求蓝屏原因

雪丫鬟

事情是这样的，今天无聊，尝试了下腾讯内测的驱动级防护的QQ，安装之后，发现无法使用显IP插件了，无法注入了！我就想手动复制至BIN目录，也是拒绝！
后来，经过高人提点，我用XT干掉了QQ加载的驱动，也就是QQProtect.sys！如图；
接下来我用XT删了，注册表跟文件都删的那种，成功之后，我窃喜，想重启QQ看看，突然之间，蓝屏了……自动重启！进入系统之后，我开启QQ，发现显IP插件注入成功了！也就是说，驱动被我干掉了，再用XT看，已经没有那个QQProtect.sys了！
很想知道蓝屏的原因，是不是因为干掉驱动的原因？附上蓝屏文件，求大牛解答！万分感谢！

dengyuzhou

Microsoft (R) Windows Debugger Version 6.11.0001.402 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Documents and Settings\Administrator\桌面\Mini122911-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.           *
* Use .symfix to have the debugger choose a symbol path.                   *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720
Debug session time: Thu Dec 29 18:49:43.890 2011 (GMT+8)
System Uptime: 0 days 6:14:48.476
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
...
Loading User Symbols
Loading unloaded module list
...............
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000008E, {c0000005, 0, b9379aa4, 0}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*** WARNING: Unable to verify timestamp for TSKsp.sys
*** ERROR: Module load completed but symbols could not be loaded for TSKsp.sys
*** WARNING: Unable to verify timestamp for Hookport.sys
*** ERROR: Module load completed but symbols could not be loaded for Hookport.sys
*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Probably caused by : TSKsp.sys ( TSKsp+14132 )

Followup: MachineOwner
---------

TSKsp.sys的问题

kangzhen

安装了Q管？重装一次或干脆不要它

雪丫鬟

dengyuzhou 发表于 2011-12-29 19:41
Microsoft (R) Windows Debugger Version 6.11.0001.402 X86
Copyright (c) Microsoft Corporation. All ...

这是什么工具？求分享

雪丫鬟

kangzhen 发表于 2011-12-29 19:46
安装了Q管？重装一次或干脆不要它

那个只为加速，半小时之后，就关了，当时没开

简单一下_雪人

雪丫鬟 发表于 2011-12-29 19:48
那个只为加速，半小时之后，就关了，当时没开

重新安装QQ2011

dengyuzhou

雪丫鬟 发表于 2011-12-29 19:47
这是什么工具？求分享

windbg
软件下载地址:http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.11.1.402.msi
汉化补丁:
下载后到安装目录替换同名文件即可

雪丫鬟

简单一下_雪人 发表于 2011-12-29 19:52
重新安装QQ2011

目前好像没问题了，再不行，就重装了，感谢

雪丫鬟

dengyuzhou 发表于 2011-12-29 19:53
windbg
软件下载地址:http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.11.1.402.msi
...

非常感谢你的帮助