Total Commander

[Worros]

Сабж.
Куда копать?
Гугление результатов не дало.
пробовал :
HKLM\System\CurrentControlSet\Services\Mup\DisableDFS
и
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
“SessionImageSize”=dword:00000020

Автоматическая перезагрузка по синему экрану отключена.

[CaptainFlint]

А какая из систем-то вылетает? Та, откуда коннектишься, или та, куда коннектишься?

Включена ли генерация дампов памяти при сбоях? Если выключена — включи создание минидампа и попробуй повторить вылет, посмотреть, создастся ли дамп. Если создастся, можно будет ядрёным отладчиком выцепить драйвер-вредитель.

Также стоит глянуть в направлении всяких сторонних программ, которые ставят свои сетевые драйвера: файерволлы, трафико-считалки. Задизейблить их (а лучше вообще удалить, т.к. при дизейбле драйвер нередко остаётся активным и по-прежнему может вызывать сбои).
_________________
Почему же, ё-моё, ты нигде не пишешь "ё"?

[Worros]

Вылетает та, к которой коннекчусь (WinXP SP3 рус). Та, с которой (WinXP SP2 рус), разумеется, пишет "удаленное подключение закрыто по таймауту".

Генерация дампов была в режиме "малый дамп памяти", но была отключена подкачка. Подкачку включил, вылет повторил, дамп снял.
А вот что делать дальше - представляю плохо. В чём конкретно заключается процесс поиска "драйвера-вредителя"? Чего куда грузить, что смотреть? С отладчиком ядра я никогда не работал.

Да вроде ничего такого сетевой направленности у меня нет. Файерволл родной виндовый, да и то я его отключал для проверки, не влияет. Трафикосчиталок нет. Есть VMWare , но сносить ее проблематично

[CaptainFlint]

[Worros]

CaptainFlint
Примерно понял. Спасибо за наводку. Завтра займусь.

[Worros]

Probably caused by : ntkrnlmp.exe ( nt!KiTrap0E+47 )
Если я правильно понял, ntkrnlmp.exe - это многопроцессорное ядро. И что мне с этим делать? Мыло и веревку искать?

[CaptainFlint]

[Worros]

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Mini050309-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: srv*с:\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp_sp3_qfe.090121-1326
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805634c0
Debug session time: Sun May 3 23:15:53.968 2009 (GMT+2)
System Uptime: 0 days 0:01:13.578
Loading Kernel Symbols
...............................................................
................................................................
.........
Loading User Symbols
Loading unloaded module list
...........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000007F, {8, 80042000, 0, 0}

Probably caused by : ntkrnlmp.exe ( nt!KiTrap0E+47 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

UNEXPECTED_KERNEL_MODE_TRAP_M (1000007f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault). The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
use .trap on that value
Else
.trap on the appropriate frame will show where the trap was taken
(on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 80042000
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------


BUGCHECK_STR: 0x7f_8

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

PROCESS_NAME: csrss.exe

LAST_CONTROL_TRANSFER: from 00000000 to 804e08bb

STACK_TEXT:
b776ffe0 00000000 00000000 00000000 00000000 nt!KiTrap0E+0x47


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!KiTrap0E+47
804e08bb 89550c mov dword ptr [ebp+0Ch],edx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!KiTrap0E+47

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 497703fb

FAILURE_BUCKET_ID: 0x7f_8_nt!KiTrap0E+47

BUCKET_ID: 0x7f_8_nt!KiTrap0E+47

Followup: MachineOwner
---------

[Worros]

CaptainFlint
Спасибо за помощь.

[CaptainFlint]

[Worros]

[CaptainFlint]

[Worros]

Обновился. Не помогает. Такие же ребуты.
На этом же железе я уже видел нормально работающий RDP в WinXP SP3 , по идее это аргумент против хардварных глюков. Но с другой стороны та винда, в которой он благополучно работал, погибла при крайне загадочных обстоятельствах. Там сдохла сеть, совсем, сетевая карта видна, дрова переставлял, переставляются нормально, но сети нет, ни пинга, ничего, только висит до бесконечности символ попытки установления сетевого соединения . На вирусы проверял с LiveCD Касперского, говорит, что всё чисто. До сих пор лежит на другом разделе та Винда, работает как часы, но только оффлайн. Можно считать её поведение аргументом за хардварные глюки?

[CaptainFlint]

[VadiMGP]

Worros
Я бы посоветовал загрузиться с BartPE Live CD.
http://www.nu2.nu/pebuilder/
Если гавкнется - почти наверняка проблемы с железом.