160 fffff880`0118c396 : fffff880`0118c0be fffffa80`053fb000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
fffff880`0ad7e2f8 fffff880`0118c0be : fffffa80`053fb000 00000000`00000000 00000000`00000000 c2646641`00000000 : TDI!memcpy+0x266
fffff880`0ad7e300 fffff880`02279e8e : fffffa80`076b9010 fffffa80`06948010 00000000`00008000 00000000`00008280 : TDI!TdiCopyBufferToMdl+0xae
fffff880`0ad7e370 fffff880`0227afdc : fffff880`022810c8 00000000`00000000 fffff880`0ad7ea48 fffffa80`076cb000 : tdifw+0x3e8e
fffff880`0ad7e3d0 fffff880`03b5026c : fffff880`0ad7ec60 fffff880`0ad7ec60 fffffa80`058e7010 00000000`00008000 : tdifw+0x4fdc
fffff880`0ad7e440 fffff880`03b297bb : 00000000`00000000 00000000`000007ff fffff880`0ad7e7e8 fffff880`073fa4e1 : afd! ?? ::GFJBLGFE::`string'+0xe04c
fffff880`0ad7e660 fffff800`031ee803 : 00000000`00004000 fffffa80`0533d6e0 00000000`0ed9ece8 fffffa80`06d55201 : afd!AfdFastIoDeviceControl+0x7ab
fffff880`0ad7e9d0 fffff800`031ef2f6 : 00000000`07d2ec00 00000000`00002134 00000000`00000001 00000000`00000000 : nt!IopXxxControlFile+0x373
fffff880`0ad7eb00 fffff800`02ed2ed3 : 00000000`72522450 00000000`07d2ece0 00000000`07d2fd20 00000000`7ef86000 : nt!NtDeviceIoControlFile+0x56
fffff880`0ad7eb70 00000000`72522e09 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`07d2ec68 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x72522e09

STACK_COMMAND:  kb
FOLLOWUP_IP:
TDI!memcpy+266
fffff880`0118c396 488b440a08	  mov	 rax,qword ptr [rdx+rcx+8]
SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  TDI!memcpy+266
FOLLOWUP_NAME:  MachineOwner
FAILURE_BUCKET_ID:  X64_0x50_TDI!memcpy+266
BUCKET_ID:  X64_0x50_TDI!memcpy+266
Followup: MachineOwner
---------

 

 

 

Inaczej natomiast widzi to BlueScreenView, który za BSOD obwinia ntoskrnl.exe (log HTML TUTAJ).

 

Dołączam także standardowo logi z OTL. Co z tym zrobić? Trochę wkurzają mnie te BSOD-y, bo mam listę pobierań w zbieraczu linków JDownloadera i za każdym razem jak zrestartuje się system, ona znika (nie wiem czemu funkcja Backup nie działa).

 

Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

W trakcie normalnego korzystania z sieci (np. pobierania plików, oglądania filmów na ipla - to drugie szczególnie) wyskakuje mi ni z tego ni z owego BSOD.

 

Skoro podczas korzystanie z sieci i BSOD kręci się wokół TDI, to ten delikwent budzi silne podejrzenia:

 

DRV:64bit: - [2011-10-24 07:48:20 | 000,051,472 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tdifw.sys -- (tdifw)

 

Sterownik zapory TrustPort. Wg dat te komponenty były instalowane bądź odświeżane nie tak dawno.

 

 

.

[pkolasa]

Sterownik zapory TrustPort. Wg dat te komponenty były instalowane bądź odświeżane nie tak dawno.

 

Prawie miesiąc temu, ale dotąd cisza, nic się nie działo, żadnych BSODów, kłopotów... Nagle Trustport zacząłby przeszkadzać? Ten BSOD zresztą występuje chyba tylko wtedy, gdy korzystam z ipla, tamto pobieranie plików to była moja błędna diagnoza, bo nieraz laptop pracuje w nocy pobierając spore pliki i nic się nigdy nie działo.

 

 

Zapomniałbym jeszcze - ipla w trakcie działania buforuje sobie odtwarzane wideo. Normalnie działa to bez problemu, ale czasem to buforowanie tak samo z siebie się przytnie. Pomaga opcja stop, zatrzymująca odtwarzanie i uruchomienie go ponownie. Może to ma znaczenie dla całej sprawy?

 

Czyli co sugerujesz, abym zrobił?

[charliez]

hm, nie wiem jak @picasso ale ja na początek rozmyślam nad prostym rozwiązaniem przełączenia usługi w tryb wyłączony; w konsoli kolejno:

 

sc config tpmgma_service start= disabled
sc config wipesrv start= disabled
sc config gozer start= disabled
sc config avss_service start= disabled
sc config avas_service start= disabled

 

jeżeli nie da się wyłączyć usług to odinstalować i zobaczyć czy będzie grało, przecież niczym nie ryzykujesz

 

 

dodatkowo mówiłeś, że tak na prawde nie jesteś pewien jaki plik powoduje BSOD'y. Sprawdz pamięć: http://www.fixitpc.p...moca-memtest86/

 

PS> pliki moga byc aktualizowane co chwile, takze data to chyba ma malo do gadania ;P

[Anonim3]

tak na prawdę to ipla wg wskazań z windbg. Natomiast z tym buforowaniem hmm, może to problem sieciowy znaczy karty sieciowej.

[picasso]

charliez

 

hm, nie wiem jak @picasso ale ja na początek rozmyślam nad prostym rozwiązaniem przełączenia usługi w tryb wyłączony

 

No ale podajesz do wyłączenia wybrane wybiórczo usługi programowe 32-bit, to nie jest nawet ten poziom ingerencji, sterowniki to inna partia. Po drugie: wyłączenie pojedynczego sterownika zapory TrustPort może zaowocować skutkami ubocznymi. Jest za dużo rzeczy powiązanych i filtry na urządzeniach i tak się nie sprawdza oprogramowania zabezpieczającego, jedyny w pełni wiarygodny test to pełna deinstalacja takiego oprogramowania.

 

PS> pliki moga byc aktualizowane co chwile, takze data to chyba ma malo do gadania ;P

 

Masz konkretny log z "Files/Folders - Created Within 30 Days".

 

 

pkolasa

 

Prawie miesiąc temu, ale dotąd cisza, nic się nie działo, żadnych BSODów, kłopotów... Nagle Trustport zacząłby przeszkadzać? Ten BSOD zresztą występuje chyba tylko wtedy, gdy korzystam z ipla, tamto pobieranie plików to była moja błędna diagnoza, bo nieraz laptop pracuje w nocy pobierając spore pliki i nic się nigdy nie działo.

 

A była Ipla uruchamiana przed instalacją TrustPort, tzn. czy jest pewne bez czy z zaporą nie ma znaczenia?

 

Wg mnie, skoro to się dzieje tylko podczas aktywności sieciowej, jako czynnik wspomagający jest podejrzany firewall Trustport, względnie jeszcze Netlimiter. Może Ipla w połączeniu z nimi ma problem. Przycinki buforowania też można byłoby pod to podciągnąć.

 

 

 

.

[pkolasa]

A była Ipla uruchamiana przed instalacją TrustPort, tzn. czy jest pewne bez czy z zaporą nie ma znaczenia?

Tak, była, za poprzedniego antywirusa jeszcze (G Data) - nic się nie działo. Zresztą do niedawna przy Trustport również się nic nie działo.

 

Wg mnie, skoro to się dzieje tylko podczas aktywności sieciowej, jako czynnik wspomagający jest podejrzany firewall Trustport, względnie jeszcze Netlimiter. Może Ipla w połączeniu z nimi ma problem. Przycinki buforowania też można byłoby pod to podciągnąć.

Czyli kroków z wyłączaniem usług nie wykonywać, a jedynie testowo zdeinstalować Trustport + NetLimiter a potem szukać czy ustąpi? Teraz np. ipla buforuje sobie wideo i nic się nie dzieje, system pracuje normalnie.

[charliez]

Masz konkretny log z "Files/Folders - Created Within 30 Days".

 

ale nie rozumiem co ma do tego data, skoro moze byc skrajnie sprzed 30dni jak i z dnia skanowania jezeli co chwile sie aktualizuja

 

Owszem deinstalacja to na pewno najlepsze wyjscie, ale sadze ze akurat w TrustPort wylaczajac usluge wylaczasz poprostu jedna z funkcji programu, co innego jak bylby to np NOD, takze to tez dobre rozwiazanie. Dodatkowo jezeli nie chcemy deinstalacji to mozna dodac Iple do listy zaufanych aplikacji. Jednak tak czy inaczej najlepiej poprostu wywalic ;P

pkolasa

 

Sprawdzales pamiec?

[Anonim3]

@charliez - zbytnio ufasz w memtest'a jakoby każdy wynikły błąd miałby być wynikiem nieprawidłowości w działaniu ramu. Zdarza się i owszem ale głównie, albo raczej tylko wtedy gdy zrzuty pokazują na coraz to inny moduł lub wręcz nie informują wcale co było przyczyną BSOD'a. W tym wypadku zrzut dość jasno nakreślił winowajcę, ot po prostu lpla się z czymś "gryzie" , bywa i już. Trudno powiedzieć czy to ipla nie lubi trust port'a czy odwrotnie.

Edytowane 18 Listopada 2011 przez marekW

[picasso]

pkolasa

 

Nie zwróciłam uwagi na wersję. Wg OTL Extras masz Ipla 2.3.3. Jest nowsza Ipla 2.3.4. Może zacznij od aktualizacji tej aplikacji i zobaczymy co się stanie.

 

 

charliez

 

ale nie rozumiem co ma do tego data, skoro moze byc skrajnie sprzed 30dni jak i z dnia skanowania jezeli co chwile sie aktualizuja

 

Ale log jest po to, by właśnie wiedzieć jaka jest data modyfikacji określonych plików. Jest tu czarno na białym. I nie myl proszę aktualizacji baz antywirusa z aktualizacją jego komponentów sterownikowych, to są dwie różne rzeczy. Data się zgadzają z tym co zostało powiedziane.

 

 

Owszem deinstalacja to na pewno najlepsze wyjscie, ale sadze ze akurat w TrustPort wylaczajac usluge wylaczasz poprostu jedna z funkcji programu, co innego jak bylby to np NOD, takze to tez dobre rozwiazanie. Dodatkowo jezeli nie chcemy deinstalacji to mozna dodac Iple do listy zaufanych aplikacji. Jednak tak czy inaczej najlepiej poprostu wywalic ;P

 

NOD? To bez różnicy. Wybierz obojętny program z zabezpieczających i ta sama zasada wchodzi. Wyłączanie usług w services.msc (czyli tych które tu wskazujesz) nie wyłącza aktywności programu. Wszystkie sterowniki na chodzie. Tu jest BSOD, czyli poziom który się z tym prędzej zazębia to nie usługi widzialne w services.msc tylko sterowniki. Liczba usług TrustPort jest dwukrotnie większa, a natywnie 64-bitowe pliki to sterowniki kernel:

 

========== Win32 Services (SafeList) ==========
 
SRV - [2011-10-24 07:48:50 | 000,453,480 | ---- | M] (TrustPort, a.s.) [Auto | Running] -- C:\Program Files (x86)\Common Files\TrustPort\bin\tpmgma.exe -- (tpmgma_service)
SRV - [2011-10-24 07:44:56 | 000,274,704 | ---- | M] (TrustPort, a.s.) [Auto | Running] -- C:\Program Files (x86)\TrustPort\DataShredder\bin\wipesrv.exe -- (wipesrv)
SRV - [2011-10-24 07:44:36 | 000,491,792 | ---- | M] (TrustPort, a.s.) [On_Demand | Running] -- C:\Program Files (x86)\TrustPort\Antivirus\bin\gozer.exe -- (gozer)
SRV - [2011-10-24 07:44:28 | 000,303,376 | ---- | M] (TrustPort, a.s.) [On_Demand | Running] -- C:\Program Files (x86)\TrustPort\Antivirus\bin\avss.exe -- (avss_service)
SRV - [2011-10-24 07:44:20 | 000,504,080 | ---- | M] (TrustPort, a.s.) [On_Demand | Running] -- C:\Program Files (x86)\TrustPort\Antivirus\bin\avas.exe -- (avas_service)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2011-10-24 07:50:28 | 000,052,936 | ---- | M] (TrustPort, a.s.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tpsec.sys -- (tpsec)
DRV:64bit: - [2011-10-24 07:48:22 | 000,040,208 | ---- | M] (TrustPort, a.s.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\tpdevflt.sys -- (tpdevflt)
DRV:64bit: - [2011-10-24 07:48:20 | 000,051,472 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tdifw.sys -- (tdifw)
DRV:64bit: - [2011-10-24 07:48:16 | 000,049,936 | ---- | M] (TrustPort, a.s.) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\avasdmft.sys -- (avasdmft) TrustPort Antivirus On-Access Scanner (W2K/XP)

 

Wyłączenie tego wszystkiego to nie tylko jakieś rekonfiguracje usług, tam są jeszcze powiązania w menedżerze urządzeń i filtry na połączeniach sieciowych. Zanim on to ręcznie zdejmie, dawno zrobi deinstalację.

 

 

.

[charliez]

@marekW

no właśnie na początku nie byliśmy pewni czy to jest konretnie wina Iply

 

@picasso

no ok, wiec polecamy deinstalacje

[pkolasa]

pkolasa Nie zwróciłam uwagi na wersję. Wg OTL Extras masz Ipla 2.3.3. Jest nowsza Ipla 2.3.4. Może zacznij od aktualizacji tej aplikacji i zobaczymy co się stanie.

Już to zrobiłem, nie widzę żadnych rezultatów, system działa normalnie.

 

Wyłączenie tego wszystkiego to nie tylko jakieś rekonfiguracje usług, tam są jeszcze powiązania w menedżerze urządzeń i filtry na połączeniach sieciowych. Zanim on to ręcznie zdejmie, dawno zrobi deinstalację. .

Zdaje się, że się faktycznie zdecyduję. Lubię programy z silnikiem BitDefendera, bo uważam je za skuteczne, a Trustport łączy BitDefendera jak i AVG, plus całkiem wydaje się nie najgorszy Inspektor aplikacji pytający przy nieznanych aplikacjach o zatwierdzenie ryzykownych akcji, ale coś nie mają szczęścia do tego drugiego silnika. To aktualizacje baz wirusów raz na tydzień, a teraz akurat mój aktualizator baz wywala się za każdym razem jak próbuje zastosować aktualizację AVG. Napiszę do supportu, może i na temat BSODa będą w stanie powiedzieć jak ich winę naprawić. Ale przypuszczalnie się go pozbędę.

 

EDIT: Co do Ipli - guzik. Teraz owszem, buforuje się bez nagłego stawania, ale robi mi numery w stylu niby zbuforowany cały plik, a odtwarza i nagle w jednym miejscu skacze o kilkanaście minut w przód. Albo po prostu nagle pada cała. A po wykonaniu stop i play (co rozpoczyna buforowanie od nowa) działa w tym fragmencie normalnie. Natomiast w kwestii supportu - napisałem maila i w odpowiedzi polecono mi wykonanie polecenia, które nic nie dało oraz poproszono o wysłanie minidumpów i (jeśli mam, a z tego co widzę po dacie i opcji w System --> Zaawansowane, to mam) zrzutu pamięci jądra. Wysyłam więc teraz te 400 mega na dropbox i potem podam link również tutaj, może do czegoś się przyda w kwestii analizy. Zaś co do odinstalowania Trustporta - poczekam jeszcze na support, co mi polecą, jeśli nic to nie zmieni, to się pożegnam z czeskim zabezpieczeniem.

Edytowane 26 Stycznia 2012 przez picasso
Potwierdzone zamknięcie tematu. //picasso