Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

kl1.sys powoduje błąd STOP

Alhabor 17 Paź 2010 19:33 2684 7
  • #1 17 Paź 2010 19:33
    Alhabor
    Poziom 11  

    Witam,

    Proszę o pomoc. Mam problem z częstymi bluescreenami. Zdarzają się losowo bez wyraźnego powodu:

    kl1.sys powoduje błąd STOP

    Mam system XP SP3 Professional. Problem pojawił się po przywróceniu go z kopii zapasowej. Ze względu na podejrzenie, że błąd powoduje program Kaspersky Internet Security (8.0.0.506) zainstalowałem jego najnowszą wersję (11.0.1.401) jednak problem występuje nadal. WinDbg dał taki raport z crash dump

    ____________________________________________________________________
    BugCheck 1000007E, {c0000005, aa158448, b8099ac0, b80997bc}

    *** WARNING: Unable to verify timestamp for mssmbios.sys
    *** WARNING: Unable to verify timestamp for kl1.sys
    *** ERROR: Module load completed but symbols could not be loaded for kl1.sys
    Probably caused by : kl1.sys ( kl1+43a19 )

    Followup: MachineOwner
    ---------

    1: kd> !analyze -v
    *******************************************************************************
    * *
    * Bugcheck Analysis *
    * *
    *******************************************************************************

    SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
    This is a very common bugcheck. Usually the exception address pinpoints
    the driver/function that caused the problem. Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003. This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG. This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG. This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: aa158448, The address that the exception occurred at
    Arg3: b8099ac0, Exception Record Address
    Arg4: b80997bc, Context Record Address

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod "0x%08lx" odwołuje się do pamięci pod adresem "0x%08lx". Pamięć nie może być "%s".

    FAULTING_IP:
    tcpip!TcpipBufferVirtualAddress+8
    aa158448 ?? ???

    EXCEPTION_RECORD: b8099ac0 -- (.exr 0xffffffffb8099ac0)
    Cannot read Exception record @ b8099ac0





    CONTEXT: b80997bc -- (.cxr 0xffffffffb80997bc)
    Unable to read context, Win32 error 0n30

    CUSTOMER_CRASH_COUNT: 2

    DEFAULT_BUCKET_ID: DRIVER_FAULT

    BUGCHECK_STR: 0x7E

    EXCEPTION_STR: 0x0

    LAST_CONTROL_TRANSFER: from aa15b7f8 to aa158448

    STACK_TEXT:
    b8099b88 aa15b7f8 01000000 00000010 88e302d8 tcpip!TcpipBufferVirtualAddress+0x8
    b8099ba8 aa15f2b7 0002423e 88e3f35c 8a6bc878 tcpip!XsumSendChain+0x44
    b8099c28 aa15f0cf 8873b008 8a6bc878 8808c8c0 tcpip!UDPSend+0x3cd
    b8099c4c aa15f135 00099c70 8808cfa0 88e3f39c tcpip!TdiSendDatagram+0xd8
    b8099c84 aa15b881 8808c8c0 8808c954 8808c8c0 tcpip!UDPSendDatagram+0x52
    b8099ca0 804ef19f 89bc2e18 8808c8c0 8808c8c0 tcpip!TCPDispatchInternalDeviceControl+0xff
    b8099cb4 8a498fb0 8808c8c0 8a498ef8 8a498fb0 nt!IopStartNextPacketByKeyEx+0x11
    WARNING: Frame IP not in any known module. Following frames may be wrong.
    b8099cc4 8808c8c0 b977ca19 8a498ef8 8808c8c0 0x8a498fb0
    b8099cc8 b977ca19 8a498ef8 8808c8c0 00000000 0x8808c8c0
    b8099ccc 8a498ef8 8808c8c0 00000000 8a498ef8 kl1+0x43a19
    b8099cd0 8808c8c0 00000000 8a498ef8 00000000 0x8a498ef8
    b8099cd4 00000000 8a498ef8 00000000 8808c954 0x8808c8c0


    FOLLOWUP_IP:
    kl1+43a19
    b977ca19 ?? ???

    SYMBOL_STACK_INDEX: 9

    SYMBOL_NAME: kl1+43a19

    FOLLOWUP_NAME: MachineOwner

    MODULE_NAME: kl1

    IMAGE_NAME: kl1.sys

    DEBUG_FLR_IMAGE_TIMESTAMP: 4c0f9617

    STACK_COMMAND: .cxr 0xffffffffb80997bc ; kb

    FAILURE_BUCKET_ID: 0x7E_kl1+43a19

    BUCKET_ID: 0x7E_kl1+43a19

    Followup: MachineOwner
    ---------

    1: kd> lmvm kl1
    start end module name
    b9739000 b9c5b000 kl1 T (no symbols)
    Loaded symbol image file: kl1.sys
    Image path: kl1.sys
    Image name: kl1.sys
    Timestamp: Wed Jun 09 15:24:39 2010 (4C0F9617)
    CheckSum: 000282BC
    ImageSize: 00522000
    Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
    ____________________________________________________________________

    Wyszukałem kilka informacji dotyczących sterownika, który według WinDbg powoduje problem ale nie znalazłem jasnych wskazówek, które pomogły by mi go rozwiązać.

    Moja konfiguracja znajduje się w załączniku

    0 7
  • #3 28 Paź 2010 00:37
    Alhabor
    Poziom 11  

    Błąd ustąpił na 3 dni po odinstalowaniu produktów kasperskylab. Jednak kłopoty się nie skończyły. W podobnych okolicznościach pojawia się kolejny błąd ale już o innej sygnaturze:

    ________________________________________________________________________________________________________________________________________
    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\WINDOWS\Minidump\Mini102710-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available

    Symbol search path is: C:\WINDOWS\symbols
    Executable search path is:
    Unable to load image \WINDOWS\system32\ntkrnlpa.exe, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for ntkrnlpa.exe
    Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
    Product: WinNt
    Machine Name:
    Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720
    Debug session time: Wed Oct 27 20:12:50.703 2010 (UTC + 2:00)
    System Uptime: 0 days 12:58:39.544
    Unable to load image \WINDOWS\system32\ntkrnlpa.exe, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for ntkrnlpa.exe
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................
    Loading User Symbols
    Loading unloaded module list
    .................................
    *******************************************************************************
    * *
    * Bugcheck Analysis *
    * *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 50, {a3e6b6b9, 0, aa3d770c, 0}

    *** WARNING: Unable to verify timestamp for mssmbios.sys
    *** WARNING: Unable to verify timestamp for tcpip.sys

    Could not read faulting driver name
    Unable to load image \SystemRoot\System32\DRIVERS\cmdhlp.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for cmdhlp.sys
    *** ERROR: Module load completed but symbols could not be loaded for cmdhlp.sys
    Unable to load image \??\C:\WINDOWS\system32\drivers\nltdi.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for nltdi.sys
    *** ERROR: Module load completed but symbols could not be loaded for nltdi.sys
    *** WARNING: Unable to verify timestamp for afd.sys
    Probably caused by : cmdhlp.sys ( cmdhlp+1f33 )

    Followup: MachineOwner
    ---------

    1: kd> !analyze -v
    *******************************************************************************
    * *
    * Bugcheck Analysis *
    * *
    *******************************************************************************

    PAGE_FAULT_IN_NONPAGED_AREA (50)
    Invalid system memory was referenced. This cannot be protected by try-except,
    it must be protected by a Probe. Typically the address is just plain bad or it
    is pointing at freed memory.
    Arguments:
    Arg1: a3e6b6b9, memory referenced.
    Arg2: 00000000, value 0 = read operation, 1 = write operation.
    Arg3: aa3d770c, If non-zero, the instruction address which referenced the bad memory
    address.
    Arg4: 00000000, (reserved)

    Debugging Details:
    ------------------


    Could not read faulting driver name

    READ_ADDRESS: a3e6b6b9

    FAULTING_IP:
    tcpip!tcpxsum_xmmi+1a
    aa3d770c ?? ???

    MM_INTERNAL_CODE: 0

    CUSTOMER_CRASH_COUNT: 1

    DEFAULT_BUCKET_ID: DRIVER_FAULT

    BUGCHECK_STR: 0x50

    LAST_CONTROL_TRANSFER: from 8052039a to 804f9f43

    STACK_TEXT:
    a79b27bc 8052039a 00000050 a3e6b6b9 00000000 nt!KeSetTargetProcessorDpc+0xf
    a79b27cc a79b283c 00000000 a3e6b6b9 a3e6b6b9 nt!MiRemoveWsle+0x2a
    WARNING: Frame IP not in any known module. Following frames may be wrong.
    a79b2824 805445c0 00000000 a3e6b6b9 00000000 0xa79b283c
    a79b283c aa3d770c badb0d00 00000000 89af9dd8 nt!ExDeferredFreePool+0xba
    a79b28d8 aa3dc2b7 00028c04 88e24020 8a3ccf28 tcpip!tcpxsum_xmmi+0x1a
    a79b2958 aa3dc0cf 8a5a5130 8a3ccf28 89e57138 tcpip!UDPSend+0x3cd
    a79b297c aa3dc135 009b29a0 89e57820 88e24060 tcpip!TdiSendDatagram+0xd8
    a79b29b4 aa3d8881 89e57138 89e571cc fa11b55b tcpip!UDPSendDatagram+0x52
    a79b29d0 804ef19f 8a3c7308 89e57138 89e57138 tcpip!TCPDispatchInternalDeviceControl+0xff
    a79b2a38 b42fdf33 89af8fa8 89e57138 89e571cc nt!IopStartNextPacketByKeyEx+0x11
    a79b2a54 804ef19f 89af8ef0 89e57138 89e57214 cmdhlp+0x1f33
    a79b2a78 aa399916 89b2af18 89e57138 89af8ef0 nt!IopStartNextPacketByKeyEx+0x11
    a79b2aa8 804ef19f 89b2af18 89e57138 8a3cb630 nltdi+0x916
    a79b2b10 aa339b5e 80562134 0854f118 aa339b5e nt!IopStartNextPacketByKeyEx+0x11
    a79b2c5c 80580487 8a6817d8 00000001 0854efe8 afd!AfdFastIoDeviceControl+0x2a7
    a79b2d00 80579274 00000484 00000d64 00000000 nt!IopCreateRegistryKeyEx+0x111
    a79b2d34 8054164c 00000484 00000d64 00000000 nt!IopGetSetSecurityObject+0xec
    a79b2d34 7c90e514 00000484 00000d64 00000000 nt!KiInterruptTemplateObject+0x4
    0854f0d8 00000000 00000000 00000000 00000000 0x7c90e514


    STACK_COMMAND: kb

    FOLLOWUP_IP:
    cmdhlp+1f33
    b42fdf33 ?? ???

    SYMBOL_STACK_INDEX: a

    SYMBOL_NAME: cmdhlp+1f33

    FOLLOWUP_NAME: MachineOwner

    MODULE_NAME: cmdhlp

    IMAGE_NAME: cmdhlp.sys

    DEBUG_FLR_IMAGE_TIMESTAMP: 0

    FAILURE_BUCKET_ID: 0x50_cmdhlp+1f33

    BUCKET_ID: 0x50_cmdhlp+1f33

    Followup: MachineOwner
    ---------
    ________________________________________________________________________________________________________________________________________

    Proszę o pomoc

    0
  • Pomocny post
    #4 28 Paź 2010 01:37
    p9p
    Poziom 18  

    Odinstaluj Comodo Firewall i usuń rejestry cleanerem
    :idea:
    Przeskanuj pc na trojany i rootkity

    0
  • #5 28 Paź 2010 10:35
    Alhabor
    Poziom 11  

    No tak, nie zauważyłem tej nazwy pliku (nie było zapisane rozszerzenie .sys) Czyli problem jest związany z działaniem firewalli - najpierw Kaspersky potem Comodo, Spróbuję zrobić tak jak mówisz.

    0
  • Pomocny post
    #6 28 Paź 2010 10:58
    Matuzalem

    Poziom 43  

    Co prawda z COMODO nie miałem takich kłopotów,a Kaspersky'ego nie używałem, ale teoretycznie może to kwestia ustawień DEP i np. braku deaktywacji wbudowanej zapory?

    0
  • #7 28 Paź 2010 11:54
    Alhabor
    Poziom 11  

    AVG Anti-rootkit wykrył ukryty sterownik ae953kbr.sys. Google nie znajduje nic związanego z tą nazwą. Czy może to być rootkit? Czy można go bezkarnie usunąć?

    Matuzalem napisał:
    teoretycznie może to kwestia ustawień DEP i np. braku deaktywacji wbudowanej zapory?

    Kaspersky sam dezaktywuje zaporę systemową przy instalacji. Przy Comodo nie sprawdzałem a już go odinstalowałem. Spróbuję zainstalować po tym oczyszczaniu (jak się dowiem czy ae953kbr.sys to rootkit) jeszcze raz Kaspersky Internet Security i zobaczę czy problem nadal występuje.

    0
  • #8 09 Lis 2010 19:08
    Alhabor
    Poziom 11  

    Problem wydaje się być rozwiązany. Przeskanowałem komputer antywirusami i anty-rootkitami i ustawiłem odpowiednio DEP.

    Dziękuję i pozdrwiam

    0