Win 7 sp1 旗舰版今天又蓝屏了。附蓝屏文件。求分析求解决。

卡朗

上次蓝屏发的帖子：http://bbs.kafan.cn/thread-1689305-1-1.html，已经换用了JayXon的绿色版QQ2013。





系统是WIN 7 SP1 旗舰版 32位。

这一次的蓝屏文件：http://pan.baidu.com/s/1jGLXcF0

SREng扫描报告：

今天一开机就进入蓝屏了，昨晚曾经切换过系统主题，不知道是否这个有关。

我觉得是Win32k.sys这个引起的，本机的Win32k.sys文件（http://pan.baidu.com/s/1qWKyTfI），所在位置：system32系统文件夹内，哈希值：

1. 大小: 2349056 字节
   
2. 文件版本: 6.1.7601.18327 (win7sp1_gdr.131125-2337)
   
3. 修改时间: 2013年11月26日, 下午 6:10:21
   
4. MD5: 1E882889A4314D6DF5DED4F6EC994E72
   
5. SHA1: 406A45E18E56959AC8FE44F6232A3583963A2531
   
6. CRC32: 40A5190B

复制代码

WinDxg的分析内容：

1. 
   
2. Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
   
3. Copyright (c) Microsoft Corporation. All rights reserved.
   
4. 
   
5. 
   
6. Loading Dump File [C:\Windows\MEMORY.DMP]
   
7. Kernel Summary Dump File: Only kernel address space is available
   
8. 
   
9. Symbol search path is: *** Invalid ***
   
10. ****************************************************************************
    
11. * Symbol loading may be unreliable without a symbol search path.           *
    
12. * Use .symfix to have the debugger choose a symbol path.                   *
    
13. * After setting your symbol path, use .reload to refresh symbol locations. *
    
14. ****************************************************************************
    
15. Executable search path is:
    
16. *********************************************************************
    
17. * Symbols can not be loaded because symbol path is not initialized. *
    
18. *                                                                   *
    
19. * The Symbol Path can be set by:                                    *
    
20. *   using the _NT_SYMBOL_PATH environment variable.                 *
    
21. *   using the -y <symbol_path> argument when starting the debugger. *
    
22. *   using .sympath and .sympath+                                    *
    
23. *********************************************************************
    
24. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
    
25. Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
    
26. Product: WinNt, suite: TerminalServer SingleUserTS
    
27. Built by: 7601.18247.x86fre.win7sp1_gdr.130828-1532
    
28. Machine Name:
    
29. Kernel base = 0x84c56000 PsLoadedModuleList = 0x84d9f4d0
    
30. Debug session time: Sat Mar  1 10:37:53.354 2014 (UTC + 8:00)
    
31. System Uptime: 0 days 0:00:13.712
    
32. *********************************************************************
    
33. * Symbols can not be loaded because symbol path is not initialized. *
    
34. *                                                                   *
    
35. * The Symbol Path can be set by:                                    *
    
36. *   using the _NT_SYMBOL_PATH environment variable.                 *
    
37. *   using the -y <symbol_path> argument when starting the debugger. *
    
38. *   using .sympath and .sympath+                                    *
    
39. *********************************************************************
    
40. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
    
41. Loading Kernel Symbols
    
42. ...............................................................
    
43. ................................................................
    
44. .............
    
45. Loading User Symbols
    
46. PEB is paged out (Peb.Ldr = 7ffd700c).  Type ".hh dbgerr001" for details
    
47. Loading unloaded module list
    
48. ...
    
49. 1: kd> !analyze -v
    
50. *******************************************************************************
    
51. *                                                                             *
    
52. *                        Bugcheck Analysis                                    *
    
53. *                                                                             *
    
54. *******************************************************************************
    
55. 
    
56. KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    
57. This is a very common bugcheck.  Usually the exception address pinpoints
    
58. the driver/function that caused the problem.  Always note this address
    
59. as well as the link date of the driver/image that contains this address.
    
60. Some common problems are exception code 0x80000003.  This means a hard
    
61. coded breakpoint or assertion was hit, but this system was booted
    
62. /NODEBUG.  This is not supposed to happen as developers should never have
    
63. hardcoded breakpoints in retail code, but ...
    
64. If this happens, make sure a debugger gets connected, and the
    
65. system is booted /DEBUG.  This will let us see why this breakpoint is
    
66. happening.
    
67. Arguments:
    
68. Arg1: c0000005, The exception code that was not handled
    
69. Arg2: 84d76008, The address that the exception occurred at
    
70. Arg3: 926e7934, Trap Frame
    
71. Arg4: 00000000
    
72. 
    
73. Debugging Details:
    
74. ------------------
    
75. 
    
76. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for win32k.sys -
    
77. ***** Kernel symbols are WRONG. Please fix symbols to do analysis.
    
78. 
    
79. *************************************************************************
    
80. ***                                                                   ***
    
81. ***                                                                   ***
    
82. ***    Your debugger is not using the correct symbols                 ***
    
83. ***                                                                   ***
    
84. ***    In order for this command to work properly, your symbol path   ***
    
85. ***    must point to .pdb files that have full type information.      ***
    
86. ***                                                                   ***
    
87. ***    Certain .pdb files (such as the public OS symbols) do not      ***
    
88. ***    contain the required information.  Contact the group that      ***
    
89. ***    provided you with these symbols if you need this command to    ***
    
90. ***    work.                                                          ***
    
91. ***                                                                   ***
    
92. ***    Type referenced: nt!_KPRCB                                     ***
    
93. ***                                                                   ***
    
94. *************************************************************************
    
95. *************************************************************************
    
96. ***                                                                   ***
    
97. ***                                                                   ***
    
98. ***    Your debugger is not using the correct symbols                 ***
    
99. ***                                                                   ***
    
100. ***    In order for this command to work properly, your symbol path   ***
     
101. ***    must point to .pdb files that have full type information.      ***
     
102. ***                                                                   ***
     
103. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
104. ***    contain the required information.  Contact the group that      ***
     
105. ***    provided you with these symbols if you need this command to    ***
     
106. ***    work.                                                          ***
     
107. ***                                                                   ***
     
108. ***    Type referenced: nt!KPRCB                                      ***
     
109. ***                                                                   ***
     
110. *************************************************************************
     
111. *************************************************************************
     
112. ***                                                                   ***
     
113. ***                                                                   ***
     
114. ***    Your debugger is not using the correct symbols                 ***
     
115. ***                                                                   ***
     
116. ***    In order for this command to work properly, your symbol path   ***
     
117. ***    must point to .pdb files that have full type information.      ***
     
118. ***                                                                   ***
     
119. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
120. ***    contain the required information.  Contact the group that      ***
     
121. ***    provided you with these symbols if you need this command to    ***
     
122. ***    work.                                                          ***
     
123. ***                                                                   ***
     
124. ***    Type referenced: nt!_KPRCB                                     ***
     
125. ***                                                                   ***
     
126. *************************************************************************
     
127. *************************************************************************
     
128. ***                                                                   ***
     
129. ***                                                                   ***
     
130. ***    Your debugger is not using the correct symbols                 ***
     
131. ***                                                                   ***
     
132. ***    In order for this command to work properly, your symbol path   ***
     
133. ***    must point to .pdb files that have full type information.      ***
     
134. ***                                                                   ***
     
135. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
136. ***    contain the required information.  Contact the group that      ***
     
137. ***    provided you with these symbols if you need this command to    ***
     
138. ***    work.                                                          ***
     
139. ***                                                                   ***
     
140. ***    Type referenced: nt!KPRCB                                      ***
     
141. ***                                                                   ***
     
142. *************************************************************************
     
143. *************************************************************************
     
144. ***                                                                   ***
     
145. ***                                                                   ***
     
146. ***    Your debugger is not using the correct symbols                 ***
     
147. ***                                                                   ***
     
148. ***    In order for this command to work properly, your symbol path   ***
     
149. ***    must point to .pdb files that have full type information.      ***
     
150. ***                                                                   ***
     
151. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
152. ***    contain the required information.  Contact the group that      ***
     
153. ***    provided you with these symbols if you need this command to    ***
     
154. ***    work.                                                          ***
     
155. ***                                                                   ***
     
156. ***    Type referenced: nt!_KPRCB                                     ***
     
157. ***                                                                   ***
     
158. *************************************************************************
     
159. *************************************************************************
     
160. ***                                                                   ***
     
161. ***                                                                   ***
     
162. ***    Your debugger is not using the correct symbols                 ***
     
163. ***                                                                   ***
     
164. ***    In order for this command to work properly, your symbol path   ***
     
165. ***    must point to .pdb files that have full type information.      ***
     
166. ***                                                                   ***
     
167. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
168. ***    contain the required information.  Contact the group that      ***
     
169. ***    provided you with these symbols if you need this command to    ***
     
170. ***    work.                                                          ***
     
171. ***                                                                   ***
     
172. ***    Type referenced: nt!_KPRCB                                     ***
     
173. ***                                                                   ***
     
174. *************************************************************************
     
175. *************************************************************************
     
176. ***                                                                   ***
     
177. ***                                                                   ***
     
178. ***    Your debugger is not using the correct symbols                 ***
     
179. ***                                                                   ***
     
180. ***    In order for this command to work properly, your symbol path   ***
     
181. ***    must point to .pdb files that have full type information.      ***
     
182. ***                                                                   ***
     
183. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
184. ***    contain the required information.  Contact the group that      ***
     
185. ***    provided you with these symbols if you need this command to    ***
     
186. ***    work.                                                          ***
     
187. ***                                                                   ***
     
188. ***    Type referenced: nt!_KPRCB                                     ***
     
189. ***                                                                   ***
     
190. *************************************************************************
     
191. *************************************************************************
     
192. ***                                                                   ***
     
193. ***                                                                   ***
     
194. ***    Your debugger is not using the correct symbols                 ***
     
195. ***                                                                   ***
     
196. ***    In order for this command to work properly, your symbol path   ***
     
197. ***    must point to .pdb files that have full type information.      ***
     
198. ***                                                                   ***
     
199. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
200. ***    contain the required information.  Contact the group that      ***
     
201. ***    provided you with these symbols if you need this command to    ***
     
202. ***    work.                                                          ***
     
203. ***                                                                   ***
     
204. ***    Type referenced: nt!_KPRCB                                     ***
     
205. ***                                                                   ***
     
206. *************************************************************************
     
207. 
     
208. ADDITIONAL_DEBUG_TEXT:  
     
209. Use '!findthebuild' command to search for the target build information.
     
210. If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.
     
211. 
     
212. MODULE_NAME: win32k
     
213. 
     
214. FAULTING_MODULE: 84c56000 nt
     
215. 
     
216. DEBUG_FLR_IMAGE_TIMESTAMP:  5294737c
     
217. 
     
218. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx
     
219. 
     
220. FAULTING_IP:
     
221. nt!ExAllocatePoolWithTag+3
     
222. 84d76008 8bec            mov     ebp,esp
     
223. 
     
224. TRAP_FRAME:  926e7934 -- (.trap 0xffffffff926e7934)
     
225. ErrCode = 00000000
     
226. eax=34343434 ebx=00000028 ecx=00000038 edx=00000000 esi=87792418 edi=00000000
     
227. eip=84d76008 esp=926e79a8 ebp=926e79d4 iopl=0         nv up ei ng nz na po nc
     
228. cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010282
     
229. nt!ExAllocatePoolWithTag+0x3:
     
230. 84d76008 8bec            mov     ebp,esp
     
231. Resetting default scope
     
232. 
     
233. DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT
     
234. 
     
235. BUGCHECK_STR:  0x8E
     
236. 
     
237. CURRENT_IRQL:  0
     
238. 
     
239. LAST_CONTROL_TRANSFER:  from 84d0a3ce to 84d34bfc
     
240. 
     
241. STACK_TEXT:  
     
242. WARNING: Stack unwind information not available. Following frames may be wrong.
     
243. 926e74a4 84d0a3ce 0000008e c0000005 84d76008 nt!KeBugCheckEx+0x1e
     
244. 926e78c4 84c944a6 926e78e0 00000000 926e7934 nt!RtlAppendUnicodeToString+0x45d
     
245. 926e79a4 84e7b6e8 00000000 00000038 ee657645 nt!Kei386EoiHelper+0x1de
     
246. 926e79d4 84e7b53c 8bb899a0 8a654b00 926e7a00 nt!ObCreateObject+0x2d5
     
247. 926e7a0c 84e97951 8a654b00 87792418 00000000 nt!ObCreateObject+0x129
     
248. 926e7a74 84c938c6 fe973a28 001f0003 00000000 nt!NtCreateEvent+0x93
     
249. 926e7a90 84c91311 badb0d00 926e7b08 08005020 nt!ZwYieldExecution+0xb86
     
250. 926e7bdc 9c73cbb7 8bc6d910 8bc6d910 00001187 nt!ZwCreateEvent+0x11
     
251. 926e7bf4 9c73ccde 8bc6d910 00000000 00001187 win32k!EngUnlockSurface+0x2c43
     
252. 926e7c10 84ece165 8bc6d910 00000000 84dbfb10 win32k!EngUnlockSurface+0x2d6a
     
253. 926e7c34 776670f4 badb0d00 0a5ffe88 00000000 nt!PsSetThreadWin32Thread+0x94
     
254. 926e7c38 badb0d00 0a5ffe88 00000000 00000000 0x776670f4
     
255. 926e7c3c 0a5ffe88 00000000 00000000 00000000 0xbadb0d00
     
256. 926e7c40 00000000 00000000 00000000 00000000 0xa5ffe88
     
257. 
     
258. 
     
259. STACK_COMMAND:  kb
     
260. 
     
261. FOLLOWUP_IP:
     
262. win32k!EngUnlockSurface+2c43
     
263. 9c73cbb7 8bf8            mov     edi,eax
     
264. 
     
265. SYMBOL_STACK_INDEX:  8
     
266. 
     
267. SYMBOL_NAME:  win32k!EngUnlockSurface+2c43
     
268. 
     
269. FOLLOWUP_NAME:  MachineOwner
     
270. 
     
271. IMAGE_NAME:  win32k.sys
     
272. 
     
273. BUCKET_ID:  WRONG_SYMBOLS
     
274. 
     
275. Followup: MachineOwner
     
276. ---------
     
277. 
     

复制代码

求分析求解决。蓝屏不知道这是第几次了。

求大神@伊川书院

伊川书院

哎，跟上次一样的还是在开机13秒的时候被蓝屏了。。。。

要不，，试试卸载微点在运行几天看看？？？

另外，你在windbg的文件符号路径：SRV*k:\Symbol*http://msdl.microsoft.com/download/symbols

卡朗

伊川书院 发表于 2014-3-1 12:33
哎，跟上次一样的还是在开机13秒的时候被蓝屏了。。。。

要不，，试试卸载微点在运行几天看看？？？

大神，你分析得出是什么原因引起这次蓝屏的吗？

我的Symbol安装在C:\Program Files\Symbols，所以windbg的符号路径(ctrl+s)是：

SRV*C:\Program Files\Symbols*http://msdl.microsoft.com/download/symbols

这样有没有写错？

那个微点是正版来的，卸载微点后，暂时用什么防护软件来替代，我一直都信赖微点的。

重启后，一切看起来很正常，就是不知道以后会不会再蓝屏。

删了微点，我都不知道用什么来替代了。要不介绍一个？

伊川书院

卡朗 发表于 2014-3-1 13:21
我的Symbol安装在C:\Program Files\Symbols，所以windbg的符号路径(ctrl+s)是：

SRV*C:\Program Files ...

1.路径这样也行。最好是放其它盘，因为下载的时候有零时碎片产生。

2.先试试看排除微点吧，，找出原因之后，我们再来像办法解决吧。其实，安全软件都比较成熟，特别是有云端识别的，一般只要不乱搞，不容易出问题。

如果是为了限制某些软件的乱七八X的功能的话，HIPS也能够满足。

现在的国内的安全都越来越过激了（所谓的主动防御）。

所以，我个人认为，安全软件还是先择安静点的好。。。。

卡朗

伊川书院 发表于 2014-3-1 13:27
1.路径这样也行。最好是放其它盘，因为下载的时候有零时碎片产生。

2.先试试看排除微点吧，，找出原因 ...

就因为微点安静，技术方面也可以，才选择它的。微点已用6年以上了。一直很好，现在这台是新机来的。

以前用XP SP3也蓝屏，现在用上了WIN 7 SP1 旗舰版 32位，也是这样。

360、金山觉得不靠谱。腾讯管家没用过，不清楚。

QQ也已换绿色版了，我也不知道怎样处理了。。。

伊川书院

卡朗 发表于 2014-3-1 13:31
就因为微点安静，技术方面也可以，才选择它的。微点已用6年以上了。一直很好，现在这台是新机来的。

...

先排查出问题看看吧，，，

另外，安全软件的殊性，条件允许的话，内存条最好也清理一下吧。。。。



以前360也报过类似的问题，，后来听官方的解释是说内存条硬件的原因。。。。具体不太清楚，，好像是安全软件检查内存的一个什么机制，具体不清楚他们说的较含糊。

卡朗

伊川书院 发表于 2014-3-1 13:40
先排查出问题看看吧，，，

另外，安全软件的殊性，条件允许的话，内存条最好也清理一下吧。。。。

内存条清理了，内存检查没发现错误，无奈的情况下，也尝试换内存条插槽，甚至连硬盘的数据线的主板接口也换插过（主板有几个SATA接口）。

伊川书院

如果有足够的耐心，上传个SREng日志看看，windbg很多东西我也不是很懂。

卡朗

伊川书院 发表于 2014-3-1 13:44
如果有足够的耐心，上传个SREng日志看看，windbg很多东西我也不是很懂。

已扫描上传，在1楼

伊川书院

卡朗 发表于 2014-3-1 13:52
已扫描上传，在1楼

在与微点同期启动的另类项：
[BAPIDRV / BAPIDRV][Running/System Start]
  <\??\C:\Windows\system32\drivers\BAPIDRV.SYS><360.cn>  （360的一个什么驱动）

[AsIO / AsIO][Running/System Start]
  <system32\drivers\AsIO.sys><N/A>   （华硕的一个什么文件，搜了一下有人说是ASUS华硕主板Ai Booster超频工具


其它的也看不出什么问题。


你还是先卸载微点，再运行几天看看吧。。暂时这样