Gjentatte restarter muligens relatert til ntfs.sys og/eller ntoskrnl.exe

[KayJaySpace]

Hei, maskinen min restarter seg gjentatte ganger uten at jeg kan se noen klar sammenheng i hvorfor det skjer. Jeg har kjørt en virussjekk samt chkdsk uten å bli klokere. Jeg har også lastet ned windows debugger for å analysere minidump-filene, men jeg trenger nok litt hjelp for å tolke det som blir oppgitt derfra.

 

Litt info om maskinen: winXP sp2; intel p4 2.8 ghz; 1,5 gb ram; 2 stk 120gb harddisker; nVidia geforce 4 ti 4200 agp 8x. Norman antivirus.

 

Restartene forekommer noen ganger under "ordinær surfing" på internett, altså lesing av nettaviser o.l., mens andre ganger restarter den seg under avspilling av mediafiler (nrk nett-TV etc.). Noen ganger har den også restartet seg uten at den har vært i bruk, dvs. at den har stått på, men ikke noe mer (ingen programmer åpne).

 

Legger ved teksten fra windows debugger etter å ha kjørt analyze -v på minidumpfilene.

 

debugger_250408_1.txt

 

debugger_250408_2_memory.txt

 

Håper noen der ute kan hjelpe.

Endret 6. mai 2008 av KayJaySpace

[fenderebest]

Tror du du kunne legge ved minidump filene?

[KayJaySpace]

Tror du du kunne legge ved minidump filene?

 

Jeg får opp at jeg ikke får lov til å laste opp dmp-filtypen, men legger ved resultatene fra debuggeren som er klippet og limt inn i notisblokken.

 

debugger_050408.txt

 

debugger_050108.txt

 

debugger_042108.txt

[fenderebest]

Vel tror det skal funke om du zip'er dem? Hadde vært interssant å gjort en mere dyptgåede analyse på dem personlig-men fellesneveren her ser jo ut til at det er uvanlig lave addresser som kalles-det kan virke som instruksjonen blir korrupt dette kan da antyde et problem med prosessoren eller et av dens mellomlager.

 

Uten å få sett på dump filene personlig kan jeg ikke si noe mere inngående enn dette---men som sagt--sjekk at prosessoren ikke går varm.

[KayJaySpace]

Vel tror det skal funke om du zip'er dem? Hadde vært interssant å gjort en mere dyptgåede analyse på dem personlig-men fellesneveren her ser jo ut til at det er uvanlig lave addresser som kalles-det kan virke som instruksjonen blir korrupt dette kan da antyde et problem med prosessoren eller et av dens mellomlager.

 

Uten å få sett på dump filene personlig kan jeg ikke si noe mere inngående enn dette---men som sagt--sjekk at prosessoren ikke går varm.

 

Zippet filene til minidump.zip nå.

 

Minidump.zip

[krolf]

Det høres ut som problemer med minne.

Forsøk å sette ned hastighet på minnebrikkene.

Evt, prøv andre minnebrikker.

 

Hjalp en kamerat med samme problem her om dagen.

Feilen skyldtes i det tilfelle at minnebrikkene på 1000 MHz gikk på hastighet på 1066.

Byttet så minnebrikkene med samme merke, men med 800 MHz hastighet.

Alt virket da ok...

[KayJaySpace]

Det høres ut som problemer med minne.

Forsøk å sette ned hastighet på minnebrikkene.

Evt, prøv andre minnebrikker.

 

Hjalp en kamerat med samme problem her om dagen.

Feilen skyldtes i det tilfelle at minnebrikkene på 1000 MHz gikk på hastighet på 1066.

Byttet så minnebrikkene med samme merke, men med 800 MHz hastighet.

Alt virket da ok...

 

Ok, jeg har ikke gjort noe med minnet, men kan brikkene gå på en høyere hastighet uten at jeg aktivt har gjort noe? Skal prøve memtest nå for å se etter feil.

[KayJaySpace]

Vel tror det skal funke om du zip'er dem? Hadde vært interssant å gjort en mere dyptgåede analyse på dem personlig-men fellesneveren her ser jo ut til at det er uvanlig lave addresser som kalles-det kan virke som instruksjonen blir korrupt dette kan da antyde et problem med prosessoren eller et av dens mellomlager.

 

Uten å få sett på dump filene personlig kan jeg ikke si noe mere inngående enn dette---men som sagt--sjekk at prosessoren ikke går varm.

 

CPU temperaturen svinger mellom 39 ("tomgang") og 45 grader celsius. Er dette unormalt?

 

 

Det høres ut som problemer med minne.

Forsøk å sette ned hastighet på minnebrikkene.

Evt, prøv andre minnebrikker.

 

Hjalp en kamerat med samme problem her om dagen.

Feilen skyldtes i det tilfelle at minnebrikkene på 1000 MHz gikk på hastighet på 1066.

Byttet så minnebrikkene med samme merke, men med 800 MHz hastighet.

Alt virket da ok...

 

Memtest finner ingen feil etter et par timer med testing.

[fenderebest]

Gikk forresten over kræsjdumpene og fant egentlig ikke noe som skulle tyde på korrupsjon av minnet.

Prøv heller å oppdater nv4_mini.sys som jeg antar er miniport driveren til skjermkortet ditt. (Sjekk dette for å være sikker)

[KayJaySpace]

Gikk forresten over kræsjdumpene og fant egentlig ikke noe som skulle tyde på korrupsjon av minnet.

Prøv heller å oppdater nv4_mini.sys som jeg antar er miniport driveren til skjermkortet ditt. (Sjekk dette for å være sikker)

 

Stemmer at nv4_mini.sys er miniportdriveren. Innstallerte nye drivere nå, så jeg får se om det hjelper.

 

Takker for innsatsen!

[fenderebest]

Om problemet skulle gjenoppstå (Spesielt om det er snakk om et NTFS problem) må jeg be om at du setter opp systemet til å generere en kjerneminnedump-en minidump fil er ikke tilstrekkelig for å feilsøke NTFS problemer.

 

Det som hadde vært interessant da hadde vært å kjørt !thread for å se på trådens ventene IRP-pakker og deretter !irp kommandoen mot addressen til disse. Deretter kjørt !irpfind for å se om man fant noe interssant.

[KayJaySpace]

Om problemet skulle gjenoppstå (Spesielt om det er snakk om et NTFS problem) må jeg be om at du setter opp systemet til å generere en kjerneminnedump-en minidump fil er ikke tilstrekkelig for å feilsøke NTFS problemer.

 

Det som hadde vært interessant da hadde vært å kjørt !thread for å se på trådens ventene IRP-pakker og deretter !irp kommandoen mot addressen til disse. Deretter kjørt !irpfind for å se om man fant noe interssant.

 

Hadde inntrykk av at driveroppdateringen av skjermkortet var løsningen, men fikk en restart nå nettopp. Rett etter oppstart restarter maskinen seg et par ganger, og den ene gangen kom det en feilmelding om at lavasoft ad-watch måtte avsluttes. Under feilrapportering i Windows virker det som om ad-watch kan være en synder her altså, og jeg har nettopp fornyet lisensen. Litt rart om ad-watch skulle være synderen ettersom de opprinnelige restartene har pågått over lenger tid enn siden jeg oppdaterte ad-watch.

 

Jeg satte opp systemet til å generere en kjerneminnedump-fil, men den er for stor til å poste her. Jeg skal innrømme mine begrensninger i win-debuggeren og dens mulige kommandoer, men jeg kjørte !thread og fikk ut denne teksten:

 

 

Microsoft ® Windows Debugger Version 6.8.0004.0 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [C:\WINDOWS\Minidump\MEMORY.DMP]

Kernel Summary Dump File: Only kernel address space is available

 

Symbol search path is: srv*c:\programfiler\Debugging Tools for Windows\symbols*http://msdl.microsoft.com/downloads/symbols

Executable search path is:

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS Personal

Built by: 2600.xpsp_sp2_gdr.070227-2254

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a620

Debug session time: Thu May 8 16:10:15.062 2008 (GMT+2)

System Uptime: 0 days 0:06:04.639

Loading Kernel Symbols

..........................................................................................

.................................................

Loading User Symbols

 

Loading unloaded module list

...........

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck A, {80000c, 2, 0, 804dc406}

 

 

 

 

 

Probably caused by : ntoskrnl.exe ( nt!KiTimerListExpire+ab )

 

Followup: MachineOwner

---------

 

kd> !thread

THREAD 80558e20 Cid 0000.0000 Teb: 00000000 Win32Thread: 00000000 RUNNING on processor 0

Not impersonating

Owning Process 80559080 Image: Idle

Wait Start TickCount 23318 Ticks: 18 (0:00:00:00.281)

Context Switch Count 34406

UserTime 00:00:00.000

KernelTime 00:03:55.109

Stack Init 80550680 Current 805503cc Base 80550680 Limit 8054d680 Call 0

Priority 16 BasePriority 0 PriorityDecrement 0 DecrementCount 0

ChildEBP RetAddr Args to Child

80550208 804dc406 badb0d00 80559f40 b9cd08e6 nt!KiTrap0E+0x233 (FPO: [0,0] TrapFrame @ 80550208)

80550380 804dc378 80559080 80558e20 ffdff000 nt!KiTimerListExpire+0xab (FPO: [Non-Fpo])

805503ac 804dbbd4 80559480 00000000 00005b28 nt!KiTimerExpiration+0xaf (FPO: [Non-Fpo])

805503d0 804dbb4d 00000000 0000000e 00000000 nt!KiRetireDpcList+0x46 (FPO: [0,0,0])

805503d4 00000000 0000000e 00000000 00000000 nt!KiIdleLoop+0x26 (FPO: [0,0,0])

[fenderebest]

Jeg har en liten anelse hva dette er-litt irriterende at jeg ikke kan være der og se på problemet selv

 

Hadde helst foretrukket en NTFS feil men tror du du kunne prøve å se på !irpfind listen?

[KayJaySpace]

Jeg har en liten anelse hva dette er-litt irriterende at jeg ikke kan være der og se på problemet selv

 

Rart det der med tid og rom kompresjoner. Internett hjelper dog...

 

Brukte !irpfind kommandoen nå, men får opp en uendelig lang liste med:

Page [fire siffer eks. 49c5] not present in the dump file. Type ".hh dbgerr004" for details

 

Skal jeg bruke noen tillegg til kommandoen?

[fenderebest]

Akkurat det er litt rart ved en kjerneminnedump...hmm meget interessant allikavel...nei det beste blir nok å prøve å presse frem en NTFS kræsj hvis mulig

Da burde du kunne få opp en IRP-list:

kd> !thread

GetPointerFromAddress: unable to read from 8055f034

THREAD 823c62c8 Cid 0004.0048 Teb: 00000000 Win32Thread: 00000000 RUNNING on processor 0

IRP List:

8198e4a0

Da kan man deretter bruke !irp kommandoen mot den addressem (I dette tilfellet 8198e4a0) for å spore pakken.

 

Som regel vil disse problemene generelt sett dog skyldes antivirus programvare.

[KayJaySpace]

Ny stopp på maskinen. Første stopp kom opp med feilmeldingen om at nv2_disp.dll forårsaket problemet. Under restarten får maskinen stopp rett etter innlasting av windows (dvs når skrivebordet dukker opp) og dette gjentar seg noen ganger. Av og til èn gang - andre ganger fire-fem. Blåskjermen forklarer da at det er nprosec.sys som er problemet. Under noen av restartene kommer det også opp en beskjed om at norman ad-watch "har forårsaket et problem og må dessverre lukkes..."

 

Jeg avinnstallerte skjermkortdriverne og innstallerte dem på ny, men det ser ikke ut til å hjelpe. I og med at stoppen(e) skjer så raskt etter oppstart har du gjerne rett i at det er antivirusprogrammet som er synderen.

 

Etter en stund kom det en ny stopp denne gangen med ntoskrnl.exe som det angivelige problemet.

 

Jeg har kjørt !analyze -v og !thread på begge kjernedumpfilene. !irpfind gir bare den samme lange listen jeg fikk tidligere. Jeg ser ingen "irp list:" etter å ha kjørt !thread kommandoen, men har klippet teksten jeg får ut i to tekstfiler:

 

debugger_memory090508_2.txt

debugger_memory0905_3.txt

[fenderebest]

Vel nå tror jeg vi har funnet synderen her dere! Norman Antivirus! nvoy.exe tilhører Norman og Nprosec.sys tilhører også Norman antivurs (virker det som) sjekk dette for å være sikker.

 

Jeg vil anbefale å prøve å avinstallere hele greia for å se om det kjører stabilt en stund!

[KayJaySpace]

Vel nå tror jeg vi har funnet synderen her dere! Norman Antivirus! nvoy.exe tilhører Norman og Nprosec.sys tilhører også Norman antivurs (virker det som) sjekk dette for å være sikker.

 

Jeg vil anbefale å prøve å avinstallere hele greia for å se om det kjører stabilt en stund!

 

Kunne med det første virke som om det var synderen. Avinstallerte Norman og erstattet det med F-Secure, og det gikk bra et døgns tid. Så kom en stopp på maskinen under avspilling av premier league målene med "ntoskrnl.exe" som den foreslåtte synderen (firefox og windows media player var i bruk). Utskriften fra minnedump-fila etter å ha kjørt !analyze -v og !thread er vedlagt:

 

debuger_120508_memory.txt

 

Enda en stopp kom i formiddag, og da var den angivelige synderen en fil ved navn "fsgk.sys" (internet explorer var i bruk). Denne tilhører F-Secure antivirus. Utskrift med de samme kommandoene som ovenfor i tekstfilen nedenfor:

 

debuger_130508_memory.txt

 

Ser ut som det er et problem som antivirusprogrammene reagerer på i hvert fall, men det er ingenting som tyder på at det er virus på maskinen. Norman fant i hvert fall ingenting, men tenkte jeg skulle prøve F-Secure nå.

 

[redigert for å legge til txt.filene]

Endret 13. mai 2008 av KayJaySpace

[KayJaySpace]

Ingen virus eller andre ondsinnede programmer, filer eller trojanere funnet.

[fenderebest]

Vel kan bare anta at det er en driver som korrupterer minne-poolene om man sammenligner instruksjonene som ble kallet:

 

Ntfs!NtfsDeleteScb+0x153:

f84053df 897840 mov dword ptr [eax+40h],edi ds:0023:00a00040=????????

 

nt!KiTimerListExpire+0xab:

804dc406 8b470c mov eax,dword ptr [edi+0Ch] ds:0023:2000000c=????????

 

TRAP_FRAME: f78a6e18 -- (.trap 0xfffffffff78a6e18)

ErrCode = 00000000

eax=00000000 ebx=00000000 ecx=00000041 edx=80559f40 esi=f78a6eb0 edi=0000ffff

eip=0000ffff esp=f78a6e8c ebp=f78a6fa4 iopl=0 nv up ei pl zr na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00050246

0000ffff ?? ???

Resetting default scope

(Her ble det gjort et kall direkte til EDI registeret)

 

 

nt!KiTimerListExpire+0xab:

804dc406 8b470c mov eax,dword ptr [edi+0Ch] ds:0023:0080000c=????????

 

Ntfs!NtfsDeleteScb+0x153:

f84183df 897840 mov dword ptr [eax+40h],edi ds:0023:00800040=????????

 

nt!KiTimerListExpire+ab

804dc406 8b470c mov eax,dword ptr [edi+0Ch]

 

nt!KiTimerListExpire+ab

804dc406 8b470c mov eax,dword ptr [edi+0Ch]

 

Ser man at de fleste referte til edi registeret og det er sannsynligvis dette som er korrupt. Med litt flaks kan man med grundig feilsøking finne ut eksakt hvorfor denne ble korrupt-men da trenger man kjerneminnedumper.

 

Som regel er det enkleste å sette Driver Verifer på litt obskure tredje-parts drivere og se hva som kommer frem. (Hvordan du bruker Driver Verfifier forklares i guiden min ovenfor)