BSOD

[Electra2008 0]

Ma poate ajuta si pe mine cineva sa deslusesc din ce cauza imi apare ecranul albastru mai mereu cand apas la network connection pe repair, sau disconnect?Mi se intampla chestia asta de vre-o luna si nu pot sa imi dau seama din ce cauza mi se intampla. Daca las Mozilla mai mult timp deschis nu mi se mai deschid paginile de net desi jos imi arata ca e conectat si, ciudat e ca am instalat un add on cu vremea, ala functioneaza jos in bara(deci netul merge, daca nu mergea nu se incarca starea vremii) insa pagina de net nu se incarca indiferent ce site accesez.Daca dau restart la pc merge totul ok din nou.Am facut un system restore la o data anteriora aparitiei primului BSOD, mi-am instalat driver nou la placa de retea, problema continua.Am incercat sa instalez un windbg sa imi pot citi toate mini dump-urile salvate deoarece in timpul restartarii dupa aparitia unui BSOD nu am timp sa citesc ca dispare prea repede ecranul albastru, insa mi-am prins urechile acolo deoarece nu gasesc nici un proces,fila sau ceva care sa imi indice de unde ar putea apara problema.E ciudat ca tot ce am eu prin pc pentru protectie virusi,troieini etc nu indica prezenta nici unui virus: spyboot s&d, nod 32 v 4.0.

Pc-ul meu:

Pentium

hijackthis_11.05.09.txt

gmer_scan.txt

Editat Mai 11, 2009 de Electra2008

[Herr Spiegellman 1]

WOW ! :jester:

 

Respectele mele ! :jester:

 

Din postarea asta ar avea de invatat majoritatea celor care posteaza o problema cu PC-ul ! Felicitari :jester:

 

Codurile de eroare ar duce spre o problema de drivere, dar nasul meu zice ca e posibil ca ESSET sa iti faca figuri sau sa fie defecta placa de retea

 

Ce placa de retea ai ? Esset-ul e si firewall sau doar antivirus ? Daca e doar antivirus, cauta ca este in optiuni ceva gen HTTP Filtering sau similar. Scoate-l.

[Electra2008 0]

Multumesc pentru raspuns! Placa de retea e un Realtek RTL8102/8103/8136 FAMILY PCI-E FE NIC.Net de la RDS, fiberlink, conexiune PPPOE. Ieri am reinstalat driver nou de pe situl lor, insa la fel apare acel BSOD. Esetul are si firewall, folosesc si firewallul de la windows, am incercat sa le dezactivez pe ambele insa apare aceeasi problema. Acum incerc sa scot ceea ce mi-ai spus tu.Iti multumesc inca odata!

 

Am gasit la nod HTTP scanner set up: enable HTTP cheking (ports used by HTTP PROTOCOL) am debifat asta si acum pe pagina de start a nod-ului imi spune ca web acces protection: Non -functional. Asta trebuia sa fac?

Editat Mai 11, 2009 de Electra2008

[astan 1]

Codurile de eroare spun ca s-a obtinut access violation in timp ce se trata o intrerupere intr-un driver.

Incearca totusi sa upload-ezi dump-urile alea pe undeva si trimite link-urile catre ele.

Editat Mai 11, 2009 de astan

[Electra2008 0]

Am postat problema mea si aici: http://www.hijackthis-forum.de/english-hel...html#post286065

La atasamentele din mesaj sunt postate toate minidumpurile. Poate le poti descarca de acolo.Iti multumesc!

Editat Mai 11, 2009 de Electra2008

[astan 1]

Nu am pachetul cu informatia de simboli pentru XP SP2 downloadat si nu pot face un download atat de mare (192 M) de la serviciu.

E necesar in cazul analizei dump-urilor tale.

 

Il ai cumva ? Daca nu, ia-l de aici: http://www.microsoft.com/whdc/devtools/deb...ymbolpkg.mspx#d

 

Din Windbg:

1. File->Symbol File Pat si selectezi calea catre fisierul cu simboli

2. File->Open Crash Dump si selectezi unul din fisierele dump

3. In fereastra care se deschide ai o linie:

Use !analyze -v to get detailed debugging information.

4. Dai click pe link-ul: !analyze -v

5. Faci copy and paste intr-un fisier txt la informatia obtinuta si il atasezi pe forum.

 

 

 

Fara informatia de simboli, tot ce am putut obtine din dump-uri este:

 

ADDITIONAL_DEBUG_TEXT:

Use '!findthebuild' command to search for the target build information.

If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.

 

FAULTING_MODULE: 804d7000 nt

 

DEBUG_FLR_IMAGE_TIMESTAMP: 0

 

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".

 

FAULTING_IP:

+0

8901b961 a5 movs dword ptr es:[edi],dword ptr [esi]

 

TRAP_FRAME: b6a2077c -- (.trap 0xffffffffb6a2077c)

ErrCode = 00000000

eax=88c9b548 ebx=00000000 ecx=899b04d8 edx=e30b426a esi=00000030 edi=b6a20d44

eip=8901b961 esp=b6a207f0 ebp=b6a20c9c iopl=0 nv up ei pl nz na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010206

8901b961 a5 movs dword ptr es:[edi],dword ptr [esi] es:0023:b6a20d44=ffffffff ds:0023:00000030=????????

Resetting default scope

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

BUGCHECK_STR: 0x8E

 

LAST_CONTROL_TRANSFER: from 8901a333 to 8901b961

 

.....

 

STACK_COMMAND: .trap 0xffffffffb6a2077c ; kb

 

SYMBOL_NAME: ANALYSIS_INCONCLUSIVE

 

 

 

Ceea ce confirma faptul ca se obtine un access violation in kernel mode, datorita urmatoarei instructiuni:

8901b961 a5 movs dword ptr es:[edi],dword ptr [esi]

 

In conditiile in care registrul edi pointeaza aiurea in memorie (es = ds = 0x23 au valori normale)

Editat Mai 11, 2009 de astan

[Electra2008 0]

Stiu cum se procedeaza pentru ca am instalat si eu insa nu stiu sa interpretez.Nu pot face insa copy paste la informatiile obtinute asa ca am facut 3 screen capture pentru ultimul minidump salvat.Deci cele 3 atasamente alcatuiesc impreuna o interpretare cu windbg.Multumesc!

 

 

Am reusit sa atasez!

minidump_text.txt

Editat Mai 11, 2009 de Electra2008

[astan 1]

Uitandu-ma pe log-ul rezultat in urma scanarii cu gmer, vad ca a spao.sys introdus niste hook-uri in SSDT pentru interceptarea call-urilor de acces la registri. Nu stiu cine e spao.sys. In mod normal antivirusul introduce hook-uri in SSDT ... sau ai un rootkit .. Verifica ca spao.sys are legatura cu antivirusul, te rog.

 

Din fereastra windbg-ului selecteaza: CTRL + A, apoi CTRL + C.

Deschizi Notepad-ul, faci paste, salvezi ca un fisier txt si il atasezi.

 

Tot ce vad pana acum din respectiv-ul crashdump este IP-ul unde s-a executat instructiunea cauzand crash-ul. Trebuie aflat carui driver incarcat corespunde respectiva adresa.

 

LE: dump-ul atasat nu prezinta nici o informatie de symbolics. Trebuie sa download-ezi pachetul cu simboli, sa il salvezi local si sa configurezi windbg-ul sa il foloseasca.

Editat Mai 11, 2009 de astan

[Electra2008 0]

Inca un atasament am alaturat aici.

spao.sys mi se pare si mie dubios pentru ca nu stiu ce este.Am dat search in tot pc-ul sa caut daca apare ceva cu spao.sys (nimic nu a aparut, nu cred ca are legatura cu antivirusul ca proces nodul foloseste egui.exe) m-am uitat si in fisier, am cautat si in windows,in system 32, am cautat si file ascunse, nu dau de nimic cu spao.sys.Nici macar pe google nu gasesc informatii.

 

Am revenit.Am gasit in registri o singura informatie despre spao.sys

Am ATASAT un capture screen. Sa inteleg ca apartine de Search Assistant?Adica de ceea ce am cautat eu prin pc? Alte chei in registri in care sa apara spao.sys nu am gasit!

minidump_text_2.txt

Editat Mai 11, 2009 de Electra2008

[astan 1]

Ok. Cand incarci dump-ul in windbg, ai un edit-box in partea de jos a ferestrei, in care scrie

1: kd>

 

Acolo poti sa introduci comenzi ce vor fi executate de catre debugger.

 

Introdu:

 

!analyze -v;r;kv;lmtn;lmtsmn

 

Ar trebui sa obtinem un log mai detaliat totusi.