BugTraq.Ru: форум / beginners / В первых двух завалился svchost.exe при попытке открыть файл [update]

информационная безопасность
без паники и всерьез

подробно о проекте

Spanning Tree Protocol: недокументированное применение

Анализ криптографических сетевых...

Модель надежности двухузлового...

Специальные марковские модели надежности...

Бэкдор в xz/liblzma, предназначенный...

Три миллиона электронных замков...

Doom на газонокосилках

bugtraq.ru / форум / beginners

Имя

Пароль


ФОРУМ


	все доски
	FAQ
	IRC
	новые сообщения

	site updates
	guestbook
	beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap

регистрация

Легенда:

новое сообщение

закрытая нитка

новое сообщение

в закрытой нитке

старое сообщение

Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
Новичкам также крайне полезно ознакомиться с данным документом.

Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.

В первых двух завалился svchost.exe при попытке открыть файл [update] 09.06.05 17:06 Число просмотров: 6466
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 09.06.05 17:08 Количество правок: 1

<"чистая" ссылка>

Это практически ни о чем не говорит. Скорее всего другой драйвер побил память и не повезло svchost-у

Дампы 3-5 практически идентичны:

Loading Dump File [C:\1\Mini060705-03.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: D:\Program Files\Debugging Tools for Windows\Symbols\XPSP0;D:\Program Files\Debugging Tools for Windows\Symbols\XPSP1
Executable search path is: 
Unable to load image ntoskrnl.exe, Win32 error 2*WARNING: Unable to verify timestamp for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Kernel base = 0x804d4000 PsLoadedModuleList = 0x8054c850
Debug session time: Tue Jun 07 19:19:33 2005
System Uptime: 0 days 1:01:30.242
Unable to load image ntoskrnl.exe, Win32 error 2*WARNING: Unable to verify timestamp for ntoskrnl.exe
Loading Kernel Symbols
..............................................................................................................
Loading unloaded module list
.............
Loading User Symbols******************************************************************************                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             ******************************************************************************
Use !analyze -v to get detailed debugging information.

BugCheck 10000050, {bad0b118, 0, 80551068, 0}


Could not read faulting driver name
Probably caused by : ntoskrnl.exe ( nt!IopDeviceInterfaceKeysFromSymbolicLink+87 )

Followup: MachineOwner
---------

kd> !analyze -v******************************************************************************                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             ******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: bad0b118, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 80551068, If non-zero, the instruction address which referenced the bad memory
	address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------


Could not read faulting driver name*WARNING: Unable to verify timestamp for klif.sys*ERROR: Module load completed but symbols could not be loaded for klif.sys

READ_ADDRESS:  bad0b118 

FAULTING_IP: 
nt!SeCreateAccessState+7b
80551068 a5               movsd

MM_INTERNAL_CODE:  0

CUSTOMER_CRASH_COUNT:  3

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0x50

LAST_CONTROL_TRANSFER:  from 80555b21 to 80551068

STACK_TEXT:  
f5e6e580 80555b21 f5e6e5a4 f5e6e618 00020008 nt!SeCreateAccessState+0x7b
f5e6e638 8055ecaf e1234558 00000000 00000000 nt!ObOpenObjectByPointer+0x47
f5e6e6f4 80555c98 fffffffe 00020008 00000001 nt!NtOpenThreadTokenEx+0x1d4
f5e6e70c 804dad01 fffffffe 00020008 00000001 nt!NtOpenThreadToken+0x17
f5e6e70c 804d971f fffffffe 00020008 00000001 nt!KiSystemService+0xc4
f5e6e794 ed874c41 fffffffe 00020008 00000001 nt!ZwOpenThreadToken+0x11
WARNING: Stack unwind information not available. Following frames may be wrong.
f5e6e7ac 8125a610 00000000 ed8732cf 8125a75a klif+0x8c41
00000007 00000000 00000000 00000000 00000000 0x8125a610


FOLLOWUP_IP: 
klif+8c41
ed874c41 ??               ???

SYMBOL_STACK_INDEX:  6

FOLLOWUP_NAME:  MachineOwner

SYMBOL_NAME:  klif+8c41

MODULE_NAME:  klif

IMAGE_NAME:  klif.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  41065f06

STACK_COMMAND:  kb

BUCKET_ID:  0x50_BADMEMREF_klif+8c41

Followup: MachineOwner
---------

---

И указывают на драйвер klif.sys

Угадай ЧЕЙ это драйвер. За последние пару дней он уже пару раз обсуждался

Hint: http://www.google.com/search?q=%22klif.sys%22&sourceid=opera&num=0&ie=utf-8&oe=utf-8

Кстати, а разве на самом BSOD-е имя виновника написано не было?

Кстати, если ты вышлешь им эти минидампы - они будут тебе очень благодарны (если они конечно не полные олухи и знаю что с ними делать)

Поиск

Page_fault_in_nonpaged_area 0×00000050 - Gor801 08.06.05 23:49 [8202]
- А ларчик просто открывался - Gor801 14.07.05 14:32 [5663]
- Вот что по этому поводу думает микрософт - amirul 09.06.05 12:48 [5474]
  - Дампы за 07.06.2005(архив) размещён по адресу - Gor801 09.06.05 14:54 [3851]
    - Да кстати - amirul 09.06.05 17:25 [3740]
    - В первых двух завалился svchost.exe при попытке от... - amirul 09.06.05 17:06 [6466]
      - Да злой Касперский постарался - Gor801 09.06.05 20:05 [3461]
        Правильнее удалять сервис - amirul 10.06.05 11:13 [4145]
        Windows Debugging Tools - Gor801 07.07.05 14:23 [4157]
        Качать - amirul 07.07.05 18:21 [3442]
        Помогите настроить - Gor801 08.07.05 00:45 [3306]
        Если это та же винда, дампы которой были выложены... - amirul 08.07.05 11:46 [3211]
        Вопрос : большой ли файл pbd, а то при моём конект... - Gor801 08.07.05 14:32 [2909]
        В распакованном виде - 4 метра, в упакованном (они... - amirul 08.07.05 15:07 [3218]
        Символа нашёл на локалке - Gor801 08.07.05 16:38 [6175]
        Тю - amirul 08.07.05 18:27 [2704]
        Помоги (-) - Gor801 08.07.05 20:00 [2917]
        А с чего ты взял, что твой трафик ценнее моего? - amirul 11.07.05 11:48 [2955]
        Ты не понял, я не прошу тебя качать символа на мою винду, - Gor801 11.07.05 14:40 [3045]
        Чтобы посмотреть дампы нужны символы, как ты уже з... - amirul 11.07.05 16:38 [3213]
        Чё не так? - Gor801 11.07.05 23:46 [6864]
        Так бы и сразу :-) [update2] - amirul 12.07.05 11:17 [2808]
        Log !analyze -v - Gor801 12.07.05 15:13 [3005]
        Очень странная ошибка - amirul 13.07.05 13:14 [3640]
        Я не обратил внимание на IoCallDriver() из nbt, причина... - leo 13.07.05 13:39 [2669]
        Спорить то можно, но доказать по минидампу все рав... - amirul 13.07.05 14:48 [2602]
        Это приключилось при попытке админа записать - Gor801 13.07.05 14:29 [2628]
        Возможно я нашёл ответ - Gor801 13.07.05 22:18 [3062]
        И ещё - Gor801 13.07.05 23:53 [3495]
        Помогите господа специалисты - Gor801 21.07.05 00:59 [2991]
        Сказать что-либо толковое сложно... - leo 12.07.05 19:05 [2659]
        А ещё если можно то лучше пошаговую настройку - Gor801 07.07.05 14:32 [2658]
- На чем выскакивает? В чем? Когда? - Zef 09.06.05 06:02 [2796]

Page build time: 0 s

Design: Vadim Derkach