Niewiadomego pochodzenia restarty systemu

[vince]

Pojawił się BSOD, którego przyczyną był niewłaściwy sterownik karty grafiki. Po przeinstalowaniu sterownika wystąpiły restarty komputera bez BSOD, więc sprawdziłem Ram i dysk twardy - obydwa OK. Brak jakichkolwiek konfliktów sprzętowych. Po restarcie systemu zapora Windows jest w stanie wyłączona, mimo że była uruchomiona. Ponadto odłożyły się 3 dumpy, z których tylko jeden da się odczytać. Najistotniejsze dwie linijki z niego to:

BugCheck 1000007F

Probably caused by : ntoskrnl.exe

Kiedy odpaliłem Gmera z LiveCD wstępny skan pokazał informację

? \I386\SYSTEM32\NTOSKRNL.EXE kernel module suspicious modification

Próba przeskanowania autostartu zakończyła się BSODem

 

Proszę o sprawdzenie logów.

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

Gm.txtPobieranie informacji ...

[picasso]

Brak oznak infekcji. Temat przenoszę do działu Windows XP.

 

 

  Cytat

Kiedy odpaliłem Gmera z LiveCD wstępny skan pokazał informację

? \I386\SYSTEM32\NTOSKRNL.EXE kernel module suspicious modification

Próba przeskanowania autostartu zakończyła się BSODem

 

GMER z LiveCD = to nie będzie działać według planu. GMER skanuje czynności w załadowanym systemie, z LiveCD w ogóle nie uzyskasz prawdy na ten temat, gdyż system nie jest załadowany. Przyjrzyj się na to "suspicious modification" = przecież to nawet nie jest ścieżka w zainstalowanym na dysku Windows, tylko ścieżka na płycie LiveCD (i386)...

 

 

  Cytat

Pojawił się BSOD, którego przyczyną był niewłaściwy sterownik karty grafiki. Po przeinstalowaniu sterownika wystąpiły restarty komputera bez BSOD, więc sprawdziłem Ram i dysk twardy - obydwa OK. Brak jakichkolwiek konfliktów sprzętowych.

 

Opis wręcz sugeruje, że BSODy są następstwem instalacji sterowników grafiki. Aczkolwiek, czy rzeczywiście to była jedyna akcja? Otóż wg OTL dnia 10 maja zostały zainstalowane bądź zaktualizowane Avast i COMODO Internet Security:

 

[2012-05-10 13:52:59 | 000,020,696 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys
[2012-05-10 13:52:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\avast! Free Antivirus
[2012-05-10 13:52:58 | 000,337,880 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSP.sys
[2012-05-10 13:52:57 | 000,053,848 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswTdi.sys
[2012-05-10 13:52:57 | 000,035,672 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswRdr.sys
[2012-05-10 13:52:56 | 000,612,184 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswSnx.sys
[2012-05-10 13:52:56 | 000,095,704 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon2.sys
[2012-05-10 13:52:55 | 000,089,048 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aswmon.sys
[2012-05-10 13:52:55 | 000,024,920 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\drivers\aavmker4.sys
[2012-05-10 13:51:07 | 000,041,184 | ---- | C] (AVAST Software) -- C:\WINDOWS\avastSS.scr
[2012-05-10 13:51:04 | 000,201,352 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe
[2012-05-10 13:50:29 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012-05-10 13:50:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2012-05-10 13:46:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA
[2012-05-10 13:45:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dokumenty\COMODO
[2012-05-10 13:42:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Comodo
[2012-05-10 13:41:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Menu Start\Programy\Comodo
[2012-05-10 13:41:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\COMODO
[2012-05-10 13:41:32 | 000,000,000 | ---D | C] -- C:\Program Files\Comodo

 

W Dzienniku zdarzeń blisko tego zaczynają się BSOD:

 

Error - 2012-05-10 11:50:28 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003
Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr
 3 00000000, parametr 4 00000000.
 
Error - 2012-05-11 03:17:53 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003
Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr
 3 00000000, parametr 4 00000000.
 
Error - 2012-05-11 03:19:49 | Computer Name = AS-4D9B733D2747 | Source = System Error | ID = 1003
Description = Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr
 3 00000000, parametr 4 00000000.

 

Oprogramowanie zabezpieczające jest równie prawdopodobne jako przyczyna BSOD STOP 0x1000007f.

 

 

  Cytat

Po restarcie systemu zapora Windows jest w stanie wyłączona, mimo że była uruchomiona.

 

Czy na pewno jest tu problem? Jest tu COMODO Internet Security, który wyłącza zaporę systemową. To mało sensowne mieć działające dwie zapory typu softwarowego, dla uniknięcia kolizji zapory producentów trzecich deaktywują tę wbudowaną w system. Co więcej, jeśli COMODO sam nie ubije zapory Windows, należy to zrobić ręcznie.

 

 

  Cytat

Ponadto odłożyły się 3 dumpy, z których tylko jeden da się odczytać. Najistotniejsze dwie linijki z niego to:

BugCheck 1000007F

Probably caused by : ntoskrnl.exe

 

Jaki jest problem z odczytem tych DMP w MS Debugging Tools? Poza tym, obciąłeś dane z debuggera dostarczając tylko dwie frazy a nie całość. Zapakuj cały folder C:\Windows\Minidump do ZIP, shostuj gdzieś paczkę i podaj tu link.

 

 

 

.

[vince]

  W dniu 12.05.2012 o 00:28, picasso napisał(a):

Opis wręcz sugeruje, że BSODy są następstwem instalacji sterowników grafiki.

 

Nie koniecznie, ponieważ BSOD wskazywał na plik nv4_mini.sys jako źródło problemów. Zmieniłem wersję i BSODy z tym źródłem problemów skończyły się.

 

  W dniu 12.05.2012 o 00:28, picasso napisał(a):

Jaki jest problem z odczytem tych DMP w MS Debugging Tools? Poza tym, obciąłeś dane z debuggera dostarczając tylko dwie frazy a nie całość. Zapakuj cały folder C:\Windows\Minidump do ZIP, shostuj gdzieś paczkę i podaj tu link.

 

Windbg zwraca następujący komunikat: Failure when opening dump file (...) It may be corrupt or in a format not understood by the debbuger. Nieokreślony błąd. Wklejam link do dumpów:

 

https://hotfile.com/...idumps.zip.html

[picasso]

Nie wypowiadasz się nic na temat Avast i COMODO, czy aby ich instalacja nie zbiegła się z BSOD. Rzeczywiście, dwa DMP nie mogą być w ogóle otworzone, jest sugerowane ich uszkodzenie. Ten jedyny otwieralny po przepuszczeniu przez MS Debugging Tools:

 

 

  Pokaż ukrytą zawartość

 

Loading Dump File [D:\DMP\vince\minidumps\Mini051012-02.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols

Executable search path is:

Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp_sp3_qfe.090804-1456

Machine Name:

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055b1c0

Debug session time: Thu May 10 16:00:35.922 2012 (UTC + 2:00)

System Uptime: 0 days 1:03:13.229

Loading Kernel Symbols

...............................................................

..............................................................

Loading User Symbols

Loading unloaded module list

............

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck 1000007F, {8, 80042000, 0, 0}

 

Probably caused by : memory_corruption

 

Followup: memory_corruption

---------

 

kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f)

This means a trap occurred in kernel mode, and it's a trap of a kind

that the kernel isn't allowed to have/catch (bound trap) or that

is always instant death (double fault). The first number in the

bugcheck params is the number of the trap (8 = double fault, etc)

Consult an Intel x86 family manual to learn more about what these

traps are. Here is a *portion* of those codes:

If kv shows a taskGate

use .tss on the part before the colon, then kv.

Else if kv shows a trapframe

use .trap on that value

Else

.trap on the appropriate frame will show where the trap was taken

(on x86, this will be the ebp that goes with the procedure KiTrap)

Endif

kb will then show the corrected stack.

Arguments:

Arg1: 00000008, EXCEPTION_DOUBLE_FAULT

Arg2: 80042000

Arg3: 00000000

Arg4: 00000000

 

Debugging Details:

------------------

 

 

BUGCHECK_STR: 0x7f_8

 

CUSTOMER_CRASH_COUNT: 2

 

DEFAULT_BUCKET_ID: CODE_CORRUPTION

 

PROCESS_NAME: lsass.exe

 

UNALIGNED_STACK_POINTER: 00000103

 

LAST_CONTROL_TRANSFER: from 00000000 to 805764f0

 

STACK_TEXT:

f760dd38 00000000 000004c4 00000000 00000000 nt!NtReadFile+0x7d

 

 

STACK_COMMAND: kb

 

CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt

805764e7 - nt!NtReadFile+74

[ 07:27 ]

1 error : !nt (805764e7)

 

MODULE_NAME: memory_corruption

 

IMAGE_NAME: memory_corruption

 

FOLLOWUP_NAME: memory_corruption

 

DEBUG_FLR_IMAGE_TIMESTAMP: 0

 

MEMORY_CORRUPTOR: ONE_BIT

 

FAILURE_BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT

 

BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT

 

Followup: memory_corruption

---------

 

 

"Probably caused by : memory_corruption". Na wszelki wypadek przeprowadź test RAM z poziomu bootowalnej płyty memtest86. Test powinien trwać conajmniej kilka godzin lub do wystąpienia pierwszych błędów.

 

 

 

 

.

[vince]

Ram przetestowałem Memtestem (7 passów), wynik: 0 błędów.

Restarty systemu spowodowały, że najpierw odinstalowałem Comodo, a ponieważ występowały one dalej, więc odinstalowałem również Avasta.

Ponadto uwsteczniłem wersję sterowników grafiki. Jak na razie brak restartów.