查看: 5922|回复: 6
收起左侧

[系统] 今天又蓝屏了。附蓝屏文件。

[复制链接]
卡朗
发表于 2014-2-20 13:50:38 | 显示全部楼层 |阅读模式
本帖最后由 卡朗 于 2014-2-20 13:51 编辑

上一次发的关于蓝屏帖子是:http://bbs.kafan.cn/thread-1686747-1-1.html




系统是Win 7 SP1 旗舰版

插上电源通电,按下主机电源按钮,本应该正常进入Win7的,但是蓝屏出现了。

蓝屏文件:http://pan.baidu.com/s/1mgHPdJM

以下是WinDbg的分析结果,我自己分析得出是QQProtect.sys这个引起的,好像每次蓝屏绝大多数有这个身影,但是不是由它引起的就不清楚了,不知道我有没有分析错误了。@伊川书院


  1. Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
  2. Copyright (c) Microsoft Corporation. All rights reserved.


  3. Loading Dump File [C:\Windows\MEMORY.DMP]
  4. Kernel Summary Dump File: Only kernel address space is available

  5. Symbol search path is: *** Invalid ***
  6. ****************************************************************************
  7. * Symbol loading may be unreliable without a symbol search path.           *
  8. * Use .symfix to have the debugger choose a symbol path.                   *
  9. * After setting your symbol path, use .reload to refresh symbol locations. *
  10. ****************************************************************************
  11. Executable search path is:
  12. *********************************************************************
  13. * Symbols can not be loaded because symbol path is not initialized. *
  14. *                                                                   *
  15. * The Symbol Path can be set by:                                    *
  16. *   using the _NT_SYMBOL_PATH environment variable.                 *
  17. *   using the -y <symbol_path> argument when starting the debugger. *
  18. *   using .sympath and .sympath+                                    *
  19. *********************************************************************
  20. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
  21. Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
  22. Product: WinNt, suite: TerminalServer SingleUserTS
  23. Built by: 7601.18247.x86fre.win7sp1_gdr.130828-1532
  24. Machine Name:
  25. Kernel base = 0x84c1c000 PsLoadedModuleList = 0x84d654d0
  26. Debug session time: Thu Feb 20 12:39:09.746 2014 (UTC + 8:00)
  27. System Uptime: 0 days 0:00:13.119
  28. *********************************************************************
  29. * Symbols can not be loaded because symbol path is not initialized. *
  30. *                                                                   *
  31. * The Symbol Path can be set by:                                    *
  32. *   using the _NT_SYMBOL_PATH environment variable.                 *
  33. *   using the -y <symbol_path> argument when starting the debugger. *
  34. *   using .sympath and .sympath+                                    *
  35. *********************************************************************
  36. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
  37. Loading Kernel Symbols
  38. ...............................................................
  39. ................................................................
  40. ..............
  41. Loading User Symbols
  42. PEB is paged out (Peb.Ldr = 7ffd700c).  Type ".hh dbgerr001" for details
  43. Loading unloaded module list
  44. ...
  45. 3: kd> !analyze -v
  46. *******************************************************************************
  47. *                                                                             *
  48. *                        Bugcheck Analysis                                    *
  49. *                                                                             *
  50. *******************************************************************************

  51. KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
  52. This is a very common bugcheck.  Usually the exception address pinpoints
  53. the driver/function that caused the problem.  Always note this address
  54. as well as the link date of the driver/image that contains this address.
  55. Some common problems are exception code 0x80000003.  This means a hard
  56. coded breakpoint or assertion was hit, but this system was booted
  57. /NODEBUG.  This is not supposed to happen as developers should never have
  58. hardcoded breakpoints in retail code, but ...
  59. If this happens, make sure a debugger gets connected, and the
  60. system is booted /DEBUG.  This will let us see why this breakpoint is
  61. happening.
  62. Arguments:
  63. Arg1: c0000005, The exception code that was not handled
  64. Arg2: 84d3c008, The address that the exception occurred at
  65. Arg3: 926ab838, Trap Frame
  66. Arg4: 00000000

  67. Debugging Details:
  68. ------------------

  69. *** ERROR: Module load completed but symbols could not be loaded for QQProtect.sys
  70. ***** Kernel symbols are WRONG. Please fix symbols to do analysis.

  71. *************************************************************************
  72. ***                                                                   ***
  73. ***                                                                   ***
  74. ***    Your debugger is not using the correct symbols                 ***
  75. ***                                                                   ***
  76. ***    In order for this command to work properly, your symbol path   ***
  77. ***    must point to .pdb files that have full type information.      ***
  78. ***                                                                   ***
  79. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  80. ***    contain the required information.  Contact the group that      ***
  81. ***    provided you with these symbols if you need this command to    ***
  82. ***    work.                                                          ***
  83. ***                                                                   ***
  84. ***    Type referenced: nt!_KPRCB                                     ***
  85. ***                                                                   ***
  86. *************************************************************************
  87. *************************************************************************
  88. ***                                                                   ***
  89. ***                                                                   ***
  90. ***    Your debugger is not using the correct symbols                 ***
  91. ***                                                                   ***
  92. ***    In order for this command to work properly, your symbol path   ***
  93. ***    must point to .pdb files that have full type information.      ***
  94. ***                                                                   ***
  95. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  96. ***    contain the required information.  Contact the group that      ***
  97. ***    provided you with these symbols if you need this command to    ***
  98. ***    work.                                                          ***
  99. ***                                                                   ***
  100. ***    Type referenced: nt!KPRCB                                      ***
  101. ***                                                                   ***
  102. *************************************************************************
  103. *************************************************************************
  104. ***                                                                   ***
  105. ***                                                                   ***
  106. ***    Your debugger is not using the correct symbols                 ***
  107. ***                                                                   ***
  108. ***    In order for this command to work properly, your symbol path   ***
  109. ***    must point to .pdb files that have full type information.      ***
  110. ***                                                                   ***
  111. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  112. ***    contain the required information.  Contact the group that      ***
  113. ***    provided you with these symbols if you need this command to    ***
  114. ***    work.                                                          ***
  115. ***                                                                   ***
  116. ***    Type referenced: nt!_KPRCB                                     ***
  117. ***                                                                   ***
  118. *************************************************************************
  119. *************************************************************************
  120. ***                                                                   ***
  121. ***                                                                   ***
  122. ***    Your debugger is not using the correct symbols                 ***
  123. ***                                                                   ***
  124. ***    In order for this command to work properly, your symbol path   ***
  125. ***    must point to .pdb files that have full type information.      ***
  126. ***                                                                   ***
  127. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  128. ***    contain the required information.  Contact the group that      ***
  129. ***    provided you with these symbols if you need this command to    ***
  130. ***    work.                                                          ***
  131. ***                                                                   ***
  132. ***    Type referenced: nt!KPRCB                                      ***
  133. ***                                                                   ***
  134. *************************************************************************
  135. *************************************************************************
  136. ***                                                                   ***
  137. ***                                                                   ***
  138. ***    Your debugger is not using the correct symbols                 ***
  139. ***                                                                   ***
  140. ***    In order for this command to work properly, your symbol path   ***
  141. ***    must point to .pdb files that have full type information.      ***
  142. ***                                                                   ***
  143. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  144. ***    contain the required information.  Contact the group that      ***
  145. ***    provided you with these symbols if you need this command to    ***
  146. ***    work.                                                          ***
  147. ***                                                                   ***
  148. ***    Type referenced: nt!_KPRCB                                     ***
  149. ***                                                                   ***
  150. *************************************************************************
  151. *************************************************************************
  152. ***                                                                   ***
  153. ***                                                                   ***
  154. ***    Your debugger is not using the correct symbols                 ***
  155. ***                                                                   ***
  156. ***    In order for this command to work properly, your symbol path   ***
  157. ***    must point to .pdb files that have full type information.      ***
  158. ***                                                                   ***
  159. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  160. ***    contain the required information.  Contact the group that      ***
  161. ***    provided you with these symbols if you need this command to    ***
  162. ***    work.                                                          ***
  163. ***                                                                   ***
  164. ***    Type referenced: nt!_KPRCB                                     ***
  165. ***                                                                   ***
  166. *************************************************************************
  167. *************************************************************************
  168. ***                                                                   ***
  169. ***                                                                   ***
  170. ***    Your debugger is not using the correct symbols                 ***
  171. ***                                                                   ***
  172. ***    In order for this command to work properly, your symbol path   ***
  173. ***    must point to .pdb files that have full type information.      ***
  174. ***                                                                   ***
  175. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  176. ***    contain the required information.  Contact the group that      ***
  177. ***    provided you with these symbols if you need this command to    ***
  178. ***    work.                                                          ***
  179. ***                                                                   ***
  180. ***    Type referenced: nt!_KPRCB                                     ***
  181. ***                                                                   ***
  182. *************************************************************************
  183. *************************************************************************
  184. ***                                                                   ***
  185. ***                                                                   ***
  186. ***    Your debugger is not using the correct symbols                 ***
  187. ***                                                                   ***
  188. ***    In order for this command to work properly, your symbol path   ***
  189. ***    must point to .pdb files that have full type information.      ***
  190. ***                                                                   ***
  191. ***    Certain .pdb files (such as the public OS symbols) do not      ***
  192. ***    contain the required information.  Contact the group that      ***
  193. ***    provided you with these symbols if you need this command to    ***
  194. ***    work.                                                          ***
  195. ***                                                                   ***
  196. ***    Type referenced: nt!_KPRCB                                     ***
  197. ***                                                                   ***
  198. *************************************************************************

  199. ADDITIONAL_DEBUG_TEXT:  
  200. Use '!findthebuild' command to search for the target build information.
  201. If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.

  202. FAULTING_MODULE: 84c1c000 nt

  203. DEBUG_FLR_IMAGE_TIMESTAMP:  526e6145

  204. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

  205. FAULTING_IP:
  206. nt!ExAllocatePoolWithTag+3
  207. 84d3c008 8bec            mov     ebp,esp

  208. TRAP_FRAME:  926ab838 -- (.trap 0xffffffff926ab838)
  209. ErrCode = 00000000
  210. eax=00000078 ebx=8bc5d9e8 ecx=84e51154 edx=8bc52580 esi=8bc5db78 edi=926abb6c
  211. eip=84d3c008 esp=926ab8ac ebp=926ab990 iopl=0         nv up ei ng nz na po cy
  212. cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010283
  213. nt!ExAllocatePoolWithTag+0x3:
  214. 84d3c008 8bec            mov     ebp,esp
  215. Resetting default scope

  216. DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

  217. BUGCHECK_STR:  0x8E

  218. CURRENT_IRQL:  0

  219. LAST_CONTROL_TRANSFER:  from 84cd03ce to 84cfabfc

  220. STACK_TEXT:  
  221. WARNING: Stack unwind information not available. Following frames may be wrong.
  222. 926ab3a4 84cd03ce 0000008e c0000005 84d3c008 nt!KeBugCheckEx+0x1e
  223. 926ab7c8 84c5a4a6 926ab7e4 00000000 926ab838 nt!RtlAppendUnicodeToString+0x45d
  224. 926ab858 84e5ee48 84e51009 00000000 00000000 nt!Kei386EoiHelper+0x1de
  225. 926ab990 84e41d1e 8a357e20 c5736938 8bb87008 nt!TmCurrentTransaction+0x6f
  226. 926aba0c 84e52147 00000000 926aba60 00000040 nt!ObCreateObject+0x90b
  227. 926aba68 84e74e6e 08ffcbc4 87736938 00000001 nt!ObOpenObjectByName+0x165
  228. 926abc14 92efd9d4 08ffcbc4 08ffcb9c 926abc34 nt!ObGetObjectType+0x306
  229. 926abc24 84c598c6 08ffcbc4 08ffcb9c 08ffcbf4 QQProtect+0x159d4
  230. 926abc34 776170f4 badb0d00 08ffcb88 00000000 nt!ZwYieldExecution+0xb86
  231. 926abc38 badb0d00 08ffcb88 00000000 00000000 0x776170f4
  232. 926abc3c 08ffcb88 00000000 00000000 00000000 0xbadb0d00
  233. 926abc40 00000000 00000000 00000000 00000000 0x8ffcb88


  234. STACK_COMMAND:  kb

  235. FOLLOWUP_IP:
  236. QQProtect+159d4
  237. 92efd9d4 85c0            test    eax,eax

  238. SYMBOL_STACK_INDEX:  7

  239. SYMBOL_NAME:  QQProtect+159d4

  240. FOLLOWUP_NAME:  MachineOwner

  241. MODULE_NAME: QQProtect

  242. IMAGE_NAME:  QQProtect.sys

  243. BUCKET_ID:  WRONG_SYMBOLS

  244. Followup: MachineOwner
  245. ---------

  246. 3: kd> !process
  247. NT symbols are incorrect, please fix symbols
  248. 3: kd> lmvm QQProtect
  249. start    end        module name
  250. 92ee8000 92f13900   QQProtect   (no symbols)           
  251.     Loaded symbol image file: QQProtect.sys
  252.     Image path: \??\C:\Windows\system32\drivers\QQProtect.sys
  253.     Image name: QQProtect.sys
  254.     Timestamp:        Mon Oct 28 21:06:13 2013 (526E6145)
  255.     CheckSum:         000350D5
  256.     ImageSize:        0002B900
  257.     Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
复制代码
伊川书院
发表于 2014-2-20 15:33:32 | 显示全部楼层
本帖最后由 伊川书院 于 2014-2-20 15:36 编辑

如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQProtect  下面的:Start值改为:3

不清楚有没有效果,因为我以前用一次过2013,发现QQProtect 会回写,也就是说,你改成3之后,,有可能会又修改回去.

修改的目地:延时QQProtect.sys开机加载顺序,竟可能的避开微点可能的超时.
卡朗
 楼主| 发表于 2014-2-20 18:44:34 | 显示全部楼层
伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...


谢谢你的指点。我已经把QQ2013卸载了,直接用JayXon的2013绿色版。如果这样还出现蓝屏的话,我也不知道怎样处理了。
lastpass
发表于 2017-1-1 12:55:18 | 显示全部楼层
伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...

你是怎么看出来这是由于微点蓝屏引起的?
lastpass
发表于 2017-1-1 13:28:15 | 显示全部楼层
伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...

我看到了,你是看了百度网盘的dmp看出来的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
伊川书院
发表于 2017-1-1 20:54:05 | 显示全部楼层
海颜贝儿 发表于 2017-1-1 13:28
我看到了,你是看了百度网盘的dmp看出来的


呃,,,,好多年了,哪来记得

从你贴出来的图片来看,大至就是这样吧

两个红色的标记是关键点
awerrr
发表于 2017-1-2 22:17:46 | 显示全部楼层
看到了QQ
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-11 09:06 , Processed in 0.127381 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表