Премини към съдържанието
mihtar

Син екран при Windows XP: IRQL_NOT_LESS_OR_EQUAL

Препоръчан отговор


Ако беше използвал WindBG досега да си разбрал...

А и видя ли сайтовете с кодовете на грешките... http://aumha.org/a/stop.htm www.eventid.net - за индификация на съобщенията от Event Viewer

http://www.kaldata.com/forums/index.php?s=...st&p=633232

А колкото до папка Minidump (ако Windows-a ти е качен на дял C:\ ) то просто отвори един Windows Explorer и направо копирай това а адресната лента:

C:\Windows\Minidump

За да има съдържание обаче трябва да ти е пусната опцията за създаване на подобни файлове! (виж снимката от по-старите ми коментари)

Така и не каза какво става в Device Manager-a...Както и дали си сканирал за вирусчета и разни ти ми подобни...

Няма да е зле да направиш и един лог файл с HijackThis.

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако беше използвал WindBG досега да си разбрал...

А и видя ли сайтовете с кодовете на грешките... http://aumha.org/a/stop.htm www.eventid.net - за индификация на съобщенията от Event Viewer

http://www.kaldata.com/forums/index.php?s=...st&p=633232

А колкото до папка Minidump (ако Windows-a ти е качен на дял C:\ ) то просто отвори един Windows Explorer и направо копирай това а адресната лента:

C:\Windows\Minidump

За да има съдържание обаче трябва да ти е пусната опцията за създаване на подобни файлове! (виж снимката от по-старите ми коментари)

Така и не каза какво става в Device Manager-a...Както и дали си сканирал за вирусчета и разни ти ми подобни...

Няма да е зле да направиш и един лог файл с HijackThis.

Сайтовете ги прегледах. Папката Minidump не я откривам. Пробвах и със Search-a. Опитах да потърся файла, но и него не намирам. Ето това са настройките:

Публикувано изображение

В Device Manager-а май всичко е наред.

Ето лог файл от HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:37:14, on 22.8.2007 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Download Master\dmaster.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKCU\..\Run: [WinPatrol System Monitor] C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - (no file)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: HXD Service 100 (HackerDefender100) - Unknown owner - C:\DOWNLOADS\roota\hxdef100.exe (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 4565 bytes

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Нещо да кажете за лога на HiJackThis? Между другото разбрах как да disable-на BIOS Caching което може би ще оправи грешката, но ме интрересува има ли някакви лоши последици върху цялата система? Още нещо се сетих: Защо въпреки, че съм направил настройките в Start up and recovery които каза B-boy[styLe], пак не се създава файла memory.dmp ?

Редактирано от RefreshMe (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Включена ли ти са услугите: (принципно аз ги спирам, но за да се получи някаква информация трябва да са активни)

Performance Logs and Alerts

Error Reporting Service

Както и това:

Публикувано изображение

После пак можеш да си ги спреш...

Винаги можеш да потърсиш и файловете в търсачката *.dmp (само сложи отметките за по-дълбоко търсене)

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

На моята машина Performance Logs and Alerts е на Manual, а Error Reporting Service е Disabled, но това не пречи да се създават дъмп файлове от тип small memory dump в съответната папка. Ако RefreshMe не намира папката Minidump това може да се дължи и на липса на променлива %SystemRoot% в обкръжението. Може да се провери от конзолата с команда set systemroot.


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Включена ли ти са услугите: (принципно аз ги спирам, но за да се получи някаква информация трябва да са активни)

Performance Logs and Alerts

Error Reporting Service

Както и това:

Публикувано изображение

После пак можеш да си ги спреш...

Винаги можеш да потърсиш и файловете в търсачката *.dmp (само сложи отметките за по-дълбоко търсене)

Тези 2 процеса съм ги спрял, може би е от това, сега ще ги пусна и дано се създаде въпросния файл.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това ли си гледал:

System BIOS Cacheable (Кеширане на системния BIOS)

Опции: Enabled/Disabled (Default: Disabled)

Не случайно стойността по подразбиране на тази функция е "Disabled" - включването и би довело до кеширане на област от системния BIOS в бързия L2 кеш. Тъй като по принцип операционните системи не ползват често информация от BIOS за своята работа, няма никаква необходимост от такова кеширане, което, освен всичко, ще "отхапе" и част от обема на кеша, а няма да доведе до увеличаване на бързодействието. Тази функция е активна при положение, че BIOS е "shadowed".

Video BIOS Casheable (Кеширане на BIOS на видеоконтролера)

Опции: Enabled/Disabled (Default: Disabled)

Функцията е подобна по действие на предходната като принцип на действие и резултат, освен това, обикновено ОС работи със съвременните видеокарти въобще "подминавайки" BIOS и управлявайки ги директно чрез драйвер, така че полза от такова кеширане на практика няма.

Video RAM Casheable (Кеширане на паметта на видеоконтролера)

Опции: Enabled/Disabled (Default: Disabled)

Още една функция без особен смисъл. Кеширането на видеопаметта в бързата L2 кеш памет наистина намалява времето на достъп до данните. Но, забележете, това най-често не води до по-добра производителност по няколко причини. Например, макар че съвременните видеокарти иматпропусквателнаспособност на паметта от порядъка на 6 GB/сек., L2 кеша - над 20 GB/сек., остава бариерата на ограничението от около 1 GB/сек. на 133 MHz SDRAM и, най-вече, максималнатапропусквателнаспособност от 1.06 GB/сек. на AGP 4x шината. А данните от видеопаметта се копират именно използвайки последната. Така че е безмислено да се резервира място в L2 кеша за видеопаметта.

http://sonic-bg.com/index3_bios_osn.html

Едва ли ще има негативни последствия...според мен пробвай.И без това сега положението не е розово...

Виж и тук: http://www.kellys-korner-xp.com/win_xp_stop.htm

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако беше използвал WindBG досега да си разбрал...

Ще си посипя главата с пепел............. !!!

Вече трета седмица се боря с моята щайга и май изглежда, че проблема е от хадрдуерно естество (8-9 преинстали на бозата!!!) без никакъв успех. Продължават рестартите и съобщенията за грешка. Не мога да инсталирам почти нищо и за жалост най важното в случая WindBG.За информация съм тествал с Hiren's Boot CD харда за лоши сектори и рамта и двете ги дава без грешки! Всички драйвери които съм сложил са си оригиналните от цд-та на компонентите

Ако някой може да погледне minidump-а тук

и това:

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\mshtml.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\msrating.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\inseng.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\plugin.ocx because of the following error:
LoadLibrary returned error 126 (the specified module could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\webcheck.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\imgutil.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\pngfilt.dll because of the following error:
GetProcAddress returned error 127 (the specified procedure could not be found).


***

Error:
Setup could not register the OLE Control C:\WINDOWS\system32\hnetwiz.dll because of the following error:
LoadLibrary returned error 127 (7f).


***

Бараката е :

7VRX

AthlonXP 1800+

RAM-256???

GeForce FX5200

WindowsXP SP2- O.S

Предварително благодаря на отзовалите се!!!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Хммм казваш си тествал ХАРДА и РАМА...все пак може да пуснеш и една пълна диагностика с EUROSOFT PC-CHECK (има го из тракерите като стартиращ диск)...или виж тази тема:

http://www.kaldata.com/forums/index.php?showtopic=34723

А иначе казваш си преинтсалирал 8-9 пъти...защо не пробваш с друг релийз на WINDOWS-a...Виж и важните теми в този раздел за леко оптимизиране на системата.Качи си и всичките обновления примерно чрез Autopatcher...

За dump файла тук:

http://www.kaldata.com/forums/index.php?s=...st&p=656668

Да не би да си ползвал nLite ?

http://www.msfn.org/board/lofiversion/index.php/t86098.html

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Хммм казваш си тествал ХАРДА и РАМА...все пак може да пуснеш и една пълна диагностика с EUROSOFT PC-CHECK (има го из тракерите като стартиращ диск)

Това май е едно от малкото които не съм опитал!

А иначе казваш си преинтсалирал 8-9 пъти...защо не пробваш с друг релийз на WINDOWS-a...Виж и важните теми в този раздел за леко оптимизиране на системата.Качи си и всичките обновления примерно чрез Autopatcher...

Поне 4 релийза съм пробвал дори и чист XP SP2 работят окло час и .......... прас!

Всички ъпдейти качвам но поне 2 или 3 гърмят

Е това ако наистина се окаже вярно ........

NTOSKRNL.EXE is missing or corrupt.
Issue:

NTOSKRNL.EXE is missing or corrupt.

Related errors:

	Below is a listing of the full error message that may be related to this error.

	Windows NT could not start because the below file is missing or corrupt: 

	C:\Winnt\System32\Ntoskrnl.exe

Cause:

	   1. Keyboard issue
	   2. Miscellaneous corruption
	   3. Corrupt boot.ini file.
	   4. Missing boot.ini file.
	   5. Missing or corrupt ntoskrnl.exe file.
	   6. Windows NT installed on a partition bigger then 7.8GB 
	   7. Corrupted hard disk drive or severely corrupted Windows.

1. Keyboard issue :speak:

http://www.computerhope.com/issues/ch000646.htm

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

"A problem has been detected and windows has been shut down to prevent и на там не съм го снимал.. отдолу.. "DRIVER_IRQL_NOT_LESS_OR_EQUAL" if this is the first time you've seen this stop error sreen restart your computer. If this screen appears again, follow these steps: Chek to make sure any new hardware or software is property, installed. If this is a new installation , ask you hardwareor software manufacturar for any windows uupdates you might need. If probles continue, disable or remove any newly installed harware or software, disable bios momery options such as caching or shadowing. If you need to use safe mode to remove or disableco po e ts, restart your computer, press F8 to select advanced startup option , and then select safe mode. Technical information: *** STOP 0x000000001 (0x00000008, 0x00000002, 0x00000000, 0xF7166BEF) *** NDIS или NOIS.sys 0 address F7166BEF base at F7150000, datest.amp 41107ec3 Begining dump of physical memory physical memory dump complete това показва когато се рестартира, но не винаги го показва. не знам дали е hardware или software проблем, за това питам... и как да го оправя евентуално..

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

@Cvetomirpenev

Прочете ли горните постове...?

Дай ни да анализираме *.dmp файла който се намира обикновено в папка C:\WINDOWS\Minidump (освен ако не е променeна опцията - Small memory dump на Kernel Memory dump)

# STOP 0x000000D1 (DRIVER_IRQL_NOT_LESS_OR_EQUAL)
# ПРИЧИНА: Грешно инсталиран драйвър
# ОБЯСНЕНИЕ: Идентично като при 0x0000000A, но с тази разлика че е причината със сигурност е драйвър.

Виж какво е положението в Device Manager-a (Десен бутон на My Computer => Properties => Hardware => Device Manager)

Пак оттам само че отиваш на колонката VIEW => Resources by type => Interrupt Request (IRQ) дали има някакви конфликти!

Публикувано изображение

This is the most likely cause of your problem if you have already updated all of your drivers.

Changing IRQ Settings

Warning: Changing system resources such as IRQ channels can result in your computer not functioning correctly, always make a note of the settings before you change anything so you can restore them back if required.

If you do have a conflict and need to change an IRQ setting:

1.Right click on the device in the list (see above) and then select properties. 2. Click the Resources tab. 3. Remove the tick from the Use automatic settings option. 4. Select a non-conflicting configuration from the pull down box. 5. Click OK

It is very likely that you will not be able to manually change your IRQ settings (Use automatic settings will be grayed out), because of the ACPI functions in Windows 2000/XP.

The only way around that is to reinstall Windows without ACPI.

Редактирано от B-boy[StyLe] (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Най-после получих развитие по моя проблем. Ето какво има в dump файла.

Microsoft ® Windows Debugger Version 6.7.0005.1

Copyright © Microsoft Corporation. All rights reserved.

Loading Dump File [C:\DOWNLOADS\MEMORY.DMP]

Kernel Summary Dump File: Only kernel address space is available

Symbol search path is: *** Invalid ***

****************************************************************************

* Symbol loading may be unreliable without a symbol search path. *

* Use .symfix to have the debugger choose a symbol path. *

* After setting your symbol path, use .reload to refresh symbol locations. *

****************************************************************************

Executable search path is:

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

*** ERROR: Symbol file could not be found. Defaulted to export symbols for ntoskrnl.exe -

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp_sp2_gdr.070227-2254

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a620

Debug session time: Thu Oct 25 23:54:04.265 2007 (GMT+3)

System Uptime: 0 days 4:42:50.816

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

*** ERROR: Symbol file could not be found. Defaulted to export symbols for ntoskrnl.exe -

Loading Kernel Symbols

................................................................................

..................................

Loading User Symbols

PEB is paged out (Peb.Ldr = 7ffd400c). Type ".hh dbgerr001" for details

Loading unloaded module list

...............................

*** ERROR: Module load completed but symbols could not be loaded for mtlnt.sys

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D1, {ff363000, 2, 0, f9513c2f}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*** ERROR: Symbol file could not be found. Defaulted to export symbols for tcpip.sys -

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!KPRCB ***

*** ***

*************************************************************************

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!KPRCB ***

*** ***

*************************************************************************

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

*** ERROR: Module load completed but symbols could not be loaded for RTL8139.SYS

*** ERROR: Module load completed but symbols could not be loaded for NDIS.sys

*** ERROR: Module load completed but symbols could not be loaded for Ntfs.sys

Probably caused by : mtlnt.sys ( mtlnt+2c2f )

Followup: MachineOwner

---------

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Най-после получих развитие по моя проблем. Ето какво има в dump файла.

Не си направил правилните настройки на WindBG

http://www.kaldata.com/forums/index.php?s=...st&p=672778

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не си направил правилните настройки на WindBG

http://www.kaldata.com/forums/index.php?s=...st&p=672778

Дебъгера показва това:

Microsoft ® Windows Debugger Version 6.7.0005.1

Copyright © Microsoft Corporation. All rights reserved.

Loading Dump File [C:\DOWNLOADS\dsfgdfgdfg.DMP]

Kernel Summary Dump File: Only kernel address space is available

Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols

Executable search path is: C:\WINDOWS\system32

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp_sp2_gdr.070227-2254

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a620

Debug session time: Thu Oct 25 22:54:04.265 2007 (GMT+2)

System Uptime: 0 days 4:42:50.816

Loading Kernel Symbols

................................................................................

..................................

Loading User Symbols

PEB is paged out (Peb.Ldr = 7ffd400c). Type ".hh dbgerr001" for details

Loading unloaded module list

...............................

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D1, {ff363000, 2, 0, f9513c2f}

*** ERROR: Module load completed but symbols could not be loaded for mtlnt.sys

Probably caused by : mtlnt.sys ( mtlnt+2c2f )

Followup: MachineOwner

---------

Когато въведа командата ".hh dbgerr001" разяснява какво значи грешката, но на мен хич не ми е ясно.

Debugger error dbgerr001 displays the message "PEB is paged out." This error indicates that the process environment block (PEB) is not accessible.

To load symbols, the debugger looks at the list of modules loaded by the operating system. The pointer to the user-mode module list is one of the items stored in the PEB.

In order to reclaim memory, the Memory Manager may page out user-mode data to make space for other process or kernel mode components.

When this error occurs, it means that the debugger has detected that the PEB data structure for this process is no longer readable. Most likely, is has been paged out to disk.

Without this data structure, the debugger cannot determine what images the symbols should be loaded for.

Note This only affects symbol files for the user-mode modules. Kernel-mode modules and symbols are not affected, as they are tracked in a different list.

Някакви идеи?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Получава се нещо странно.

Пуснах RootkitRevealer от Hiren`s BootCD и той откри файлът-гадинка mtlnt.sys. Пробвах да го намеря ръчно в папката, но не го намирам. Някакви идеи как да го открия и евентуално какво да го правя ако го открия?

Публикувано изображение

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Много интересно...според мен е Rootkit...защото още по време на лога с WindBG модула зарежда успешно. но по време на сравнението със символите получаваш грешка...дори с новите настройки...А и никъде няма информация за mtlnt.sys в Google...Интересно можеш ли да изпълниш Use !analyze -v to get detailed debugging information.

Виж дали AVZ ще открие нещо.Изтегли я, направи тези настройки, сканирай,

Публикувано изображение

и провери лог файла => ако има файла който търсим го изтрий!

Публикувано изображение

http://z-oleg.com/avz4.zip

Пробвай и с тези стъпки:

http://www.kaldata.com/forums/index.php?s=...st&p=682802

Trojan Remover 6.6.3 - също проверява на доста специфични места

http://www.kaldata.com/comments.php?catid=...=26857#comments

Накрая може да видиш и тази тема:

http://www.kaldata.com/forums/index.php?s=...st&p=697336

(отдолу съм дал линкове към най-известните anti-rootkit инструменти)...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

B-boy[styLe] , ей сега ще направя това, което казваш. Искам да ти благодаря за вниманието и за това, че толкова време се занимаваш с моя проблем.

Между другото от RootkitRevealer показа следи от файла и в регистъра, пробвах да ги търся ръчно, но абсолютно нищо нямаше!

П.С. Няма да си лягам докато не го разнищя :clap:

Ето какво излиза след ввеждането на !analyze -v

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)

An attempt was made to access a pageable (or completely invalid) address at an

interrupt request level (IRQL) that is too high. This is usually

caused by drivers using improper addresses.

If kernel debugger is available get stack backtrace.

Arguments:

Arg1: ff363000, memory referenced

Arg2: 00000002, IRQL

Arg3: 00000000, value 0 = read operation, 1 = write operation

Arg4: f9513c2f, address which referenced memory

Debugging Details:

------------------

READ_ADDRESS: ff363000 Nonpaged pool expansion

CURRENT_IRQL: 2

FAULTING_IP:

mtlnt+2c2f

f9513c2f f3a5 rep movs dword ptr es:[edi],dword ptr [esi]

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xD1

PROCESS_NAME: firefox.exe

TRAP_FRAME: f967cd94 -- (.trap 0xfffffffff967cd94)

ErrCode = 00000000

eax=ff349000 ebx=00007a30 ecx=00001ca4 edx=00007a30 esi=ff363000 edi=ff3497a0

eip=f9513c2f esp=f967ce08 ebp=f967ce14 iopl=0 nv up ei pl nz na po nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202

mtlnt+0x2c2f:

f9513c2f f3a5 rep movs dword ptr es:[edi],dword ptr [esi] es:0023:ff3497a0=b3b3b3b3 ds:0023:ff363000=????????

Resetting default scope

LAST_CONTROL_TRANSFER: from f9513c2f to 804e187f

STACK_TEXT:

f967cd94 f9513c2f badb0d00 00007a30 ff369a04 nt!KiTrap0E+0x233

WARNING: Stack unwind information not available. Following frames may be wrong.

f967ce14 f9513ad0 000004e4 00000006 00000000 mtlnt+0x2c2f

f967ce74 f4f77ae0 02369a04 027b7360 00000620 mtlnt+0x2ad0

f967cec4 f4f77cf0 ff362860 81a7a5f8 00000002 tcpip!IndicatePendingData+0x97

f967cf00 f4f7775f 81a7a5f8 00000002 00000000 tcpip!CompleteRcvs+0x175

f967cf24 f4f6ea08 00000002 00000002 f967cf50 tcpip!ProcessPerCpuTCBDelayQ+0x6b

f967cf58 f4f6e94f 00000002 f4fb6801 f4f6e3d6 tcpip!ProcessTCBDelayQ+0xc4

f967cf64 f4f6e3d6 00000000 81ad4d98 f4f6e7f2 tcpip!TCPRcvComplete+0x20

f967cf70 f4f6e7f2 bad7b9ed 8197f438 81ad4008 tcpip!IPRcvComplete+0x21

f967cf74 bad7b9ed 8197f438 81ad4008 00000001 tcpip!ARPRcvComplete+0x5

f967cf8c f9519826 81024d98 0000ffff 81ad4008 NDIS!EthFilterDprIndicateReceiveComplete+0x7c

f967cf9c f9519889 81ad4008 804e4a15 81a45130 RTL8139!RTFast_RcvDpc+0x74

f967cfb4 bad74712 00ad4008 81aaf920 81aafb84 RTL8139!RTFast_HandleInterrupt+0x2f

f967cfd0 804dbbd4 81ad4074 81ad4060 00000000 NDIS!ndisMDpc+0xff

f967cff4 804db89e f432bb3c 00000000 00000000 nt!KiRetireDpcList+0x46

f967cff8 f432bb3c 00000000 00000000 00000000 nt!KiDispatchInterrupt+0x2a

804db89e 00000000 00000009 bb835675 00000128 0xf432bb3c

STACK_COMMAND: kb

FOLLOWUP_IP:

mtlnt+2c2f

f9513c2f f3a5 rep movs dword ptr es:[edi],dword ptr [esi]

SYMBOL_STACK_INDEX: 1

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: mtlnt

IMAGE_NAME: mtlnt.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 44841eec

SYMBOL_NAME: mtlnt+2c2f

FAILURE_BUCKET_ID: 0xD1_VRF_mtlnt+2c2f

BUCKET_ID: 0xD1_VRF_mtlnt+2c2f

Followup: MachineOwner

---------

Редактирано от RefreshMe (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

И така... моят проблем вече изчезна или по-точно се разреши. Нарочно изчаках 20 дена, за да се уверя, че машината ми е напълно чиста, е, ако не се бях изчистил досега синият екран трябваше да се е появил близо 50 пъти. Оказа се, че гадинката е била rootkit. Сканирах с доста програми, най много ми помогнаха: Avg Anti-spyware, ATF Cleaner, Vundo Fix, Combo Fix, Sophos Anti-Rootkit, Rootkit Unhooker, AVZ, Panda Anti Rootkit , SmitfraudFix, Trojan Remover, Avira AntiVir Classic, Rootkit Revealer. Така се изчистих от гадината... най-голяма заслуга за решаването на проблема има B-boy[styLe].

Редактирано от RefreshMe (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

...една приятелка има проблем не със син екран, а с черно-бяла лента долу на задачите...всичко друго е нормално,иконките на стартираните задачи са си цветни...... опитах се да помогна: натисках с десен клавиш по лентата, по екрана - никъде не намерих такава опция... сменях "Themes" - отново същото...сигурно е нещо елементарно, но не успях да се справя и тази тема ми се стори най-близко до проблема...моля за помощ... за Windows XP става въпрос...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

...една приятелка има проблем не със син екран, а с черно-бяла лента долу на задачите...всичко друго е нормално,иконките на стартираните задачи са си цветни...... опитах се да помогна: натисках с десен клавиш по лентата, по екрана - никъде не намерих такава опция... сменях "Themes" - отново същото...сигурно е нещо елементарно, но не успях да се справя и тази тема ми се стори най-близко до проблема...моля за помощ... за Windows XP става въпрос...

Тук в тази тема става въпрос за така наречените сини екрана на смърта Публикувано изображение

Blue Screen of Death

А не става въпрос за грешка в цветовете.При твоята приятелка проблема може да се окаже в монитора.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Тук в тази тема става въпрос за така наречените сини екрана на смърта Публикувано изображение

Blue Screen of Death

А не става въпрос за грешка в цветовете.При твоята приятелка проблема може да се окаже в монитора.

...да,знам,извинявам се...просто не ми се отваряше отделна тема за такъв вероятно елементарен въпрос... предполагам че просто не знам къде в настройките трябва да пипна...не вярвам да е в монитора, защото същият проблем има и на служебния, и на домашния компютър... Редактирано от RumenK (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Защо не дадеш едно скрйн шотче та и ние да видиме за какво става на въпрос ,защото лично аз немога да се сетя по обяснението което си дал

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Защо не дадеш едно скрйн шотче та и ние да видиме за какво става на въпрос ,защото лично аз немога да се сетя по обяснението което си дал

...не мога,защото на моя компютър всичко си е нормално...на екрана долу линията където е старт-менюто,часовника и другите иконки, при мене е оцветена в синьо, а при нея е черно-бяла... как да стане цветна - това е въпроса...

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

...една приятелка има проблем не със син екран, а с черно-бяла лента долу на задачите...всичко друго е нормално,иконките на стартираните задачи са си цветни...... опитах се да помогна: натисках с десен клавиш по лентата, по екрана - никъде не намерих такава опция... сменях "Themes" - отново същото...сигурно е нещо елементарно, но не успях да се справя и тази тема ми се стори най-близко до проблема...моля за помощ... за Windows XP става въпрос...

С десен бутон върху празно от икони и файлове място на десктопа влизаш на Properties=> Display properties=>Appearance и там си поиграй с настройките ,,Color scheme" и ,,Windows and buttons".

Пробвай, дано да се получи.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.