首页
社区
课程
招聘
[求助]请帮忙看一份蓝屏后的dmp文件
发表于: 2008-9-24 17:07 7503

[求助]请帮忙看一份蓝屏后的dmp文件

2008-9-24 17:07
7503
刚才电脑突然蓝屏两次,重启后用WinDbg看了下dmp文件,不懂,麻烦各位朋友给分析一下,谢谢!
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000008, value 0 = read operation, 1 = write operation
Arg4: 00000000, address which referenced memory

Debugging Details:
------------------

READ_ADDRESS:  00000000

CURRENT_IRQL:  2

FAULTING_IP:
+0
00000000 ??              ???

PROCESS_NAME:  Idle

CUSTOMER_CRASH_COUNT:  2

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0xD1

LAST_CONTROL_TRANSFER:  from ba10aded to 00000000

FAILED_INSTRUCTION_ADDRESS:
+0
00000000 ??              ???

STACK_TEXT:  
WARNING: Frame IP not in any known module. Following frames may be wrong.
80551d84 ba10aded 00000000 00000016 80551e44 0x0
80551dc4 b712e86c 89b8d8a8 00000016 80551e44 kl1+0x3bded
80551e94 e6fe11ac 000015c7 00000001 8055207c tcpip!UDPDeliver+0x1be
80551eb8 b712def5 89cf2330 e6fe11ac 79ff15ac 0xe6fe11ac
80551f18 b714bde3 00000020 89cf2330 b712e592 tcpip!DeliverToUser+0x18e
80551fcc b712c928 89cf2330 89f3e612 00000123 tcpip!IPRcvPacket+0x670
8055200c b712c853 00000000 89db7f30 89f3e5f0 tcpip!ARPRcvIndicationNew+0x149
80552048 ba62ab9f 8a31c798 00000000 b9995b40 tcpip!ARPRcvPacket+0x68
8055209c b999001d 00f463d8 8a3e57c0 00000001 NDIS!ethFilterDprIndicateReceivePacket+0x1c2
805520b0 b99901b4 8a4818e0 8a3e57c0 00000001 psched!PsFlushReceiveQueue+0x15
805520d4 b99905f9 8a35ddc0 00000000 8a4818e0 psched!PsEnqueueReceivePacket+0xda
805520ec ba62ac40 8a35ddb8 89eb9150 89d54228 psched!ClReceiveComplete+0x13
8055213c bac5993c 00f463d8 89d54264 00000001 NDIS!ethFilterDprIndicateReceivePacket+0x5a4
80552174 ba62ab9f 89db7f30 89f44508 8a0b2000 klim5+0x193c
805521c8 b99fba32 00f463d8 805522e8 00000003 NDIS!ethFilterDprIndicateReceivePacket+0x1c2
805523fc b99fdb66 8a0b2000 8a4d94c0 8a0b2180 Rtenicxp+0x4a32
80552410 ba620e99 8a0b2000 8055d0c0 ffdff9c0 Rtenicxp+0x6b66
80552428 80546e6f 8a0b2194 8a0b2180 00000000 NDIS!ndisMDpcX+0x21
80552440 8055ce60 ffdffc50 00000000 8055ce60 nt!KiRetireDpcList+0x61
80552450 80546d54 00000000 0000000e 00000000 nt!KiIdleThread0
80552454 00000000 0000000e 00000000 00000000 nt!KiIdleLoop+0x28

STACK_COMMAND:  kb

FOLLOWUP_IP:
kl1+3bded
ba10aded ??              ???

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  kl1+3bded

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: kl1

IMAGE_NAME:  kl1.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  48849e41

FAILURE_BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+3bded

BUCKET_ID:  0xD1_CODE_AV_NULL_IP_kl1+3bded

Followup: MachineOwner
---------

貌似是跟卡巴的kl1.sys有关,我电脑装的KIS8.0.0.454

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (10)
雪    币: 315
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
貌似卡巴的NDIS IM过滤驱动挂了
嘿嘿,恭喜,难得看到
2008-9-25 17:38
0
雪    币: 138
活跃值: (108)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
u 一下 kl1+0x3bded 这里!
2008-9-25 18:32
0
雪    币: 26
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
啥都u不出来
2008-9-27 11:20
0
雪    币: 138
活跃值: (108)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
这有 http://bbs.pediy.com/showthread.php?t=51141
2008-9-27 14:13
0
雪    币: 185
活跃值: (86)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
1, dds 80551d84  (or dps 80551d84)
2, ub kl1+0x3bded
3, 分析 80551d84 80551dc4 的stack平衡 (从step2得到)
4, 注意这个0xe6fe11ac, call stack可能*调用*了dynamic generated instructions,
    *可能*被别的未知driver hook了。我的机器上这个地址是pool address (类似user mode的heap).

lkd> !address 0xe6fe11ac
  e1000000 - 0a800000                           
          Usage       KernelSpaceUsagePagedPool
2008-9-27 17:11
0
雪    币: 185
活跃值: (86)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
再补充一点,从call stack来看,当前cpu是跑在 irql = dispatch level, 在dpc调用链上
(注意ndis!MDpcX),上面的假设4是对的话,那么这是一个driver bug.
2008-9-27 17:16
0
雪    币: 26
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
谢谢楼上各位朋友!!!
今早上班打开电脑没多久,正在用firefox浏览着论坛,再次蓝屏!
这几次蓝屏,都是出现在用firefox浏览网站时。
干脆卸载了firefox,然后又重新安装一遍KIS,现在用IE7,
看看还会不会再蓝?
2008-9-28 10:17
0
雪    币: 138
活跃值: (108)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
Jer-Cedar19.09.2008 01:14
This problem has been ongoing for over 2 months now. Have an open case w/Kaspersky Support, have submitted several crash dumps (both mini and full), but still no answers from KL Support. Anyone else experiencing BSoD's at random? I have over 25% of my nodes with this problem. All are running 6.0.3.837 release. All running XP Pro w/SP-3. All are related to klim5.sys or the LAN NIC drivers. Nothing specific causes the crash dump reboot - in fact some are crashing in the middle of the night when sitting idle waiting for a user logon. Others are crashing during the day with applications open. The problem is very random, but the crash dumps always point toward a Kaspersky issue. Also, none of these systems have Blue Screened when Kaspersky is exited or uninstalled. Kaspersky has been running on the affected systems for 14 months - problem has only appeared in the past 2 months or since the May 28th release of updates.

Here's a minidump from a recent crash dump.

------------------------------------------------------------

Microsoft ® Windows Debugger Version 6.9.0003.113 X86
Copyright © Microsoft Corporation. All rights reserved.

Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*D:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: c:\windows\System32; c:\windows\system\System32; http://www.alexander.com/SymServe
Windows XP Kernel Version 2600 (Service Pack 3) MP (4 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp.080413-2111
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805634c0
Debug session time: Thu Sep 18 16:54:17.896 2008 (GMT-5)
System Uptime: 1 days 12:53:16.656
Loading Kernel Symbols
................................................................................
.................................................................................
......
Loading User Symbols
Loading unloaded module list
...........................................
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 100000D1, {0, 2, 0, 0}

Unable to load image klim5.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for klim5.sys
*** ERROR: Module load completed but symbols could not be loaded for klim5.sys
*** WARNING: Unable to verify timestamp for e1e5132.sys
*** ERROR: Module load completed but symbols could not be loaded for e1e5132.sys
Probably caused by : klim5.sys ( klim5+18ad )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 00000000, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: 00000000 

CURRENT_IRQL: 2

FAULTING_IP: 
+0
00000000 ?? ???

PROCESS_NAME: Idle

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xD1

LAST_CONTROL_TRANSFER: from 898f4ded to 00000000

FAILED_INSTRUCTION_ADDRESS: 
+0
00000000 ?? ???

STACK_TEXT: 
WARNING: Frame IP not in any known module. Following frames may be wrong.
80556e10 898f4ded 00000000 00000016 80556ed0 0x0
80556e50 ac50286c 88cb2008 00000016 80556ed0 0x898f4ded
80556f20 d564a8c0 00004400 00000001 00000000 tcpip!UDPDeliver+0x1be
80556f44 ac501ef5 89eb41a8 d564a8c0 0264a8c0 0xd564a8c0
80556fa4 ac51fde3 00000020 89eb41a8 ac502592 tcpip!DeliverToUser+0x18e
80557058 ac500928 89eb41a8 89d0d02c 00000134 tcpip!IPRcvPacket+0x670
80557098 ac500853 00000000 89bfee68 89d0d00a tcpip!ARPRcvIndicationNew+0x149
805570d4 bae4cb9f 8a21d008 00000000 b8984b40 tcpip!ARPRcvPacket+0x68
80557128 b897f01d 00032928 8a29ca58 00000001 NDIS!ethFilterDprIndicateReceivePacket+0x1c2
8055713c b897f1b4 8a3c3a60 8a29ca58 00000001 psched!PsFlushReceiveQueue+0x15
80557160 b897f5f9 8a2e8010 00000000 8a3c3a60 psched!PsEnqueueReceivePacket+0xda
80557178 bae4cc40 8a2e8008 8a40b040 8a40b008 psched!ClReceiveComplete+0x13
805571c8 bad048ad 00032928 8a40b040 00000001 NDIS!ethFilterDprIndicateReceivePacket+0x5a4
80557200 bae4cb9f 89bfee68 89c0c440 805572b8 klim5+0x18ad
80557254 b8a241f8 00032928 805572b8 00000004 NDIS!ethFilterDprIndicateReceivePacket+0x1c2
80557270 b8a2e35c 8a2d1108 805572b8 00000004 e1e5132+0x21f8
80557290 b8a30b3d 8a45f398 00000000 805572b8 e1e5132+0xc35c
805573c8 b8a2a341 01e59000 00000004 00000000 e1e5132+0xeb3d
80557404 b8a23371 00e59000 80557428 bae42e99 e1e5132+0x8341
80557410 bae42e99 8a2d1108 80561f20 ffdff9c0 e1e5132+0x1371
80557428 804dcd12 89e59b24 89e59b10 00000000 NDIS!ndisMDpcX+0x21
80557440 80561cc0 ffdffc50 00000000 80561cc0 nt!KiRetireDpcList+0x61
80557450 804dcbf7 00000000 0000000e 00000000 nt!KiIdleThread0
80557454 00000000 0000000e 00000000 00000000 nt!KiIdleLoop+0x28


STACK_COMMAND: kb

FOLLOWUP_IP: 
klim5+18ad
bad048ad ?? ???

SYMBOL_STACK_INDEX: d

SYMBOL_NAME: klim5+18ad

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: klim5

IMAGE_NAME: klim5.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 465d8eb4

FAILURE_BUCKET_ID: 0xD1_CODE_AV_NULL_IP_klim5+18ad

BUCKET_ID: 0xD1_CODE_AV_NULL_IP_klim5+18ad

Followup: MachineOwner
---------

0: kd> lmvm klim5
start end module name
bad03000 bad0b000 klim5 T (no symbols) 
Loaded symbol image file: klim5.sys
Image path: klim5.sys
Image name: klim5.sys
Timestamp: Wed May 30 09:48:20 2007 (465D8EB4)
CheckSum: 00015621
ImageSize: 00008000
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

跟你的情况差不多,同样也是没有解决!
http://forum.kaspersky.com/lofiversion/index.php/t85077.html
2008-9-28 10:40
0
雪    币: 26
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
感谢robin朋友一直以来的热心关注!
我在卡巴官方论坛也发过帖子,同样也没用答案。
现在我卸了firefox,用IE7,看看还会不会出现蓝屏。
据一个朋友讲,因firefox的插件冲突导致蓝屏的事他也碰到过。
2008-9-28 14:06
0
雪    币: 185
活跃值: (86)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
firefox应该不是主要原因,最多是诱因。另外最好配置windows生成full dump, minidump
对深入分析基本没什么价值。GOOD LUCK.
2008-9-28 19:10
0
游客
登录 | 注册 方可回帖
返回
//