View previous topic :: View next topic |
Author |
Message |
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Sun May 03, 2009 20:21 Post subject: Самопроизвольная перезагрузка WinXP при попытке зайти по RDP |
|
|
Сабж.
Куда копать?
Гугление результатов не дало.
пробовал :
HKLM\System\CurrentControlSet\Services\Mup\DisableDFS
и
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
“SessionImageSize”=dword:00000020
Автоматическая перезагрузка по синему экрану отключена. |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Sun May 03, 2009 23:27 Post subject: |
|
|
А какая из систем-то вылетает? Та, откуда коннектишься, или та, куда коннектишься?
Включена ли генерация дампов памяти при сбоях? Если выключена — включи создание минидампа и попробуй повторить вылет, посмотреть, создастся ли дамп. Если создастся, можно будет ядрёным отладчиком выцепить драйвер-вредитель.
Также стоит глянуть в направлении всяких сторонних программ, которые ставят свои сетевые драйвера: файерволлы, трафико-считалки. Задизейблить их (а лучше вообще удалить, т.к. при дизейбле драйвер нередко остаётся активным и по-прежнему может вызывать сбои). _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 01:29 Post subject: |
|
|
Вылетает та, к которой коннекчусь (WinXP SP3 рус). Та, с которой (WinXP SP2 рус), разумеется, пишет "удаленное подключение закрыто по таймауту".
Генерация дампов была в режиме "малый дамп памяти", но была отключена подкачка. Подкачку включил, вылет повторил, дамп снял.
А вот что делать дальше - представляю плохо. В чём конкретно заключается процесс поиска "драйвера-вредителя"? Чего куда грузить, что смотреть? С отладчиком ядра я никогда не работал.
Да вроде ничего такого сетевой направленности у меня нет. Файерволл родной виндовый, да и то я его отключал для проверки, не влияет. Трафикосчиталок нет. Есть VMWare , но сносить ее проблематично |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Mon May 04, 2009 02:00 Post subject: |
|
|
Worros wrote: | С отладчиком ядра я никогда не работал. |
Тогда это на пальцах быстро рассказать будет проблематично. Если кратко:
1. Качаешь Debugging Tools for Windows с сайта мелкомягких, устанавливаешь.
2. Запускаешь WinDbg.
3. File -> Symbol File Path, указываешь вот такую жуть:
srv*с:\Symbols*http://msdl.microsoft.com/download/symbols
(вместо с:\Symbols можно другой путь указать — туда будут сохраняться отладочные символы, скачанные с сайта MS). В процессе работы нужен будет инет.
4. File -> Open Crash Dump, выбираешь дамп-файл, ждёшь, когда отладчик сделает всё, что надо, получишь кучу белиберды о произошедшем сбое. Частенько при этом пишется: Quote: | Probably caused by : <файл_драйвера> |
5. Теперь в командной строке внизу запускаем "!analyze -v" без кавычек и получаем более подробную и достоверную белиберду. Там уже смотришь на строки: Quote: | MODULE_NAME: <имя_драйвера>
IMAGE_NAME: <файл_драйвера> |
Это и есть драйвер-виновник. Имя_драйвера обычно является ссылкой, щелчок на которой выдаёт инфу о драйвере.
Также иногда можно увидеть стек вызовов, какую-то другую информацию — тут уже по конкретному выводу надо смотреть. _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 02:03 Post subject: |
|
|
CaptainFlint
Примерно понял. Спасибо за наводку. Завтра займусь. |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 02:12 Post subject: |
|
|
Probably caused by : ntkrnlmp.exe ( nt!KiTrap0E+47 )
Если я правильно понял, ntkrnlmp.exe - это многопроцессорное ядро. И что мне с этим делать? Мыло и веревку искать? |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Mon May 04, 2009 09:34 Post subject: |
|
|
Worros wrote: | Мыло и веревку искать? |
Ну, в первом приближении — да. А так можно дальше копаться, но, боюсь, сильно помочь уже не смогу, т.к. познания в устройстве ядра и его отладке у меня пока скудноваты.
Можно попробовать поискать форумы соответствующей тематической направленности и поспрашивать там, здесь всё-таки не так много крутых спецов низкоуровневого программирования.
Кстати, ради интереса, можешь выложить output отладчика? _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 13:09 Post subject: |
|
|
Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:\WINDOWS\Mini050309-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: srv*с:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp_sp3_qfe.090121-1326
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805634c0
Debug session time: Sun May 3 23:15:53.968 2009 (GMT+2)
System Uptime: 0 days 0:01:13.578
Loading Kernel Symbols
...............................................................
................................................................
.........
Loading User Symbols
Loading unloaded module list
...........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 1000007F, {8, 80042000, 0, 0}
Probably caused by : ntkrnlmp.exe ( nt!KiTrap0E+47 )
Followup: MachineOwner
---------
0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault). The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
use .trap on that value
Else
.trap on the appropriate frame will show where the trap was taken
(on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 80042000
Arg3: 00000000
Arg4: 00000000
Debugging Details:
------------------
BUGCHECK_STR: 0x7f_8
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
PROCESS_NAME: csrss.exe
LAST_CONTROL_TRANSFER: from 00000000 to 804e08bb
STACK_TEXT:
b776ffe0 00000000 00000000 00000000 00000000 nt!KiTrap0E+0x47
STACK_COMMAND: kb
FOLLOWUP_IP:
nt!KiTrap0E+47
804e08bb 89550c mov dword ptr [ebp+0Ch],edx
SYMBOL_STACK_INDEX: 0
SYMBOL_NAME: nt!KiTrap0E+47
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 497703fb
FAILURE_BUCKET_ID: 0x7f_8_nt!KiTrap0E+47
BUCKET_ID: 0x7f_8_nt!KiTrap0E+47
Followup: MachineOwner
--------- |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 13:09 Post subject: |
|
|
CaptainFlint
Спасибо за помощь. |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Mon May 04, 2009 14:03 Post subject: |
|
|
Worros wrote: | UNEXPECTED_KERNEL_MODE_TRAP_M / EXCEPTION_DOUBLE_FAULT |
Это что-то жуткое… Быстренько гуглянул в инете — народ утверждает, что в DDK написано, якобы такая ошибка практически со 100% вероятностью является следствием хардварного сбоя, но, говорят, ещё частая причина — переполнение стека в ядре. Я бы на всякий случай потестил железо: проц и память. Если сторонних драйверов нет, то переполнения стека ждать особо неоткуда, не думаю, что в драйверах от MS засел такой нехилый баг.
Worros wrote: | Спасибо за помощь. |
Пожалуйста.
<Добавлено:>
Да, чуть не забыл: система-то обновлена? Патчи все установлены? _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 14:57 Post subject: |
|
|
CaptainFlint wrote: | якобы такая ошибка практически со 100% вероятностью является следствием хардварного сбоя |
Вообще неожиданные перезагрузки и висы на ровном месте являются в основном следствием хардварного сбоя. Уж чего чего в своё время навидался. Но такая стопроцентная воспроизводимость...это ж как должен быть хитро повреждён процессор, чтобы система уходила в ресет только при выполнении конкретной последовательности команд, только какой-то конкретный отладочный регистр...мда...
Память проверять бессмысленно абсолютно. При ежедневной работе с гигабайтными объемами архивов и ICE ECC при 100% загрузке обоих ядер я бы давно уже напоролся на сбой железа, если бы таковые имели место.
Нет, не обновлялась с января примерно. Сложно обновлять версию "для экономных" Думаешь, обновление поможет? Были бы какие нибудь следы в гугле. Пишут же мелкомягкие, какие конкретно проблемы фиксит их заплатка. Было бы небось и упоминание моей проблемы с рекомендацией поставить KBxxxxxx . |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Mon May 04, 2009 15:43 Post subject: |
|
|
Worros wrote: | Думаешь, обновление поможет? |
Да чёрт его знает, это я уж от безнадёги. Просто на МС-суппорте нарыл статью, где говорилось про сбой с точно таким кодом, но на Win2000 Server, и предлагалось поставить соответствующую заплатку. Вот и подумал — а чем чёрт не шутит.
Worros wrote: | это ж как должен быть хитро повреждён процессор, чтобы система уходила в ресет только при выполнении конкретной последовательности команд |
Оно, конечно, верно, но чего только не случается в жизни… А уж глюки памяти могут и не такие кульбиты вытворять, причём бывают настолько идиотские, что в жизни не подумаешь на память. Например, читал я как-то историю, где (если ничего не путаю) при установке виндов цвет фона установщика в текстовом режиме был не синим, а то ли красным, то ли пунцовым. При этом устанавливалось и работало всё замечательно, только вот этот глючок. Что только не думали, видеокарту, монитор, кабель к монитору проверяли, а оказалось — память. _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
Worros
Joined: 19 Jan 2007 Posts: 1123
|
(Separately) Posted: Mon May 04, 2009 22:36 Post subject: |
|
|
Обновился. Не помогает. Такие же ребуты.
На этом же железе я уже видел нормально работающий RDP в WinXP SP3 , по идее это аргумент против хардварных глюков. Но с другой стороны та винда, в которой он благополучно работал, погибла при крайне загадочных обстоятельствах. Там сдохла сеть, совсем, сетевая карта видна, дрова переставлял, переставляются нормально, но сети нет, ни пинга, ничего, только висит до бесконечности символ попытки установления сетевого соединения . На вирусы проверял с LiveCD Касперского, говорит, что всё чисто. До сих пор лежит на другом разделе та Винда, работает как часы, но только оффлайн. Можно считать её поведение аргументом за хардварные глюки? |
|
Back to top |
|
|
CaptainFlint
Joined: 14 Dec 2004 Posts: 6151 Location: Москва
|
(Separately) Posted: Mon May 04, 2009 22:55 Post subject: |
|
|
Worros wrote: | Можно считать её поведение аргументом за хардварные глюки? |
Ох не знаю. Здесь мы уже ступаем на зыбкую почву предположений и догадок… А осмысленных идей у меня больше нет. _________________ Почему же, ё-моё, ты нигде не пишешь "ё"? |
|
Back to top |
|
|
VadiMGP
Joined: 21 Mar 2007 Posts: 1625
|
(Separately) Posted: Tue May 05, 2009 16:10 Post subject: |
|
|
Worros
Я бы посоветовал загрузиться с BartPE Live CD.
http://www.nu2.nu/pebuilder/
Если гавкнется - почти наверняка проблемы с железом. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|