Всем здравствуйте. Последнее время часто выпадает экран смерти с разными ошибками:
BAD_POOL_HEADER 0x000000c2
На синем экране внизу написано:
tcpip.sys - Addres BAF576DA base of BAF4D000, DateStamp 41107ecf
Вчера на BSOD вверху экрана заголовка ошибки не было, лишь внизу 0x000000c2 с различными ошибками в скобках. Вируса в системе нет, проверено однозначно. Заранее благодарю за внимание. Железо:
Модель K7VT4A+
Процессор x86 Family 6 Model 8 Stepping 1 AuthenticAMD ~1798 МГц
Версия BIOS American Megatrends Inc. P1.30, 19.07.2004
Полный объем физической памяти 768,00 МБ
Доступно физической памяти 457,80 МБ
Всего виртуальной памяти 2,00 ГБ
Доступно виртуальной памяти 1,96 ГБ
Файл подкачки 1,83 ГБ
Файл подкачки C:\pagefile.sys
Видео: RADEON 9600 SERIES
Звук: C-Media AC97 Audio Device
HDD: SAMSUNG SP0802N 74,56 ГБ
Сетевая карта: Realtek RTL8139 Family PCI Fast Ethernet
ОС: WinXP SP2, активирована.
Добавлено через 5 часов 1 минуту
Я проверил последний минидамп. Указывает на проблему в драйвере ntoskrnl.exe. Как малой кровью его обновить?
Последний раз редактировалось SlavikS70; 12.09.2009 в 02:32.
Причина: Добавлено
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.Загрузите компьютер с помощью компакт-диска Windows XP. Нажмите любую клавишу для загрузки с компакт-диска.
2.После загрузки установочных файлов нажмите клавишу R для запуска агента восстановления.
3.В агенте восстановления выберите загружаемую систему (как правило, под номером 1) и нажмите клавишу ВВОД.
4.Воспользуйтесь учетной записью администратора, введя соответствующий пароль, и нажмите клавишу ВВОД.
5.В командной строке агента восстановления введите указанную ниже команду и затем нажмите клавишу ВВОД.
Для однопроцессорных систем:
expand <дисковод_компакт-дисков>:\i386\ntoskrnl.ex_ <жесткий_диск>:\Windows\system32\ntoskrnl.exe
Для многопроцессорных систем:
expand <дисковод_компакт-дисков>:\i386\ntkrnlmp.ex_ <жесткий_диск>:\Windows\system32\ntoskrnl.exe
Примечание. В этих двух командах <дисковод_компакт-дисков> — буква дисковода компакт-дисков, а <жесткий_диск> — буква жесткого диска, на котором установлена система Windows.
При выводе запроса на перезапись файла нажмите клавишу Y.
Чтобы выйти из командной строки, введите команду exit и нажмите клавишу ВВОД.
SlavikS70,
1. никаким ntoskrnl.exe там и не пахнет
2. поставь наконец-то СП3, да и про обновления незабудь.
3. и давай еще дампов, ибо не совсем понятно что там случилось .
Код:
Microsoft (R) Windows Debugger Version 6.11.0001.402 X86
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [E:\kdfe_Dump_Analize\DumpS\Mini091409-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: srv*kdfe\symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible
Product: WinNt
Built by: 2600.xpsp_sp2_rtm.040803-2158
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055ab20
Debug session time: Tue Sep 15 00:50:28.703 2009 (GMT+6)
System Uptime: 0 days 0:17:31.250
Loading Kernel Symbols
...............................................................
................................................................
............
Loading User Symbols
Loading unloaded module list
.........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck C5, {63506343, 2, 1, 8054b907}
Probably caused by : Pool_CorruptionProcessing initial command '!analyze -v'
( nt!ExDeferredFreePool+156 )
Followup: Pool_corruption
---------
kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
DRIVER_CORRUPTED_EXPOOL (c5)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is
caused by drivers that have corrupted the system pool. Run the driver
verifier against any new (or suspect) drivers, and if that doesn't turn up
the culprit, then use gflags to enable special pool.
Arguments:
Arg1: 63506343, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation
Arg4: 8054b907, address which referenced memory
Debugging Details:
------------------
BUGCHECK_STR: 0xC5_2
CURRENT_IRQL: 2
FAULTING_IP:
nt!ExDeferredFreePool+156
8054b907 8913 mov dword ptr [ebx],edx
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
TRAP_FRAME: f7b25bd0 -- (.trap 0xfffffffff7b25bd0)
ErrCode = 00000002
eax=81f18dc0 ebx=63506343 ecx=81f18db8 edx=020d0001 esi=80562040 edi=000001ff
eip=8054b907 esp=f7b25c44 ebp=f7b25c84 iopl=0 nv up ei ng nz ac pe cy
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010297
nt!ExDeferredFreePool+0x156:
8054b907 8913 mov dword ptr [ebx],edx ds:0023:63506343=????????
Resetting default scope
LAST_CONTROL_TRANSFER: from 8054b907 to 804e2158
STACK_TEXT:
f7b25bd0 8054b907 badb0d00 020d0001 00000000 nt!KiTrap0E+0x233
f7b25c84 8054ba1e ff7121d8 ff72df34 ff72ded0 nt!ExDeferredFreePool+0x156
f7b25cc4 804f476a ff72ded0 00000000 806ee298 nt!ExFreePoolWithTag+0x489
f7b25cf4 804ee2df 00000001 80556d10 83a400b0 nt!CcDeleteSharedCacheMap+0x141
f7b25d2c 804e54ad 83bfcd40 80561b40 83bc6020 nt!CcWriteBehind+0x316
f7b25d74 804e47fe 83bfcd40 00000000 83bc6020 nt!CcWorkerThread+0x126
f7b25dac 8057dfed 83bfcd40 00000000 00000000 nt!ExpWorkerThread+0x100
f7b25ddc 804fa477 804e4729 00000000 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16
STACK_COMMAND: kb
FOLLOWUP_IP:
nt!ExDeferredFreePool+156
8054b907 8913 mov dword ptr [ebx],edx
SYMBOL_STACK_INDEX: 1
SYMBOL_NAME: nt!ExDeferredFreePool+156
FOLLOWUP_NAME: Pool_corruption
IMAGE_NAME: Pool_Corruption
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: Pool_Corruption
FAILURE_BUCKET_ID: 0xC5_2_nt!ExDeferredFreePool+156
BUCKET_ID: 0xC5_2_nt!ExDeferredFreePool+156
Followup: Pool_corruption
---------
Добавлено через 7 минут
мдааа., думаю HDD тож не лишним проверить будет.
качай iso с MHDD и проверь поверхность.
Последний раз редактировалось Virtual; 15.09.2009 в 06:31.
Причина: Добавлено
Virtual, пасибки огомноеза инфу ,а стоит ли ставить сп3? Не помешает точно?
Добавлено через 9 минут
поверхность в норме, регенератором проверял....
Добавлено через 2 минуты
Virtual, кстати, а ты чем дампы читаешь? Не поделишься? Я kdfe.cmd "%systemroot%\Minidump\и т.д.
Добавлено через 41 минуту
Пытался 3-й пак поставить: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x87ff054f: Пакет обновления 3 (SP3) для ОС Windows XP (KB936929).
Разве проблема не реально в ntoskrnl.exe? Virtual, а минидампов нет больше, пустая папка..... или не там смотрю?
Последний раз редактировалось SlavikS70; 16.09.2009 в 02:07.
Причина: Добавлено
SlavikS70,
kdfe.cmd это тупо скрипт для ленивых, выдергивающий инфу из консольного анализатора KD
попробуй в конце kdfe.cmd "%systemroot%\Minidump\и т.д. поставить -v, увидиш то-же самое. а по ссылке выше узнаеш, что еще есть и GUI для кд . windbg
насчет того что вирусов нет,- не уверен. а то что SP3 не ставится - плохо.
ntoskrnl.exe это ядро, какие нафиг с ним проблемы? отладчик его признал родным, и проблемы в нем теоритически могут возникнуть при инжектированнии кода зловредами.
Пытался 3-й пак поставить: Ошибка установки: не удается установить следующее обновление из-за ошибки 0x87ff054f: Пакет обновления 3 (SP3) для ОС Windows XP (KB936929).
нюню, небось еще в логах по обновлению есть чет типа GetProductID Failed небось догадались как решать проблему,
и учтите что без СП3 + ведерко обновлений в сети делать нечего. накопление "заразы" вопрос только времени.
ЗЫ смотреть \WINDOWS\svcpack.log
а лучше давай его сюда.
Последний раз редактировалось Virtual; 17.09.2009 в 11:38.
Virtual, да, в этом логе есть GetProductID Failed. Если честно, я не совсем понял, как решать проблему.
Выкладываю svcpack.log и последний дамп. Пасибки вам огромное за внимание и помощь.
Хочу добавить, что Dr.Web CureIt нашел заразу в seekservice.dll. А вообще заметил, что долго стали открываться страницы. Пробовал и своим Maxthon и запускал IE8, результат один...
SlavikS70, GetProductID Failed |получить идентефикатор продукта= облом|
ну не нравится ему твой пиратский ID, или вообще его не находит . /тут такую проблему решали /
CureIt нашел заразу в seekservice.dll. А вообще заметил, что долго стали открываться страницы.
пройти через процедуру в разделе помогите, согласно правилам
добавлено.....
ЗЫ а судя по последнему дампу тебе точно сначало в раздел помогите!
ибо что за зверь такой uzmxmzmz.sys вызвавший BSOD драйвер со случайным именем? нюню
Последний раз редактировалось Virtual; 18.09.2009 в 09:48.
SlavikS70, GetProductID Failed |получить идентефикатор продукта= облом|
ну не нравится ему твой пиратский ID, или вообще его не находит . /тут такую проблему решали /
Я почитал проблемы по решению этого вопроса. Так вывод действительно однозначный: если нормально работала СП2, зачем морочиться с СП3. Схожу на "лечение", просто чувствую, что зараза мне чуток дел натворила. Спасибо тебе за помощь огромное!
1. вывод далеко неоднозначен! ибо у мну напр СП3 везде (в том числе и на слабых компах) работает быстрей и надежней. + многие обновления уже не ставются на сп2 . притом очень нужные.
2. это если возникает желание оставить о ком либо свое мнение