33 ответов в этой теме

[Dmytro]

Такая проблема.
Выскакивает BSOD:
UNEXPECTED_KERNEL_MODE_TRAP (7f)
  Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
  Arg2: 00000000
  Arg3: 00000000
  Arg4: 00000000
Происходит это после установки DrWeb 5.0 (5.0.0.1271) на Win2k SP4, во время перезагрузки.
Или просто уходит на перезагруз.
При этом сканер после установки вирусов никаких не нашел.
Думал конфликтует с железом, но оказалось, если драйверу защиты (dwprot.sys) поставить режим вместо BOOT (по умолчанию) поставить Automatic, всё грузится нормально, никаких синих экранов, всё работает. Не знаю чем чревато установление такого режима работы для защиты (определено методом научного тыка и с помощью одного из подручных Recovery Live CD).
Прилепляю минидамп после BSODа.

Прикрепленные файлы:

•  Mini011109_02.rar   10,06К   115 Скачано раз

[Konstantin Yudin]

Такая проблема.
Выскакивает BSOD:
UNEXPECTED_KERNEL_MODE_TRAP (7f)
  Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
  Arg2: 00000000
  Arg3: 00000000
  Arg4: 00000000
Происходит это после установки DrWeb 5.0 (5.0.0.1271) на Win2k SP4, во время перезагрузки.
Или просто уходит на перезагруз.
При этом сканер после установки вирусов никаких не нашел.
Думал конфликтует с железом, но оказалось, если драйверу защиты (dwprot.sys) поставить режим вместо BOOT (по умолчанию) поставить Automatic, всё грузится нормально, никаких синих экранов, всё работает. Не знаю чем чревато установление такого режима работы для защиты (определено методом научного тыка и с помощью одного из подручных Recovery Live CD).
Прилепляю минидамп после BSODа.

похоже конфликт с каким то ПО. в автоматик лучше dwprot не переводить, он бут драйвер от рождения и корректно работать будет только с этого режима. а конфликт надо править. посмотрим.

[Dmytro]

Стоит Outpost Firewall 3.51.
Но вот попробовал ставить DrWeb без него (снёс его) - то же самое...
Еще DAEMON Tools 3.47 - это не проверял.

[pig]

Попробуйте дамп ядра получить и залить его в техподдержку.

[Konstantin Yudin]

Попробуйте дамп ядра получить и залить его в техподдержку.

да, не помешает. минидамп 2k при 7F не умеет нормально делать, ничего не видно. а для начала мне нужен лог утилиты msinfo32 (Пуск -> Выполнить... ввести: msinfo32 и выполнить)

[Dmytro]

минидамп 2k при 7F не умеет нормально делать, ничего не видно. а для начала мне нужен лог утилиты msinfo32

К сожалению я не придумал как мне сделать дамп памяти ядра, т.к. система сразу уходит на перезагрузку, этого синего экрана даже не видно. (В свойствах системы поставил "Дамп памяти ядра", убрал галку "Выполнить автоматич. перезагрузку"). Но Memory.dmp не создаётся всё равно.
Кстати тот минидамп, который я вам посылал, я взял из отчета Outpost Firewall, который выдавал каждый раз вот такое сообщение, после того как удавалось загрузить Windows:

Там в заголовке окна всегда один и тот же адрес высвечивается, может это поможет.
Чтобы не было сомнений, что ошибка 7f относится к ДрВебу: недели 2 назад, когда я только пробовал ставить его, ситуация была та же, но синий экран был виден, и была именно эта ошибка UNEXPECTED_KERNEL_MODE_TRAP.
Отчет о системе msinfo32 прилагаю.

Прикрепленные файлы:

•  drweb_msinfo32.rar   45,54К   109 Скачано раз

[Dmytro]

Добавлю еще файл лога загрузки NtbtLog.txt.
(Включал ключ /BOOTLOG в boot.ini)
Там зафиксировались 2 перезагрузки: первая, без синего экрана, то есть нормальная загрузка.
(Это я поставил драйверу dwprot.sys режим загрузки Automatic.)
А вторая, сразу после неё - обычная загрузка, (dwprot.sys в режиме Boot). C BSODом, конечно 

Прикрепленные файлы:

•  ntbtlog_dwprot_boot_.rar   2,16К   164 Скачано раз

[userr]

Кстати тот минидамп, который я вам посылал, я взял из отчета Outpost Firewall, который выдавал каждый раз вот такое сообщение, после того как удавалось загрузить Windows:

Не понятно. minidump создаётся системой, причём здесь Outpost Firewall ?
Правильно я понимаю, что если DrWeb 5.0 установлен по умолчанию, то система вообще не стартует? А в safe mode? Сканер DrWeb запустится в safe mode? Кстати, укажите имя, размер, md5 дистрибутива DrWeb 5.0, какие модули ставили.
Хотелось бы увидеть дампы, отчёты и пр. при полностью деинсталлированном Outpost Firewall

[Konstantin Yudin]

что за софт в d:\tools\vfd ?

[Malex]

что за софт в d:\tools\vfd ?

Константин, это Virtual Floppy Disk я полагаю. Очень полезный утиль. Так как современные системные блоки редко снабжаются флоппиками, а потребность в них всё-таки иногда возникает (серийный номер зашит в образ дискеты), то эта программа позволяет сэмулировать в системе наличие флоппика. Прописывает в систему специальный свой драйвер.

Удаляется из системы тоже легко.

[Konstantin Yudin]

Скорее всего под 2k мы не сможем получить разумного дампа. Поэтому чтобы найти виновника, можно поступить методом исключения. на сегодня у меня три кандпдиата на вылет. Если у топикстартера есть желание разобраться с проблемой, то могу предложить по очереди деинсталировать: Outpost, Acronis, Virtual Floppy. и на каждом шаге проверять работы системы. Только не забудьте вернуть dwprot в бут-мод

[Dmytro]

Начнём всё сначала.
Я удалил из системы Outpost (полностью), Daemon Tools, Acronis, vfd (Virtual Floppy Drive), плюс еще какие-то проги и ненужные дрова, чтобы не мешали.
Скачал заново DrWeb (версия 5.0.0.01121):
6da460fccb792de506ef1ec2d021bb05 *drweb-500-win.exe (MD5 как на сайте)
Компоненты и модули:

 Dr.Web (R) Virus-Finding Engine
drweb32.dll (5, 00, 0, 12182)

 SpIDer Guard File System Monitor
spider.sys (5.00.0.12090)

 SpIDer Guard Service
spidernt.exe (5.00.0.12090)

 SpIDer Guard UI Agent
spiderui.exe (5.00.0.12090)

 SpIDer Guard Control Panel Applet
spidercpl.exe (5.00.0.12090)

 Dr.Web R Scanner for Windows
drweb32w.exe (5, 0, 0, 12120)

 Dr.Web Update for Windows
drwebupw.exe (5, 0, 0, 12110)

DWz
drwadins.exe (4.44)

 Dr.Web R Shell Extension
drwsxtn.dll (5, 00, 0, 11280)

Перед установкой (каждый раз) предлагает установить WSH и перезагрузиться. Выполняю.
Установка выборочная, не ставил только SpiderMail.
Перезагруз.
Нажимаю F8, Выбираю режим с созданием BOOTLOG.TXT.
Синий экран UNEXPECTED_KERNEL_MODE_TRAP (7f). Делается дамп памяти ядра.
Перезагружаюсь в Safe Mode.
Копирую файлы дампа, минидампа, лога загрузки (прилагаются).
Захожу в журнал системы (Log Viewer). Вижу там такое:
Событие 1

Тип события: Уведомления
Источник события: Save Dump
Категория события: Отсутствует
Код события: 1001
Дата: 13.01.2009
Время: 15:51:28
Пользователь: Нет данных
Компьютер: DIM
Описание:
Компьютер был перезагружен после критической ошибки: 0x0000007f (0x00000008, 0x00000000, 0x00000000, 0x00000000). Microsoft Windows 2000 [v15.2195]. Копия памяти сохранена: N:\MEMORY.DMP.

Событие 2

Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10010
Дата: 13.01.2009
Время: 15:53:04
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: DIM
Описание:
Регистрация сервера {1BE1F766-5536-11D1-B726-00C04FB926AF} DCOM не прошла за отведенное время ожидания.

Событие 3

Тип события: Ошибка
Источник события: Service Control Manager
Категория события: Отсутствует
Код события: 7001
Дата: 13.01.2009
Время: 15:53:23
Пользователь: Нет данных
Компьютер: DIM
Описание:
Служба "SpIDer Guard for Windows" является зависимой от службы "SpIDer Guard File System Monitor", которую не удалось запустить из-за ошибки 
  С момента последней загрузки попытки запустить службу не делались.

Лезу в Панель упраления -> DrWeb Anti-Virus -> Управление Spider Guard. Вижу такое:
Ошибка SpiderGuard:

Следующие компоненты не загружены:
SpIDer Guard for Windows 
  SpIDer Guard File System Monitor

SpIDer Guard for Windows не может быть запущен
Ошибка: Протекает наложенное событие ввода/вывода. (997)

Пытаюсь загрузить сканер, попытка прошла удачно. Вирусов не найдено.
Перезагруз. Загружаюсь с Live-CD ERD-Commander.
Ставлю драйверу DrWeb Protection (dwprot.sys) режим загрузки Авто вместо Boot.
Перезагруз. Полёт нормальный. Делаю отчет с помощью msinfo32 (прилагается).
Drweb Agent пишет, что Spider Guard и модуль самозащиты включены.
Вот в принципе и всё.
Добавлю еще, что хотел поставить для dwprot.sys режим Авто, , вручную через реестр. Когда загрузился в Safe-Mode сразу после синего экрана.
Не получилось (через Regedit и Regedt32). Потому как модуль самозащиты себя в обиду не дал.
То есть dwprot.sys нормально грузится и работает.
А вот Spider.sys (SpIDer Guard File System Monitor) скорее всего не грузится из-за какой-то ошибки.
Потому что в реестре значилось такое:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPIDER\Enum]
"INITSTARTFAILED"=dword:00000001

Для служб SPIDERNT и DwProt такого параметра в реестре не значилось.
Вот ссылка на мой дамп памяти ядра (13.3 М на Народ.ру-Диск): MEMORY.dmp.rar

Прикрепленные файлы:

•  Mini011309_01.dmp.rar   9,46К   86 Скачано раз
•  ntbtlog.txt.rar   1,19К   157 Скачано раз
•  msinfo32.nfo.rar   28,94К   103 Скачано раз

[Konstantin Yudin]

ничего пока не понимаю. давайте пока сделаем логи RKU/Gmer. подробнее; http://forum.drweb.com/index.php?showtopic=276590

еще вижу у вас драйвера для работы с CD дисками. тоже потенциальные виновники. мне не нравится cfadisk.sys. судя по поиску драйвер для какой то загрузочной флешки. попробуйте удалить эту программу.

[Dmytro]

Сделал логи RkU/Gmer, Gmer.
cfadisk.sys - это драйвер Hitachi Microdrive, но он у меня стоит на кардридере, чтоб  можно было разбивать флешки на разделы, делать загрузочными и т.д. Потом попробую удалить.
А насчет драйверов для работы с CD дисками, что вы имеете ввиду? Cd-Slow? Cdfs.sys вроде стандартные. А, наверно ElbyCD*.sys. Черт, я думал они удалились вместе с AnyDVD... Хорошо, тоже попробуюпотом удалить.

Прикрепленные файлы:

•  RKU_Report.rar   3,96К   136 Скачано раз
•  gmer_rootkit_malware.rar   1,32К   57 Скачано раз

[Konstantin Yudin]

Сделал логи RkU/Gmer, Gmer.
cfadisk.sys - это драйвер Hitachi Microdrive, но он у меня стоит на кардридере, чтоб  можно было разбивать флешки на разделы, делать загрузочными и т.д. Потом попробую удалить.
А насчет драйверов для работы с CD дисками, что вы имеете ввиду? Cd-Slow? Cdfs.sys вроде стандартные. А, наверно ElbyCD*.sys. Черт, я думал они удалились вместе с AnyDVD... Хорошо, тоже попробуюпотом удалить.

скорее всего, вот наш клиент: vdiskbus.sys (Virtual Disk Bus Enumerator)

сколько у вас всевозможных драйверов для дисков, жуть.

[Dmytro]

Попробовал отключить загрузку драйверов:

• cfadisk.sys
• cdralw2k.sys
• ElbyCDFL.sys
• ElbyCDIO.sys
• ElbyDelay.sys
• vdiskbus.sys
• AnyDVD.sys

Перезагрузился с dwprot.sys в режиме Авто - система загрузилась нормально.
Поставил для dwprot.sys режим Boot, как и надо, и получил тот же BSOD 7f при перезагрузке.
Для интереса попробовал поставить drweb 5.0 на чистую систему Win2k SP4 - всё работает.
Значит какой-то драйвер мешает.
Из анализа последнего дампа памяти ядра (при отключенных дровах из списка выше):

Probably caused by : ntoskrnl.exe ( nt!KiTrap08+3e )
...
OVERLAPPED_MODULE: Address regions for 'ati2dvag' and 'VGA.dll' overlap
 BUGCHECK_STR:  0x7f_8
TSS:  00000000 -- (.tss 0)
DEFAULT_BUCKET_ID:  DRIVER_FAULT
LAST_CONTROL_TRANSFER:  from 00000000 to 80466e09
STACK_TEXT: 
 00000000 00000000 00000000 00000000 00000000 nt!KiTrap08+0x3e

Насторожило упоминание ati2dvag, может попробовать драйвера на видеокарту удалить/переустановить?

[pig]

Я бы тоже в эту сторону копнул.

[Dmytro]

Точно! Виноват этот драйвер от видеокарты. Ура!

[pig]

Прямая дорога фтрекер. Что за драйвер? Подозреваю, что не от MS, раз Win2K.
Да, ещё. Какие заплатки после SP4 стоят?

[Dmytro]

Мда, это уже даже не смешно
Поставил систему с нуля Win2k + MUI + SP4 + Критич. дополнения в виде пака, скачанные отсюда, (там последний по дате, и список есть что в него входит) + еще пару критич. заплаток ms08-068 и ms08-069. Кроме этого только DirectX 9с и дрова на материнку (nforce4_amd_6.70_winxp2k_international), ну и ДокторВеб. Всё нормально работает.
Как только я ставлю драйвер на видеокарту (Sapphire x800 gto2) - получаю синий экран 7f.
Причем хоть старый, хоть новый, хоть официальный ати-шный (catalyst), хоть модифицированный (Radeon Omega 4.8.442 на основе catalyst 7.12).
И в логе анализа дампа памяти ядра пишет тот драйвер, что я указывал выше - ati2dvag.sys. И тоже что виноват ntoskrnl, а ati2dvag.sys и vga.dll перекрываются.
И вот у меня уже появилось недоумение, неужели я один такой - пользователь DrWeb 5.0 с АТИ-шной видеокартой, который добрался до этого форума?  http://forum.drweb.com/public/style_emoticons/default/sad.png
Странно всё это...
Могу выложить дамп памяти ядра и отчет msinfo32 c той чистой системы, если надо.