[Electra2008]

Ma poate ajuta si pe mine cineva sa deslusesc din ce cauza imi apare ecranul albastru mai mereu cand apas la network connection pe repair, sau disconnect?Mi se intampla chestia asta de vre-o luna si nu pot sa imi dau seama din ce cauza mi se intampla. Daca las Mozilla mai mult timp deschis nu mi se mai deschid paginile de net desi jos imi arata ca e conectat si, ciudat e ca am instalat un add on cu vremea, ala functioneaza jos in bara(deci netul merge, daca nu mergea nu se incarca starea vremii) insa pagina de net nu se incarca indiferent ce site accesez.Daca dau restart la pc merge totul ok din nou.Am facut un system restore la o data anteriora aparitiei primului BSOD, mi-am instalat driver nou la placa de retea, problema continua.Am incercat sa instalez un windbg sa imi pot citi toate mini dump-urile salvate deoarece in timpul restartarii dupa aparitia unui BSOD nu am timp sa citesc ca dispare prea repede ecranul albastru, insa mi-am prins urechile acolo deoarece nu gasesc nici un proces,fila sau ceva care sa imi indice de unde ar putea apara problema.E ciudat ca tot ce am eu prin pc pentru protectie virusi,troieini etc nu indica prezenta nici unui virus: spyboot s&d, nod 32 v 4.0.
Pc-ul meu:
Pentium® Dual -Core CPU
E5300 @2,60 GHz
2,62 GHz, 2,00 GB of RAM
Windows XP Proffesional version 2002, SP 2
In system apar cam erorile astea:

pentru minidump:

Event Type: Information
Event Source: Save Dump
Event Category: None
Event ID: 1001
Date: 10.05.2009
Time: 23:46:47
User: N/A
Computer: USER-D509A16E09
Description:
The computer has rebooted from a bugcheck. The bugcheck was: 0x1000008e (0xc0000005, 0x88fcd961, 0xb46e077c, 0x00000000). A dump was saved in: C:\WINDOWS\Minidump\Mini051009-04.dmp.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Event Type: Information
Event Source: Save Dump
Event Category: None
Event ID: 1001
Date: 10.05.2009
Time: 23:42:22
User: N/A
Computer: USER-D509A16E09
Description:
The computer has rebooted from a bugcheck. The bugcheck was: 0x1000008e (0xc0000005, 0x88fda961, 0xb46c177c, 0x00000000). A dump was saved in: C:\WINDOWS\Minidump\Mini051009-03.dmp.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Si erori de sistem:

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7006
Date: 11.05.2009
Time: 11:41:10
User: N/A
Computer: USER-D509A16E09
Description:
The ScRegSetValueExW call failed for Start with the following error:
Access is denied.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Event Type: Error
Event Source: Service Control Manager
Event Category: None
Event ID: 7034
Date: 11.05.2009
Time: 11:40:10
User: N/A
Computer: USER-D509A16E09
Description:
The Remote Procedure Call (RPCE) service terminated unexpectedly. It has done this 1 time(s).

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.

Event Type: Error
Event Source: System Error
Event Category: (102)
Event ID: 1003
Date: 10.05.2009
Time: 23:46:57
User: N/A
Computer: USER-D509A16E09
Description:
Error code 1000008e, parameter1 c0000005, parameter2 88fcd961, parameter3 b46e077c, parameter4 00000000.

For more information, see Help and Support Center at http://go.microsoft....link/events.asp.
Data:
0000: 53 79 73 74 65 6d 20 45 System E
0008: 72 72 6f 72 20 20 45 72 rror Er
0010: 72 6f 72 20 63 6f 64 65 ror code
0018: 20 31 30 30 30 30 30 38 1000008
0020: 65 20 20 50 61 72 61 6d e Param
0028: 65 74 65 72 73 20 63 30 eters c0
0030: 30 30 30 30 30 35 2c 20 000005,
0038: 38 38 66 63 64 39 36 31 88fcd961
0040: 2c 20 62 34 36 65 30 37 , b46e07
0048: 37 63 2c 20 30 30 30 30 7c, 0000
0050: 30 30 30 30 0000

Atasez aici scan cu Hijack si unul cu gmer. Din pacate nu pot atasa nici un fisier mini dump pentru ca nu mi se permite!Poata va ajuta cu ceva erorile de sistem! Va multumesc si apreciez orice raspuns dat.

Fisiere atasate

•  gmer_scan.txt (1.17K)
  Number of downloads: 6
•  hijackthis_11.05.09.txt (4.62K)
  Number of downloads: 1

Aceasta postare a fost editata de Electra2008: 11 May 2009 - 01:10 PM

[Herr Spiegellman]

WOW !

Respectele mele !

Din postarea asta ar avea de invatat majoritatea celor care posteaza o problema cu PC-ul ! Felicitari

Codurile de eroare ar duce spre o problema de drivere, dar nasul meu zice ca e posibil ca ESSET sa iti faca figuri sau sa fie defecta placa de retea

Ce placa de retea ai ? Esset-ul e si firewall sau doar antivirus ? Daca e doar antivirus, cauta ca este in optiuni ceva gen HTTP Filtering sau similar. Scoate-l.

[Electra2008]

Multumesc pentru raspuns! Placa de retea e un Realtek RTL8102/8103/8136 FAMILY PCI-E FE NIC.Net de la RDS, fiberlink, conexiune PPPOE. Ieri am reinstalat driver nou de pe situl lor, insa la fel apare acel BSOD. Esetul are si firewall, folosesc si firewallul de la windows, am incercat sa le dezactivez pe ambele insa apare aceeasi problema. Acum incerc sa scot ceea ce mi-ai spus tu.Iti multumesc inca odata!

Am gasit la nod HTTP scanner set up: enable HTTP cheking (ports used by HTTP PROTOCOL) am debifat asta si acum pe pagina de start a nod-ului imi spune ca web acces protection: Non -functional. Asta trebuia sa fac?

Aceasta postare a fost editata de Electra2008: 11 May 2009 - 01:39 PM

[astan]

Codurile de eroare spun ca s-a obtinut access violation in timp ce se trata o intrerupere intr-un driver.
Incearca totusi sa upload-ezi dump-urile alea pe undeva si trimite link-urile catre ele.

Aceasta postare a fost editata de astan: 11 May 2009 - 01:35 PM

[Electra2008]

Am postat problema mea si aici: http://www.hijackthis-forum.de/english-hel...html#post286065
La atasamentele din mesaj sunt postate toate minidumpurile. Poate le poti descarca de acolo.Iti multumesc!

Aceasta postare a fost editata de Electra2008: 11 May 2009 - 01:44 PM

[astan]

Nu am pachetul cu informatia de simboli pentru XP SP2 downloadat si nu pot face un download atat de mare (192 M) de la serviciu.
E necesar in cazul analizei dump-urilor tale.

Il ai cumva ? Daca nu, ia-l de aici: http://www.microsoft.com/whdc/devtools/deb...ymbolpkg.mspx#d

Din Windbg:
1. File->Symbol File Pat si selectezi calea catre fisierul cu simboli
2. File->Open Crash Dump si selectezi unul din fisierele dump
3. In fereastra care se deschide ai o linie:
Use !analyze -v to get detailed debugging information.
4. Dai click pe link-ul: !analyze -v
5. Faci copy and paste intr-un fisier txt la informatia obtinuta si il atasezi pe forum.



Fara informatia de simboli, tot ce am putut obtine din dump-uri este:

ADDITIONAL_DEBUG_TEXT:
Use '!findthebuild' command to search for the target build information.
If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 0

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".

FAULTING_IP:
+0
8901b961 a5 movs dword ptr es:[edi],dword ptr [esi]

TRAP_FRAME: b6a2077c -- (.trap 0xffffffffb6a2077c)
ErrCode = 00000000
eax=88c9b548 ebx=00000000 ecx=899b04d8 edx=e30b426a esi=00000030 edi=b6a20d44
eip=8901b961 esp=b6a207f0 ebp=b6a20c9c iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010206
8901b961 a5 movs dword ptr es:[edi],dword ptr [esi] es:0023:b6a20d44=ffffffff ds:0023:00000030=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

LAST_CONTROL_TRANSFER: from 8901a333 to 8901b961

.....

STACK_COMMAND: .trap 0xffffffffb6a2077c ; kb

SYMBOL_NAME: ANALYSIS_INCONCLUSIVE



Ceea ce confirma faptul ca se obtine un access violation in kernel mode, datorita urmatoarei instructiuni:
8901b961 a5 movs dword ptr es:[edi],dword ptr [esi]

In conditiile in care registrul edi pointeaza aiurea in memorie (es = ds = 0x23 au valori normale)

Aceasta postare a fost editata de astan: 11 May 2009 - 02:42 PM

[Electra2008]

Stiu cum se procedeaza pentru ca am instalat si eu insa nu stiu sa interpretez.Nu pot face insa copy paste la informatiile obtinute asa ca am facut 3 screen capture pentru ultimul minidump salvat.Deci cele 3 atasamente alcatuiesc impreuna o interpretare cu windbg.Multumesc!


Am reusit sa atasez!

Fisiere atasate

•  minidump_text.txt (4.31K)
  Number of downloads: 5

Aceasta postare a fost editata de Electra2008: 11 May 2009 - 03:07 PM

[astan]

Uitandu-ma pe log-ul rezultat in urma scanarii cu gmer, vad ca a spao.sys introdus niste hook-uri in SSDT pentru interceptarea call-urilor de acces la registri. Nu stiu cine e spao.sys. In mod normal antivirusul introduce hook-uri in SSDT ... sau ai un rootkit .. Verifica ca spao.sys are legatura cu antivirusul, te rog.

Din fereastra windbg-ului selecteaza: CTRL + A, apoi CTRL + C.
Deschizi Notepad-ul, faci paste, salvezi ca un fisier txt si il atasezi.

Tot ce vad pana acum din respectiv-ul crashdump este IP-ul unde s-a executat instructiunea cauzand crash-ul. Trebuie aflat carui driver incarcat corespunde respectiva adresa.

LE: dump-ul atasat nu prezinta nici o informatie de symbolics. Trebuie sa download-ezi pachetul cu simboli, sa il salvezi local si sa configurezi windbg-ul sa il foloseasca.

Aceasta postare a fost editata de astan: 11 May 2009 - 03:09 PM

[Electra2008]

Inca un atasament am alaturat aici.
spao.sys mi se pare si mie dubios pentru ca nu stiu ce este.Am dat search in tot pc-ul sa caut daca apare ceva cu spao.sys (nimic nu a aparut, nu cred ca are legatura cu antivirusul ca proces nodul foloseste egui.exe) m-am uitat si in fisier, am cautat si in windows,in system 32, am cautat si file ascunse, nu dau de nimic cu spao.sys.Nici macar pe google nu gasesc informatii.

Am revenit.Am gasit in registri o singura informatie despre spao.sys
Am ATASAT un capture screen. Sa inteleg ca apartine de Search Assistant?Adica de ceea ce am cautat eu prin pc? Alte chei in registri in care sa apara spao.sys nu am gasit!

Fisiere atasate

•  registri.jpg (113.32K)
  Number of downloads: 7
•  minidump_text_2.txt (4.32K)
  Number of downloads: 2

Aceasta postare a fost editata de Electra2008: 11 May 2009 - 03:37 PM

[astan]

Ok. Cand incarci dump-ul in windbg, ai un edit-box in partea de jos a ferestrei, in care scrie
1: kd>

Acolo poti sa introduci comenzi ce vor fi executate de catre debugger.

Introdu:

!analyze -v;r;kv;lmtn;lmtsmn

Ar trebui sa obtinem un log mai detaliat totusi.