x-kom hosting

Podwójny BSOD

luko80
utworzono
utworzono (edytowane)

Witam serdecznie,

i mnie to dopadło. Wczoraj 2 razy, w odstępie 1, może 1,5 godziny..
Dodam, że nie instalowałem nic nowego..
Poniżej przedstawiam zrzuty z programu WinDebugger:

BSOD #1

[spoiler]Loading Dump File [C:\Users\Lucas\Desktop\Minidump\Mini081810-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows Server 2008/Windows Vista Kernel Version 6002 (Service Pack 2) MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 6002.18267.amd64fre.vistasp2_gdr.100608-0458
Machine Name:
Kernel base = 0xfffff800`0281f000 PsLoadedModuleList = 0xfffff800`029e3dd0
Debug session time: Wed Aug 18 17:42:12.279 2010 (GMT+2)
System Uptime: 0 days 0:06:25.003
Loading Kernel Symbols
...............................................................
Loading User Symbols
Loading unloaded module list
....
*******************************************************************************
* Bugcheck Analysis *
*******************************************************************************

Use !analyze -v to get detailed debugging information.
BugCheck F4, {3, fffffa80066ed040, fffffa80066ed278, fffff80002afd4b0}
Probably caused by : csrss.exe
Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
* Bugcheck Analysis *
*******************************************************************************

CRITICAL_OBJECT_TERMINATION (f4)
A process or thread crucial to system operation has unexpectedly exited or been terminated.
Several processes and threads are necessary for the operation of the system; when they are terminated (for any reason), the system can no longer function.
Arguments:
Arg1: 0000000000000003, Process
Arg2: fffffa80066ed040, Terminating object
Arg3: fffffa80066ed278, Process image file name
Arg4: fffff80002afd4b0, Explanatory message (ascii)

Debugging Details:
------------------

KERNEL_LOG_EXIT_STATUS: Exit Status 7D33
KERNEL_LOG_FAILING_PROCESS: Sf.bin
PROCESS_OBJECT: fffffa80066ed040
IMAGE_NAME: csrss.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: csrss
FAULTING_MODULE: 0000000000000000
PROCESS_NAME: csrss.exe
EXCEPTION_CODE: (Win32) 0x8011bb0 (134290352) - <Unable to get error code text>
BUGCHECK_STR: 0xF4_8011BB0
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
CURRENT_IRQL: 0
STACK_TEXT:
fffffa60`06eccb28 fffff800`02b78083 : 00000000`000000f4 00000000`00000003 fffffa80`066ed040 fffffa80`066ed278 : nt!KeBugCheckEx
fffffa60`06eccb30 fffff800`02a92438 : fffffa80`08011bb0 fffffa80`08011bb0 00000000`0703f790 00000000`000066ef : nt!PspCatchCriticalBreak+0x93
fffffa60`06eccb70 fffff800`02ac5b60 : fffffa80`08011bb0 00000000`00000008 00000000`0703f790 00000000`00000008 : nt! ?? ::NNGAKEGL::`string'+0x11286
fffffa60`06eccbc0 fffff800`02878f73 : fffffa80`066ed040 fffffa80`08011bb0 fffffa60`06eccca0 00000000`0703f790 : nt!NtTerminateProcess+0xd8
fffffa60`06eccc20 00000000`76ef6fda : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`0703dc28 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x76ef6fda

STACK_COMMAND: kb
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: X64_0xF4_8011BB0_IMAGE_csrss.exe
BUCKET_ID: X64_0xF4_8011BB0_IMAGE_csrss.exe
Followup: MachineOwner
---------[/spoiler]

[b]i nieco później BSOD #2:[/b]
[spoiler]Loading Dump File [C:\Users\Lucas\Desktop\Minidump\Mini081810-02.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows Server 2008/Windows Vista Kernel Version 6002 (Service Pack 2) MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 6002.18267.amd64fre.vistasp2_gdr.100608-0458
Machine Name:
Kernel base = 0xfffff800`02819000 PsLoadedModuleList = 0xfffff800`029dddd0
Debug session time: Wed Aug 18 19:39:56.976 2010 (GMT+2)
System Uptime: 0 days 1:56:49.139
Loading Kernel Symbols
...............................................................
Loading User Symbols
Loading unloaded module list
....
*******************************************************************************
* Bugcheck Analysis *
*******************************************************************************

Use !analyze -v to get detailed debugging information.
BugCheck C2, {7, 110b, 2d0005, fffffa80239cd660}
GetPointerFromAddress: unable to read from fffff80002a40080
Probably caused by : NETIO.SYS ( NETIO!NetioDereferenceNetBufferListChain+137 )
Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* Bugcheck Analysis *
*******************************************************************************

BAD_POOL_CALLER (c2)
The current thread is making a bad pool request. Typically this is at a bad IRQL level or double freeing the same allocation, etc.
Arguments:
Arg1: 0000000000000007, Attempt to free pool which was already freed
Arg2: 000000000000110b, (reserved)
Arg3: 00000000002d0005, Memory contents of the pool block
Arg4: fffffa80239cd660, Address of the block of pool being deallocated

Debugging Details:
------------------

POOL_ADDRESS: fffffa80239cd660
FREED_POOL_TAG: TNbl
BUGCHECK_STR: 0xc2_7_TNbl
CUSTOMER_CRASH_COUNT: 2
DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
PROCESS_NAME: System
CURRENT_IRQL: 2
LAST_CONTROL_TRANSFER: from fffff8000294c3a5 to fffff800028734d0
STACK_TEXT:
fffffa60`017d97f8 fffff800`0294c3a5 : 00000000`000000c2 00000000`00000007 00000000`0000110b 00000000`002d0005 : nt!KeBugCheckEx
fffffa60`017d9800 fffffa60`00e60109 : 00000000`00000000 fffffa80`239cd680 fffffa80`4656d300 fffffa60`00e567d9 : nt!ExFreePool+0x48a
fffffa60`017d98b0 fffffa60`00b648e7 : fffffa80`049c8c80 00000000`00000001 00000000`00000001 fffffa60`00e6b7f1 : tcpip!TcpSendDatagramsComplete+0x99
fffffa60`017d98f0 fffffa60`00e6ebff : fffffa60`017d9900 00000000`00001701 00000000`000018c5 fffffa60`00e56234 : NETIO!NetioDereferenceNetBufferListChain+0x137
fffffa60`017d99b0 fffffa60`00e46e7d : fffffa80`04a21700 fffffa60`00000000 fffffa60`017d9c00 fffffa80`06a1fe40 : tcpip!TcpFlushDelay+0x15f
fffffa60`017d9a70 fffffa60`00e46f29 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : tcpip!IppDeliverListToProtocol+0x4d
fffffa60`017d9b30 fffffa60`00e46533 : fffffa60`00f40050 fffffa80`04a42080 00000000`00000000 fffffa60`017d9bf0 : tcpip!IppProcessDeliverList+0x59
fffffa60`017d9ba0 fffffa60`00e352d2 : fffffa60`005ec180 00000000`00000000 00000000`00000000 fffff800`02acfa7c : tcpip!IppReceiveHeaderBatch+0x223
fffffa60`017d9c80 fffff800`02ad4063 : fffffa80`048ea040 fffff800`029aa8f8 fffffa80`039ba040 fffffa80`04a24420 : tcpip!IppLoopbackTransmit+0x72
fffffa60`017d9cc0 fffff800`0287a8c3 : fffff800`02acfa7c fffff800`029aa801 fffffa80`039ba000 00000000`00000000 : nt!IopProcessWorkItem+0x27
fffffa60`017d9cf0 fffff800`02a7df57 : fffffa80`04a24420 ffffffff`ffffffff fffffa80`039ba040 00000000`00000080 : nt!ExpWorkerThread+0xfb
fffffa60`017d9d50 fffff800`028b0656 : fffffa60`005ec180 fffffa80`039ba040 fffffa60`005f5d40 fffffa80`039bb818 : nt!PspSystemThreadStartup+0x57
fffffa60`017d9d80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16

STACK_COMMAND: kb
FOLLOWUP_IP:
NETIO!NetioDereferenceNetBufferListChain+137
fffffa60`00b648e7 4c8bb42480000000 mov r14,qword ptr [rsp+80h]

SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: NETIO!NetioDereferenceNetBufferListChain+137
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: NETIO
IMAGE_NAME: NETIO.SYS
DEBUG_FLR_IMAGE_TIMESTAMP: 49e02e06
FAILURE_BUCKET_ID: X64_0xc2_7_TNbl_NETIO!NetioDereferenceNetBufferListChain+137
BUCKET_ID: X64_0xc2_7_TNbl_NETIO!NetioDereferenceNetBufferListChain+137
Followup: MachineOwner
---------[/spoiler]

Nie wiem szczerze mówiąc, czy obydwa błędy są jakoś ze sobą powiązane..

Dodam, że mam Vistę 64..i zauważyłem, ze obydwa BSODy pojawiły się, gdy uruchomiony był program VRoute (fani MS Flight Simulator znają zapewne tę aplikację.. generalnie program służy do planowania lotu, ma połączenie z Internetem). Niemniej jednak używam ten soft od kilku m-cy i nie było takich problemów.

Dodam jeszcze, że przeskanowałem komputer Avastem free (po aktualizacji definicji) oraz SpyBootem (również po aktualizacji definicji).
Co do BSOD 1 - tam podejrzany jest plik csrss.exe - gdzieś czytałem w sieci, że może to oznaczać trojana i generalnie ten plik powinien znajdować się tylko w katalogu Windows\System32. U mnie jest jeszcze w katalogach:
C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_b5027f5b9c731f82
oraz
C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_b2cbbd5f9f880eae

Aha, w Procesach, mam dwa razy uruchomiony proces csrss.

Od czego zacząć?

PS. Wczoraj zmieniłem przy okazji sterowniki karty graficznej (Radeon HD 4870 na wersję 10.5; wcześniej 10.3)
PS2. Jeszcze kilka słów o sprzęcie:
Płyta MSI P35 Neo II fir, 2x2GM RAM Corsair, grafika j.w., Intel E6750 delikatnie podkręcony do ok. 3GHz, 2 dyski Samsunga (ale nie w RAID), zasilacz Corsair 520 (lub 560 nie pamiętam) Wat. OS: Vista64 + Sp1, 2 (oryg. OEM)
Pozdrawiam,
Łukasz

ziomal166
komentarz
komentarz

Wpierw zaczniemy od sprawdzenia czy komputer zawiera jakieś syfy. Umieść log z OTL: http://www.forumpc.pl/index.php?showtopic=104338

luko80
komentarz
komentarz (edytowane)

Dzięki za chęć pomocy!!

Zanim wkleję log, dodam, że dziś przeskanowałem dysk C mks_online (wywalił jakiegoś 1 trojana) a teraz leci Panda skaner online i przy 30% mam 5 zainfekowanych i 1 podejrzany plik (niestety nie wiem jakie, bo nie ma żadnego podglądu, pewnie na koniec coś się wyświetli).

OTL log w załączeniu.

ziomal166
komentarz
komentarz (edytowane)

W logu nic nie znalazłem, lecz może ktoś inny coś znajdzie. Jak skończy się skanowanie to podaj jakie ci pliki wykrył, lecz mi się wydaje, że to będą pliki od ComoboFixa.

raazor90
komentarz
komentarz

[quote]Probably caused by : csrss.exe[/quote]
Przyczyną jest infekcja, temat przeniosę do Bezpieczeństwa gdzie logi sprawdzą nasi fachowcy

[quote]Probably caused by : NETIO.SYS ( NETIO!NetioDereferenceNetBufferListChain+137 )[/quote]

Zainstaluj tą łatkę: http://thehotfixshare.net/board/index.php?showtopic=6400

luko80
komentarz
komentarz

[quote="raazor90"]Zainstaluj tą łatkę: http://thehotfixshar...?showtopic=6400 [/quote]
Mam komunikat, że ta aktualizacja nie ma zastosowania to tego systemu.

PS. Panda jest dopiero na 46% - już 10 zainfekowanych i 2 podejrzane. PS. Czy ten skaner również naprawia/usuwa infekcje, czy tylko je wykazuje?

adis15
komentarz
komentarz

Panda on-line usuwa wirusy

luko80
komentarz
komentarz (edytowane)

Nie wiem jak usuwa..
u mnie tylko jest możliwość wyeksportowania wyników do txt. Wykrył kilkanaście zainfekowanych plików, które spokojnie mogę usunąć ręcznie.. cały czas podejrzewam tego csrss i nie wiem jak to usunąć..
tzn. nie próbowałem jeszcze ręcznie, więc może spróbuję, tylko pewnie najpierw muszę zakończyć któryś z dwóch uruchomionych procesów csrss..? Przypomnę, że csrss.exe, oprócz katalogu System32 mam jeszcze w dwóch miejscach (vide pierwszy post)

Tomek01
komentarz
komentarz

Do [url=http://images.malwareremoval.com/jpshortstuff/SystemLook.exe][b]System Look[/b][/url] wklej:

[code]:file
csrss.exe

:reg
csrss.exe
[/code]
Wciśnij look, pokaż co wyskoczy.

luko80
komentarz
komentarz

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 21:50 on 19/08/2010 by Lucas (Administrator - Elevation successful)

========== file ==========

csrss.exe - Unable to find/read file.

========== reg ==========

[csrss.exe]
Hive unrecognized.

-=End Of File=-

Tomek01
komentarz
komentarz

To teraz:

[code]:filefind
csrss.exe[/code]

look...

luko80
komentarz
komentarz (edytowane)

========== filefind ==========

Searching for "csrss.exe"
C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6000.16386_none_b2cbbd5f9f880eae\csrss.exe --a--- 7680 bytes [09:05 02/11/2006] [11:15 02/11/2006] 2C1B6476C4E84B885A54B7C6CDE7DC97
C:\Windows\winsxs\amd64_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_b5027f5b9c731f82\csrss.exe --a--- 7680 bytes [20:56 01/04/2010] [22:00 18/01/2008] B4ABE68596B173FF2AB2076BC7C35EB4

-=End Of File=-

..macie jakiś pomysł co dalej z tym fantem? :)
Ja jeszcze dodam ze swojej strony, że próbowałem odpalić Combofixa w trybie awaryjnym (ktoś mi tak zasugerował), ale niestety pod Vistą64 to nie działa.

Tomek01
komentarz
komentarz

I dobrze, że nie udało Ci się użyć Combofix'a. Nie jest to zgodne z regulaminem i radzę sobie na ten temat poczytać.

Jeśli ktoś ma system pod Vistą i SP2 proszę o wykonanie #11 i wklejenie na forum w celu porównania.

luko80
komentarz
komentarz

Z tym Combofixem to było tak, że polecił mi go odpalić mój znajomy, bo twierdził, że usunął tym kiedyś podobną zarazę .. zasugerowany tym, uczyniłem to, ale jak piszę wyżej - nie zadziałał.. a punkt z nagłówka tego działu niestety mi umknął :(
Tomek, a co oznacza wykonanie #11?

Tomek01
komentarz
komentarz

Csrss.exe jest czysty. http://translate.google.pl/translate?hl=pl&sl=en&u=http://www.backgroundtask.eu/Systeemtaken/Taakinfo.php%3FID%3D3639&ei=KORyTMm5OY2Vswa76pC6Bg&sa=X&oi=translate&ct=result&resnum=1&ved=0CCgQ7gEwAA&prev=/search%3Fq%3DB4ABE68596B173FF2AB2076BC7C35EB4%26hl%3Dpl%26lr%3Dlang_pl%26sa%3DX%26tbs%3Dlr:lang_1pl

luko80
komentarz
komentarz

Ok, dzięki wielkie za pomoc Tomek. Trochę się uspokoiłem.. gdyby jednak coś jeszcze mnie niepokoiło.. pewnie się odezwę ;)
Pozdrawiam,
Łukasz

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.