BSOD Vista - proszę o pomoc.

[Krystian1982]

Witam. Proszę o pomoc z powracającym BSOD na laptopie z Vistą. Poniżej zawartość minidump.

Kod:

Microsoft (R) Windows DebuggerVersion 6.6.0003.5
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\Minidump\Mini011815-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by:*
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+*
*********************************************************************
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Windows Vista Kernel Version 6002 (Service Pack 2) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Kernel base = 0x83010000 PsLoadedModuleList = 0x83127c70
Debug session time: Sun Jan 18 22:14:22.894 2015 (GMT+1)
System Uptime: 0 days 1:49:21.932
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by:*
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+*
*********************************************************************
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Loading Kernel Symbols
......................................................................................................................................................................................
Loading User Symbols
Loading unloaded module list
......
*******************************************************************************
* *
*Bugcheck Analysis*
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1E, {c0000005, 9c3fe2b8, 0, 0}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
*** ***
*** ***
***Your debugger is not using the correct symbols ***
*** ***
***In order for this command to work properly, your symbol path ***
***must point to .pdb files that have full type information.***
*** ***
***Certain .pdb files (such as the public OS symbols) do not***
***contain the required information.Contact the group that***
***provided you with these symbols if you need this command to***
***work.***
*** ***
***Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*** WARNING: Unable to verify timestamp for tcpip.sys
*** ERROR: Module load completed but symbols could not be loaded for tcpip.sys
*** WARNING: Unable to verify timestamp for tdx.sys
*** ERROR: Module load completed but symbols could not be loaded for tdx.sys
*** WARNING: Unable to verify timestamp for adgnetworktdi.sys
*** ERROR: Module load completed but symbols could not be loaded for adgnetworktdi.sys
Probably caused by : tdx.sys ( tdx+3d86 )

Followup: MachineOwner
---------
---------

1: kd> nt!_KPRCB
^ Syntax error in ''nt!_KPRCB''
1: kd> !analyze -v
*******************************************************************************
* *
*Bugcheck Analysis*
* *
*******************************************************************************

KMODE_EXCEPTION_NOT_HANDLED (1e)
This is a very common bugcheck.Usually the exception address pinpoints
the driver/function that caused the problem.Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 9c3fe2b8, The address that the exception occurred at
Arg3: 00000000, Parameter 0 of the exception
Arg4: 00000000, Parameter 1 of the exception

Debugging Details:
------------------

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
*** ***
*** ***
***Your debugger is not using the correct symbols ***
*** ***
***In order for this command to work properly, your symbol path ***
***must point to .pdb files that have full type information.***
*** ***
***Certain .pdb files (such as the public OS symbols) do not***
***contain the required information.Contact the group that***
***provided you with these symbols if you need this command to***
***work.***
*** ***
***Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************

MODULE_NAME:tdx

FAULTING_MODULE: 83010000 nt

DEBUG_FLR_IMAGE_TIMESTAMP:49e02084

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod 0x%08lx odwo

FAULTING_IP:
+ffffffff9c3fe2b8
9c3fe2b8 8ce7 mov edi,fs

EXCEPTION_PARAMETER1:00000000

EXCEPTION_PARAMETER2:00000000

READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
00000000

CUSTOMER_CRASH_COUNT:1

DEFAULT_BUCKET_ID:VISTA_BETA2

BUGCHECK_STR:0x1E

LAST_CONTROL_TRANSFER:from 830dd1fe to 830dd9bd

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
9c3fe26c 830dd1fe 0000001e c0000005 9c3fe2b8 nt+0xcd9bd
9c3fe288 830c2d5c 0000001e 830be16c 00000001 nt+0xcd1fe
9c3feb28 8c05db69 8c05db84 9c3feb4c 00000000 nt+0xb2d5c
9c3feb58 90fa7d86 86820c40 9c3feb74 86d09e28 tcpip+0x55b69
9c3feba0 90fafa52 88d404c8 86d09e00 87048888 tdx+0x3d86
9c3febbc 8305497a 881229d8 86d09e28 8676cb40 tdx+0xba52
9c3febd4 90fbfcda 8632de4c a91b4000 833cdec0 nt+0x4497a
9c3febf0 90fc0d62 0032de4c 00000000 a91b4000 adgnetworktdi+0x5cda
9c3fec20 90fc2780 02000001 864dd800 9c3fec4c adgnetworktdi+0x6d62
9c3fec30 90fc289b a91b4000 00000035 86134848 adgnetworktdi+0x8780
9c3fec4c 90fba95c 864dd800 864dd870 9c3fec6c adgnetworktdi+0x889b
9c3fec5c 90fc2d1f 8816d918 864dd800 9c3fec84 adgnetworktdi+0x95c
9c3fec6c 8305497a 8816d918 864dd800 864dd800 adgnetworktdi+0x8d1f
9c3fec84 83256e25 00000004 864dd800 864dd870 nt+0x4497a
9c3feca4 83223b13 8816d918 86134848 00000001 nt+0x246e25
9c3fed38 8305ac96 8816d918 0000061c 00000000 nt+0x213b13
9c3fed64 776f5d14 badb0d00 0815f69c 00000000 nt+0x4ac96
9c3fed68 badb0d00 0815f69c 00000000 00000000 0x776f5d14
9c3fed6c 0815f69c 00000000 00000000 00000000 0xbadb0d00
9c3fed70 00000000 00000000 00000000 00000000 0x815f69c


STACK_COMMAND:kb

[ichito]

ntkrnlpa.exe to składnik systemu i bez niego albo z uszkodzonym system nie wstaje. Spróbuj zrobić instalację naprawczą i odpalić system, a potem czynności konieczne w dziale pomocy po infekcji (w różowej polu)

[Aby zobaczyć linki, zarejestruj się tutaj]

Plik często bywa uszkodzony przez infekcje, ale równie często przez niepoprawne/szkodliwe działanie aplikacji do zabezpieczeń/optymalizacji/czyszczenia albo przez własne eksperymenty na systemie.

[Krystian1982]

Instalację naprawczą robiłem kilka dni temu i system powstał. Natomiast BSOD-y pojawiają się co jakiś czas.
Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras

[Aby zobaczyć linki, zarejestruj się tutaj]

[Krystian1982]

Podbijam i proszę o sprawdzenie logów.

[tachion]

Moim zdaniem Vista jest spalona od samego początku lepiej by było przejść choćby na Windows 7 albo 8.1.

Logi zaraz sprawdzę.

[Krystian1982]

Mam ją z laptopem i to dosyć już wiekowym więc sama zmiana systemu nie wchodzi w grę, a na nowy sprzęt kasy brak.

[tachion]

Próbowałeś przywracania systemu z partycji recovery ? I dzieje się tak samo ?

[Eugeniusz]

Odinstaluj Adguarda i sprawdź czy problem występuje.

[tachion]

SpyShelter i Pandę na chwile obecną też.

Jak i YTD Video Downloader 4.8.8

Zainstaluj IE 11

[Krystian1982]

Próbowałeś przywracania systemu z partycji recovery ? I dzieje się tak samo ?

Używałem tylko opcji naprawy systemu. Po tej operacji system wstał.

Zainstaluj IE 11

Z opisu wynika, że na Viscie nie pójdzie.

[tachion]

A no fakt.

W takim wypadku zresetuj ie

[Aby zobaczyć linki, zarejestruj się tutaj]

[Krystian1982]

Odinstaluj Adguarda i sprawdź czy problem występuje.

SpyShelter i Pandę na chwile obecną też.

Jak i YTD Video Downloader 4.8.8

W takim wypadku zresetuj ie

Wszystko usunięte ie zresetowany.

[tachion]

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt,Shortcut.txt + OTL ale bez extras

[Krystian1982]

Shortcut.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Podstawowego FRST.txt brak

[Krystian1982]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj jeszcze:

ArcSoft TotalMedia 3.5
Glary Utilities PRO
Driver Booster 2.1
Malwarebytes Anti-Malware wersja 2.0.4.1028 (na chwilę obecną)

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
SearchScopes: HKU\S-1-5-21-994184627-2605726544-1177801987-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} ->No File
Toolbar: HKU\S-1-5-21-994184627-2605726544-1177801987-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -No File
Handler: ftp - No CLSID Value -
Handler: http - No CLSID Value -
Handler: https - No CLSID Value -
S3 AcrSch2Svc; "C:\Program Files\Common Files\Acronis\Harmonogram2\schedul2.exe" [X]
S2 Adguard Service; D:\Programy\Adguard\AdguardSvc.exe [X]
S0 amdide; system32\DRIVERS\amdide.sys [X]
S3 amdkmdap; system32\DRIVERS\atikmpag.sys [X]
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
C:\Windows\RAVTC.TMP
C:\Windows\RAVDG.TMP
C:\SMCLpav
C:\ProgramData\Update2343200959509
C:\~ytE995.tmp
C:\Users\Pan i władca\AppData\Local\{AC7722BD-DC51-42ED-8179-5A1F6395A513}
C:\Windows\system32\URTTEMP
C:\Users\Pan i władca\AppData\Roaming\Crystal Security
C:\ProgramData\IObit
C:\Users\Pan i władca\AppData\Local\4C46816A_stp.CIS
C:\Users\Pan i władca\AppData\Local\4C46816A_stp.CIS.part
C:\Users\Pan i władca\AppData\Local\6AC3B58C_stp.CIS
C:\Users\Pan i władca\AppData\Local\6AC3B58C_stp.CIS.part
C:\Users\Pan i władca\AppData\Local\7DD354DE_stp.EXE
C:\Users\Pan i władca\AppData\Local\7DD354DE_stp.EXE.part
C:\ProgramData\DP45977C.lfl
C:\ProgramData\fontcacheev1.dat
Task: {4024FD6F-E08E-4F7B-887A-91F04F13BCE2} - System32\Tasks\Norton AntiVirus\Norton Error Processor => C:\Program Files\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe
Task: {620A95F7-CAE0-4393-92B8-0CDE53526380} - System32\Tasks\Driver Booster Update => D:\Programy\Driver Booster\AutoUpdate.exe [2014-12-09] (IObit)
Task: {6C413384-3913-42A5-AB3F-62E654EAB08E} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\VistaSP1CEIP => C:\Windows\servicing\vsp1ceip.exe [2008-01-18] (Microsoft Corporation)
Task: {7BC8CC10-6C6B-4F1F-BAD3-29E14044871B} - System32\Tasks\GlaryInitialize 5 => D:\Programy\Glary Utilities 4\Initialize.exe [2014-12-22] (Glarysoft Ltd)
Task: {7F79C480-FAA2-4900-AF24-45CD42B739DD} - System32\Tasks\Microsoft\Windows\WindowsCalendar\Reminders - Pan i władca => C:\Program Files\Windows Calendar\WinCal.exe [2009-04-10] (Microsoft Corporation)
Task: {9672DAB6-99A5-4E6C-9D4A-E63AA2CC433C} - System32\Tasks\Norton AntiVirus\Norton Error Analyzer => C:\Program Files\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe
Task: {BAD621DB-B79F-4ABE-B218-E4D0C5C571C7} - System32\Tasks\GU5SkipUAC => D:\Programy\Glary Utilities 4\Integrator.exe [2014-12-22] (Glarysoft Ltd)
Task: {C0577BC4-58F4-40B2-B7AB-F57E598242DF} - System32\Tasks\Driver Booster SkipUAC (Pan i władca) => D:\Programy\Driver Booster\DriverBooster.exe [2014-12-17] (IObit)
Task: {EAFFDDA9-DF31-4727-B83D-2F48418FF647} - \Norton WSC Integration No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:905844AA
AlternateDataStreams: C:\ProgramData\TEMP:B3ED3AFF
AlternateDataStreams: C:\ProgramData\TEMP:C43ED645
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Wklej do notatnika:

Kod:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f
ipconfig /flushdns
netsh firewall reset
netsh int ip reset c:\resetlog.txt
pause

Zapisz jako fix.bat i uruchom jako administrator

[Krystian1982]

Zrobione

[Aby zobaczyć linki, zarejestruj się tutaj]

[Eugeniusz]

Szkoda że zrobiłeś wszystko za jednym zamachem. Teraz nie będzie wiadomo co było przyczyną, jeśli problem ustąpi rzecz jasna. Zaiste ambaras.

Nie odzywam się dalej bo dostanę warna.

[Krystian1982]

Na razie problem nie występuje. Dlaczego podejrzewałeś Adguarda?