Restart komputera z niewiadomych powodów

ar2rek · 2 Maj 2007 07:56

Witam, zostałem zagoniony do naprawy kompa mojej kobiety i… coś nie daje sobie rady. Zwykle radzę sobie z takimi problemami, ale tym razem zmuszony jestem prosić o pomoc.

Przedstawiam informacje, które powinny być pomocne…

Celeron 433MHz - temp w normie

RAM 128 - sprawdzona programem MemTest-86 v3.3

zasilacz - napięcia w normie (sprawdzono w BIOS)

Logfile of HijackThis v1.99.1

Scan saved at 08:53:22, on 2007-05-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\explorer.exe

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Opera\Opera.exe

D:\Program Files\totalcmd\TOTALCMD.EXE

D:\czyszczenie\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [AQQ] D:\PROGRA~1\Wapster\AQQ\AQQ.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2EB527-8E4B-4672-B565-A8F8DCD72168}: NameServer = 68.15.165.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{C244BFA7-74DB-47AE-A36C-E0D1E81C137C}: NameServer = 68.15.165.12

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"AQQ" = "D:\PROGRA~1\Wapster\AQQ\AQQ.exe" ["AQQ Sp. z o.o."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"KernelFaultCheck" = "D:\WINDOWS\system32\dumprep 0 -k"

"avast!" = "D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "AcroIEHlprObj Class"

                   \InProcServer32\(Default) = "D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll" ["Sun Microsystems, Inc."]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "D:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


HKLM\System\CurrentControlSet\Control\Session Manager\

<> "BootExecute" = "autocheck autochk *"|"SsiEfr.e" [file not found]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

  -> {HKLM...CLSID} = "avast"

                   \InProcServer32\(Default) = "D:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]



Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------


Note: detected settings may not have any effect.


HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\


"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}


"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}



Active Desktop and Wallpaper:

-----------------------------


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "D:\WINDOWS\web\wallpaper\Idylla.bmp"


Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "D:\WINDOWS\web\wallpaper\Idylla.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "D:\WINDOWS\system32\logon.scr" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5

\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\

Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBC}"

  -> {HKLM...CLSID} = "Java Plug-in 1.5.0_10"

                   \InProcServer32\(Default) = "D:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll" ["Sun Microsystems, Inc."]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


avast! Antivirus, avast! Antivirus, ""D:\Program Files\Alwil Software\Avast4\ashServ.exe"" ["ALWIL Software"]

avast! iAVS4 Control Service, aswUpdSv, ""D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

Microsoft (R) Windows Debugger Version 6.7.0005.0

Copyright (c) Microsoft Corporation. All rights reserved.



Loading Dump File [D]

Mini Kernel Dump File: Only registers and stack trace are available


Symbol search path is: D:\WINDOWS\Symbols

Executable search path is: 

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a420

Debug session time: Wed May 2 07:41:52.302 2007 (GMT+2)

System Uptime: 0 days 0:03:02.913

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Loading Kernel Symbols

................................................................................................

Loading unloaded module list

.........

******************************************************

* *

* Bugcheck Analysis *

* *

******************************************************


Use !analyze -v to get detailed debugging information.


BugCheck 1000008E, {c0000005, 330030, f8967cf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )


Followup: MachineOwner

---------

BugCheck 1000007F, {8, 80042000, 0, 0}


Unable to load image windev-3a6c-365.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for windev-3a6c-365.sys

*** ERROR: Module load completed but symbols could not be loaded for windev-3a6c-365.sys

Probably caused by : windev-3a6c-365.sys ( windev_3a6c_365+97d )


Followup: MachineOwner

BugCheck 1000007F, {8, 80042000, 0, 0}


Probably caused by : hardware ( nt!KiTrap0C+121 )

BugCheck 1000007F, {8, 80042000, 0, 0}


Probably caused by : ntoskrnl.exe ( nt!KiTrap0C+11f )

BugCheck 10000050, {bad0b158, 0, 80566a37, 2}



Could not read faulting driver name

Probably caused by : ntoskrnl.exe ( nt!RtlpLockAtomTable+d )

BugCheck 1000008E, {c0000005, 740073, f895ccf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

BugCheck 1000007F, {8, 80042000, 0, 0}


Probably caused by : ntoskrnl.exe ( nt!KiTrap0C+11f )

BugCheck 1000008E, {c0000005, 740073, f88accf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

BugCheck 1000008E, {c0000005, 740073, f8893cf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

BugCheck 1000007F, {8, 80042000, 0, 0}


Probably caused by : ntoskrnl.exe ( nt!KiTrap0C+11f )

alien279 · 2 Maj 2007 08:32

Gdy pojawi sie ponownie crash to pojawi sie Blue Screen, spisz kod który będzie widniał 0x… i podaj go tu.

ar2rek · 2 Maj 2007 11:06

niestety mimo nie zaznaczonej opcji w ustawieniach systemowych dotyczącej uruchomienia ponownego po crashu to i tak system sie resetuje i nie pokazuje “ekranu smierci”. Dysponuje jedynie minidumpami. Oto nówki:

BugCheck 1000007F, {8, 80042000, 0, 0}


Unable to load image windev-2d97-72c1.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for windev-2d97-72c1.sys

*** ERROR: Module load completed but symbols could not be loaded for windev-2d97-72c1.sys

Probably caused by : aswMon2.SYS ( aswMon2+68b6 )

ten wskazuje na program antywirusowy chyba, ale jeszcze tego do konca nie sprawdzałem następny:

BugCheck 1000007F, {8, 80042000, 0, 0}


Unable to load image windev-2d97-72c1.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for windev-2d97-72c1.sys

*** ERROR: Module load completed but symbols could not be loaded for windev-2d97-72c1.sys

Probably caused by : windev-2d97-72c1.sys ( windev_2d97_72c1+97d )

tyle z nowości…

system · 2 Maj 2007 11:40

skoro nie wyskakuje żadne bsod to prawdopodobnie problem tkwi w sprzęcie, sprawdź płytę główną i jakość kondensatorów (czy nie są napuchnięte), wymień taśmy ide , sprawdź dysk pod kątem bad sektorów (hdtune)

Monczkin · 2 Maj 2007 12:00

Zmień tytuł na konkretny.

ar2rek · 2 Maj 2007 14:35

Tym razem BlueScreen sie pojawił i to 3 razy. Kopiuję informacje z screena oraz wynik jaki otrzymałem po wrzuceniu dmp do programu WinDbg

0x0000008E (0xC0000005, 0x00740073, 0xF8953CF0, 0x00000000)

Loading Dump File [D]

Mini Kernel Dump File: Only registers and stack trace are available


Symbol search path is: D:\WINDOWS\Symbols

Executable search path is: 

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a420

Debug session time: Wed May 2 16:03:07.623 2007 (GMT+2)

System Uptime: 0 days 0:03:54.223

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Loading Kernel Symbols

..............................................................................................................

Loading User Symbols

Loading unloaded module list

.........

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************


Use !analyze -v to get detailed debugging information.


BugCheck 1000008E, {c0000005, 740073, f8953cf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

i taki BlueScreen wyskoczył 2 razy. Później wyskoczył z następującym błędem: 0x0000008E (0x00000005, 0x00000000, 0xFBFB8CF0, 0x00000000)

Loading Dump File [D]

Mini Kernel Dump File: Only registers and stack trace are available


Symbol search path is: D:\WINDOWS\Symbols

Executable search path is: 

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a420

Debug session time: Wed May 2 16:14:43.841 2007 (GMT+2)

System Uptime: 0 days 0:01:03.451

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Loading Kernel Symbols

....................................................................................................

Loading User Symbols

Loading unloaded module list

...

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************


Use !analyze -v to get detailed debugging information.


BugCheck 1000008E, {c0000005, 0, fbfb8cf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

system · 2 Maj 2007 14:50

sprawdzałeś pod kątem bad sektorów dysk twardy ??

matnis5 · 2 Maj 2007 18:14

Witam.

Plik aswMon2.SYS to plik od Avasta a to że pojawił się w debuggerze nie musi wcale oznaczać że jest sprawcą całego zamieszania,choć w ostatnich dniach uaktualniano jego wersję i jak widać na forum pojawiło się szereg problemów z nim związanych.Być może jego odinstalowanie poprawi kondycję systemu.

Poza tym logi dobrze byłoby umieścić w dziale bezpieczeństwa gdzie fachowcy ocenią czy coś jest nie tak bo w/g mnie

jest błędem Windowsa i można go Fix-ować ale być może są jeszcze inne kwiatki i dopiero kompleksowa analiza obu logów może dostarczyć odpowiedzi o przyczynach Twoich problemów.

Jeszcze jedno pytanie-czy w podglądzie zdarzeń pojawiły się jakieś błędy?

ar2rek · 3 Maj 2007 11:06

Tak, dysk sprawdziłem narzędziem HDTune ver. 2.52 - jest wolny od błedów.

cóż…

sekcja antywirus zawiera m.in. nastepujące wpisy:

AAVM - scanning error: Aavm: FetchGlobalCounters cannot open mapping - server DOWN???, 00000002.

An error has occured while attempting to update. Please check the logs.

Function setifaceUpdatePackages() has failed. Return code is 0x00000003, dwRes is 00000003.

sekcja System… ciekawy komunikat…

Protokół TCP/IP osiągnął limit zabezpieczeń ustalony dla liczby równoczesnych prób połączeń TCP.

Usługa avast! Antivirus niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

Usługa avast! iAVS4 Control Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

Usługa avast! Mail Scanner niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

Usługa NVIDIA Driver Helper Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący błąd: 

Operacja została zwrócona, ponieważ przekroczono limit czasu.

Zatem kolejne wskazania na antyvira… Dodatkowo system juz uruchamia się około 10 min z komunikatem o pamięci wirtualnej.

Podręczne okno aplikacji: System Windows - Minimalna wartość pamięci wirtualnej jest za niska : System ma za mało pamięci wirtualnej. System Windows zwiększa rozmiar pliku stronicowania pamięci wirtualnej. W czasie trwania tego procesu, może wystąpić odmowa na żądania pamięci niektórych aplikacji. Więcej informacji możesz znaleźć w Pomocy.

Zaznaczam iż system nie jest zaśmiecony tysiącami programów rezydentnych, przy starcie uruchamia się jedynie avast! i komunikator AQQ.

Dobra, odinstaluję tego avasta. Jednak będę musiał zainstalować jakieś oprogramowanie antyvirusowe bo komputer bez tego tu nie wytrzyma dłużej niż 2tyg.

matnis5 · 3 Maj 2007 19:36

Miałem na myśli tylko odinstalowanie Avasta ,przeczyszczenie rejestru i ponowne jego zainstalowanie ,najlepiej najnowszej wersji jeżeli byś się przy nim upierał.

Proponuję zajrzeć również do Menadżera urządzeń i sprawdzić przy NVIDI

jak wygląda sprawa z jej sterownikami,czy są jakieś komunikaty?

Komunikat właściwy i prawidłowy.

Pozdrawiam.

system · 3 Maj 2007 22:11

windev-2d97-72c1.sys - to prawdopodobnie Rootkit

Wklej logi z Gmera:

Rootkit >>> Zaznaczone wszystko do skanu oprócz Pokazuj wszystko >>> Szukaj >>> Kopiuj >>> Ctrl + V do posta
Rootkit >>> Zaznaczone tylko Pokazuj wszystko + Usługi >>> Szukaj >>> Kopiuj >>> Ctrl + V do posta

ar2rek · 4 Maj 2007 09:17

Sytuacja nie jest zbyt ciekawa…

Odinstalowałem avasta i póki co nic nie zainstalowałem. Restarty zrobiły sie na tyle uciążliwe że nie da się na systemie pracowac. Komputer sie włącza, ładuje sie komunikator, można nic nie robić i … bluescreen.

Podczas wyłączania, po naciśnięciu przycisku wyłącz, komputer najczęściej nie wyłącza się a uruchamia ponownie. Nie jest tworzony podczas tego plik zrzutu, więc nei wiem o co chodzi. (co jakiś czas wyłącza się normalnie)

Pracować “normalnie” da sie w trybie awaryjnym. Niestety po sciagnieciu Gmera i probie go uruchomienia (nadal w trybie awaryjnym). Komputer sie zrestartowal…

Zaraz zabieram się za Gmera.

Wcześniej umieszczam jeden z ostatnich zrzutów:

BugCheck F4, {3, 81145da0, 81145f14, 805f9f88}


Probably caused by : csrss.exe


Followup: MachineOwner

---------


kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************


CRITICAL_OBJECT_TERMINATION (f4)

A process or thread crucial to system operation has unexpectedly exited or been

terminated.

Several processes and threads are necessary for the operation of the

system; when they are terminated (for any reason), the system can no

longer function.

Arguments:

Arg1: 00000003, Process

Arg2: 81145da0, Terminating object

Arg3: 81145f14, Process image file name

Arg4: 805f9f88, Explanatory message (ascii)


Debugging Details:

------------------



PROCESS_OBJECT: 81145da0


IMAGE_NAME: csrss.exe


DEBUG_FLR_IMAGE_TIMESTAMP: 0


MODULE_NAME: csrss


FAULTING_MODULE: 00000000 


PROCESS_NAME: csrss.exe


CUSTOMER_CRASH_COUNT: 3


DEFAULT_BUCKET_ID: DRIVER_FAULT


BUGCHECK_STR: 0xF4


STACK_TEXT:  

fba2a864 8062c359 000000f4 00000003 81145da0 nt!KeBugCheck2+0x4d4

fba2a888 805f9f46 805f9f88 81145da0 81145f14 nt!PsSetCreateProcessNotifyRoutine+0x5f

fba2a8b8 804de7ec 81145fe8 c0000005 fba2acf4 nt!PspCreateProcess+0x46f

fba2a8c8 804ddae1 badb0d00 fba2a940 ffff0023 nt!KiUnexpectedInterrupt65+0x2

fba2a8cc badb0d00 fba2a940 ffff0023 ffffffff nt!ZwQueryObject+0x2

WARNING: Frame IP not in any known module. Following frames may be wrong.

fba2acf4 804df235 fba2ad10 00000000 fba2ad64 0xbadb0d00

fba2acf4 7c90eb94 fba2ad10 00000000 fba2ad64 nt!KiServiceExit2+0x11

0012ab54 00000000 00000000 00000000 00000000 0x7c90eb94



STACK_COMMAND: kb


FOLLOWUP_NAME: MachineOwner


FAILURE_BUCKET_ID: 0xF4_IMAGE_csrss.exe


BUCKET_ID: 0xF4_IMAGE_csrss.exe


Followup: MachineOwner

Jednak najczęściej BlueScreen spowodowany jest błędem:

BugCheck 1000008E, {c0000005, 610020, f9b4bcf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )

EDIT Przy próbie włączenia Gmera wyskakuje BlueScreen:

BugCheck F4, {3, 81160020, 81160194, 805f9f88}


Probably caused by : csrss.exe

kolejna próba nieudana

BugCheck F4, {3, 812039f8, 81203b6c, 805f9f88}


Probably caused by : csrss.exe

Złączono Posta : 04.05.2007 (Pią) 16:49

wybór padł na avast!, jednak mi to wszystko jedno, ważne aby nie był to program zbyt wymagający bo komputer do najszybszych nie należy.

W tej chwili komp jest z odinstalowanym avastem (bez czyszczenia rejestru)

Detonator zainstalowalem dopiero niedawno (wersja coś koło 30, z racji starej karty graficznej), wcześniej na sterownikach Microsoft Corporation było to samo.

niestety nic nie wskazuje na problem ze strownikami, przynajmniej nic nie wyskakuje i konfliktów nie ma. Dodatkowo nic nowego nie było instalowanego…

matnis5 · 4 Maj 2007 22:02

Niezależnie od tego co GMER wykaże można usługę

albo wyłączyć albo ustawić na uruchamianie ręczne.

Ponieważ we wcześniejszych minidumpach pojawiał się błąd związany z plikiem ntoskrnl.exe to można zawsze spróbować poprzez Konsolę Odzyskiwania podmiany za pomocą poleceń:

expand X\i386\ntkrnlmp.ex_D\Windows\system32\ntoskrnl.exe

Nie wiem czy jeżeli masz dostęp do interetu przez Netię sprawcą nie jest jej modem.

Nie wiem czy rozważałeś wcześniej opcję przywracania systemu lub opcję

ostatniej znanej dobrej konfiguracji?

Dobrze by było aby ktoś w końcu zadecydował co z tymi logami?

Na razie brak mi innych pomysłów bo nie wiadomo co możesz zrobić w aktualnym stanie?

ar2rek · 5 Maj 2007 08:35

Usługa NVIDIA Driver Helper Service ustawione na włączanie ręczne.

Tak tez sie wczoraj zastanawiałem nad nadpisaniem tego pliku oraz csrss.exe. Włączyłem ściąganie windowsa ponieważ nie zabrałem swoich płytek…

Internet jest z telewizji kablowej (Multimedia), modem na USB.

przywracania systemu nie robiłem… ale prawdę powiedziawszy to jeśli nawet opcja ta nie została wyłączona to przywracanie mogłoby teraz przynieść odwrotny skutek…

Ostatnia znana dobra konfiguracja była na samym początku uruchomiona - bez poprawy.

Możesz mi wskazać gdzie ewentualnie mogę ludzi pomęczyć z tymi logami?

Na ta chwile musze pokombinowac z oprogramowaniem usuwającym rootkity, bo wydaje mi się że w tym tkwi problem. Komputer był bez antywirusa od lutego…

matnis5 · 6 Maj 2007 06:14

A to mnie zaskoczyłeś…Na dzień dobry przeskanuj kompa jakimś AV online ,koniecznie zrób logi z HJ i SR i wstaw do działu bezpieczeńtwo -bo rozumiem że problemy z Avastem pojawił się przy próbie jego zainstalowania?

Czy nadal masz problemy z zainstalowaniem jakiegokolwiek AV?

Joan · 6 Maj 2007 07:56

usuń wpisy

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa

Przeinstaluj Avasta z czyszczeniem rejestru

CCleaner > http://dobreprogramy.pl/index.php?dz=2&t=88&id=1125

RegCleaner > http://dobreprogramy.pl/index.php?dz=2&t=29&id=177

Skan AVG AntySpyware 7.5 po update, wklej raport.

Wklej te logi z Gmera, przenoszę temat do Bezpieczeństwa.

ar2rek · 6 Maj 2007 19:42

Nie jest dobrze.

Kompa wyczyściłem CCleaner i RegCleaner. Zainstalowałem avasta i na tym koniec z systemem. Uruchamia się około 15min gdzie można spotkać następujące komunikaty:

minimalna wartość pamięci wirtualnej jest za niska...

Runtime error...

plik avasta

Proces systemowy SERVICES.EXE został nieoczekiwanie zakończony z kodem stanu 203

i odliczanie 60sec do restartu Z AVG AntySpyware też nie dobrze. Pierwszym razem odpaliłem go w trybie awaryjnym. Po parodziesieciu minutach ukazał sie BlueScreen, oto minidump:

Microsoft (R) Windows Debugger Version 6.7.0005.0

Copyright (c) Microsoft Corporation. All rights reserved.



Loading Dump File [D]

Mini Kernel Dump File: Only registers and stack trace are available


Symbol search path is: D:\WINDOWS\Symbols

Executable search path is: 

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a420

Debug session time: Sun May 6 21:17:43.712 2007 (GMT+2)

System Uptime: 0 days 0:49:17.224

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

Loading Kernel Symbols

.......................................................................................

Loading User Symbols

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************


Use !analyze -v to get detailed debugging information.


BugCheck 1000008E, {c0000005, 0, fba22cf0, 0}


Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )


Followup: MachineOwner

Nie mialem jeszcze wtedy avasta więć udało się uruchomić zwykły tryb pracy i odpalic AVG. Doszedł chyba do końca ale na koniec się zamknął… i nie pozostawił śladu swej działalności w logach. Przed chwilą uruchomiłem go w awaryjnym ponownie i ponownie z takim samym rezultatem. Z robaków jakie AVG znajdował był na pewno Zhelatin(w różnych odmianach). Gmera nie mogę uruchomic bo od razu jest BlueScreen (nie ważne w jakim trybie). Mam jeszcze takie minidumpy:

BugCheck 1000007F, {8, 80042000, 0, 0}


Unable to load image windev-2d97-72c1.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for windev-2d97-72c1.sys

*** ERROR: Module load completed but symbols could not be loaded for windev-2d97-72c1.sys

Probably caused by : aswMon2.SYS ( aswMon2+68b6 )


Followup: MachineOwner

BugCheck F4, {3, ffb9cda0, ffb9cf14, 805f9f88}


Unable to load image guard.sys, Win32 error 0n2

*** WARNING: Unable to verify timestamp for guard.sys

*** ERROR: Module load completed but symbols could not be loaded for guard.sys

Probably caused by : CSRSS.EXE


Followup: MachineOwner

Joan · 7 Maj 2007 16:31

Wklej loga z ComboFix

Wsadzasz płytkę XP do napędu.

Wejdź w start > Uruchom > sfc /scannow

ar2rek · 31 Maj 2007 12:29

Przykro mi, ale nie dokończymy tego. Jak pisałem na wstępie problem ten dotyczył komputeraz kobiety gdzie byłem w odwiedzinach. Niestety nie udało się go rozwiązać mimo starań.

Na tą chwilę komputer sie nie restetuje sie, pracuje bez antyvira

Płytki do reinstalacji czekają, jest to chyba najprostsza droga…

Niestety mnie tam nie ma więc wszelkie inne sposoby odpadają

Proszę o zamknięcie tamastu.

Osobom, które starały się pomóc serdecznie dziękujemy