今天又蓝屏了。附蓝屏文件。

卡朗

上一次发的关于蓝屏帖子是：http://bbs.kafan.cn/thread-1686747-1-1.html




系统是Win 7 SP1 旗舰版

插上电源通电，按下主机电源按钮，本应该正常进入Win7的，但是蓝屏出现了。

蓝屏文件：http://pan.baidu.com/s/1mgHPdJM

以下是WinDbg的分析结果，我自己分析得出是QQProtect.sys这个引起的，好像每次蓝屏绝大多数有这个身影，但是不是由它引起的就不清楚了，不知道我有没有分析错误了。@伊川书院

1. 
   
2. Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
   
3. Copyright (c) Microsoft Corporation. All rights reserved.
   
4. 
   
5. 
   
6. Loading Dump File [C:\Windows\MEMORY.DMP]
   
7. Kernel Summary Dump File: Only kernel address space is available
   
8. 
   
9. Symbol search path is: *** Invalid ***
   
10. ****************************************************************************
    
11. * Symbol loading may be unreliable without a symbol search path.           *
    
12. * Use .symfix to have the debugger choose a symbol path.                   *
    
13. * After setting your symbol path, use .reload to refresh symbol locations. *
    
14. ****************************************************************************
    
15. Executable search path is:
    
16. *********************************************************************
    
17. * Symbols can not be loaded because symbol path is not initialized. *
    
18. *                                                                   *
    
19. * The Symbol Path can be set by:                                    *
    
20. *   using the _NT_SYMBOL_PATH environment variable.                 *
    
21. *   using the -y <symbol_path> argument when starting the debugger. *
    
22. *   using .sympath and .sympath+                                    *
    
23. *********************************************************************
    
24. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
    
25. Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
    
26. Product: WinNt, suite: TerminalServer SingleUserTS
    
27. Built by: 7601.18247.x86fre.win7sp1_gdr.130828-1532
    
28. Machine Name:
    
29. Kernel base = 0x84c1c000 PsLoadedModuleList = 0x84d654d0
    
30. Debug session time: Thu Feb 20 12:39:09.746 2014 (UTC + 8:00)
    
31. System Uptime: 0 days 0:00:13.119
    
32. *********************************************************************
    
33. * Symbols can not be loaded because symbol path is not initialized. *
    
34. *                                                                   *
    
35. * The Symbol Path can be set by:                                    *
    
36. *   using the _NT_SYMBOL_PATH environment variable.                 *
    
37. *   using the -y <symbol_path> argument when starting the debugger. *
    
38. *   using .sympath and .sympath+                                    *
    
39. *********************************************************************
    
40. *** ERROR: Symbol file could not be found.  Defaulted to export symbols for ntkrpamp.exe -
    
41. Loading Kernel Symbols
    
42. ...............................................................
    
43. ................................................................
    
44. ..............
    
45. Loading User Symbols
    
46. PEB is paged out (Peb.Ldr = 7ffd700c).  Type ".hh dbgerr001" for details
    
47. Loading unloaded module list
    
48. ...
    
49. 3: kd> !analyze -v
    
50. *******************************************************************************
    
51. *                                                                             *
    
52. *                        Bugcheck Analysis                                    *
    
53. *                                                                             *
    
54. *******************************************************************************
    
55. 
    
56. KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    
57. This is a very common bugcheck.  Usually the exception address pinpoints
    
58. the driver/function that caused the problem.  Always note this address
    
59. as well as the link date of the driver/image that contains this address.
    
60. Some common problems are exception code 0x80000003.  This means a hard
    
61. coded breakpoint or assertion was hit, but this system was booted
    
62. /NODEBUG.  This is not supposed to happen as developers should never have
    
63. hardcoded breakpoints in retail code, but ...
    
64. If this happens, make sure a debugger gets connected, and the
    
65. system is booted /DEBUG.  This will let us see why this breakpoint is
    
66. happening.
    
67. Arguments:
    
68. Arg1: c0000005, The exception code that was not handled
    
69. Arg2: 84d3c008, The address that the exception occurred at
    
70. Arg3: 926ab838, Trap Frame
    
71. Arg4: 00000000
    
72. 
    
73. Debugging Details:
    
74. ------------------
    
75. 
    
76. *** ERROR: Module load completed but symbols could not be loaded for QQProtect.sys
    
77. ***** Kernel symbols are WRONG. Please fix symbols to do analysis.
    
78. 
    
79. *************************************************************************
    
80. ***                                                                   ***
    
81. ***                                                                   ***
    
82. ***    Your debugger is not using the correct symbols                 ***
    
83. ***                                                                   ***
    
84. ***    In order for this command to work properly, your symbol path   ***
    
85. ***    must point to .pdb files that have full type information.      ***
    
86. ***                                                                   ***
    
87. ***    Certain .pdb files (such as the public OS symbols) do not      ***
    
88. ***    contain the required information.  Contact the group that      ***
    
89. ***    provided you with these symbols if you need this command to    ***
    
90. ***    work.                                                          ***
    
91. ***                                                                   ***
    
92. ***    Type referenced: nt!_KPRCB                                     ***
    
93. ***                                                                   ***
    
94. *************************************************************************
    
95. *************************************************************************
    
96. ***                                                                   ***
    
97. ***                                                                   ***
    
98. ***    Your debugger is not using the correct symbols                 ***
    
99. ***                                                                   ***
    
100. ***    In order for this command to work properly, your symbol path   ***
     
101. ***    must point to .pdb files that have full type information.      ***
     
102. ***                                                                   ***
     
103. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
104. ***    contain the required information.  Contact the group that      ***
     
105. ***    provided you with these symbols if you need this command to    ***
     
106. ***    work.                                                          ***
     
107. ***                                                                   ***
     
108. ***    Type referenced: nt!KPRCB                                      ***
     
109. ***                                                                   ***
     
110. *************************************************************************
     
111. *************************************************************************
     
112. ***                                                                   ***
     
113. ***                                                                   ***
     
114. ***    Your debugger is not using the correct symbols                 ***
     
115. ***                                                                   ***
     
116. ***    In order for this command to work properly, your symbol path   ***
     
117. ***    must point to .pdb files that have full type information.      ***
     
118. ***                                                                   ***
     
119. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
120. ***    contain the required information.  Contact the group that      ***
     
121. ***    provided you with these symbols if you need this command to    ***
     
122. ***    work.                                                          ***
     
123. ***                                                                   ***
     
124. ***    Type referenced: nt!_KPRCB                                     ***
     
125. ***                                                                   ***
     
126. *************************************************************************
     
127. *************************************************************************
     
128. ***                                                                   ***
     
129. ***                                                                   ***
     
130. ***    Your debugger is not using the correct symbols                 ***
     
131. ***                                                                   ***
     
132. ***    In order for this command to work properly, your symbol path   ***
     
133. ***    must point to .pdb files that have full type information.      ***
     
134. ***                                                                   ***
     
135. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
136. ***    contain the required information.  Contact the group that      ***
     
137. ***    provided you with these symbols if you need this command to    ***
     
138. ***    work.                                                          ***
     
139. ***                                                                   ***
     
140. ***    Type referenced: nt!KPRCB                                      ***
     
141. ***                                                                   ***
     
142. *************************************************************************
     
143. *************************************************************************
     
144. ***                                                                   ***
     
145. ***                                                                   ***
     
146. ***    Your debugger is not using the correct symbols                 ***
     
147. ***                                                                   ***
     
148. ***    In order for this command to work properly, your symbol path   ***
     
149. ***    must point to .pdb files that have full type information.      ***
     
150. ***                                                                   ***
     
151. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
152. ***    contain the required information.  Contact the group that      ***
     
153. ***    provided you with these symbols if you need this command to    ***
     
154. ***    work.                                                          ***
     
155. ***                                                                   ***
     
156. ***    Type referenced: nt!_KPRCB                                     ***
     
157. ***                                                                   ***
     
158. *************************************************************************
     
159. *************************************************************************
     
160. ***                                                                   ***
     
161. ***                                                                   ***
     
162. ***    Your debugger is not using the correct symbols                 ***
     
163. ***                                                                   ***
     
164. ***    In order for this command to work properly, your symbol path   ***
     
165. ***    must point to .pdb files that have full type information.      ***
     
166. ***                                                                   ***
     
167. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
168. ***    contain the required information.  Contact the group that      ***
     
169. ***    provided you with these symbols if you need this command to    ***
     
170. ***    work.                                                          ***
     
171. ***                                                                   ***
     
172. ***    Type referenced: nt!_KPRCB                                     ***
     
173. ***                                                                   ***
     
174. *************************************************************************
     
175. *************************************************************************
     
176. ***                                                                   ***
     
177. ***                                                                   ***
     
178. ***    Your debugger is not using the correct symbols                 ***
     
179. ***                                                                   ***
     
180. ***    In order for this command to work properly, your symbol path   ***
     
181. ***    must point to .pdb files that have full type information.      ***
     
182. ***                                                                   ***
     
183. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
184. ***    contain the required information.  Contact the group that      ***
     
185. ***    provided you with these symbols if you need this command to    ***
     
186. ***    work.                                                          ***
     
187. ***                                                                   ***
     
188. ***    Type referenced: nt!_KPRCB                                     ***
     
189. ***                                                                   ***
     
190. *************************************************************************
     
191. *************************************************************************
     
192. ***                                                                   ***
     
193. ***                                                                   ***
     
194. ***    Your debugger is not using the correct symbols                 ***
     
195. ***                                                                   ***
     
196. ***    In order for this command to work properly, your symbol path   ***
     
197. ***    must point to .pdb files that have full type information.      ***
     
198. ***                                                                   ***
     
199. ***    Certain .pdb files (such as the public OS symbols) do not      ***
     
200. ***    contain the required information.  Contact the group that      ***
     
201. ***    provided you with these symbols if you need this command to    ***
     
202. ***    work.                                                          ***
     
203. ***                                                                   ***
     
204. ***    Type referenced: nt!_KPRCB                                     ***
     
205. ***                                                                   ***
     
206. *************************************************************************
     
207. 
     
208. ADDITIONAL_DEBUG_TEXT:  
     
209. Use '!findthebuild' command to search for the target build information.
     
210. If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.
     
211. 
     
212. FAULTING_MODULE: 84c1c000 nt
     
213. 
     
214. DEBUG_FLR_IMAGE_TIMESTAMP:  526e6145
     
215. 
     
216. EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx
     
217. 
     
218. FAULTING_IP:
     
219. nt!ExAllocatePoolWithTag+3
     
220. 84d3c008 8bec            mov     ebp,esp
     
221. 
     
222. TRAP_FRAME:  926ab838 -- (.trap 0xffffffff926ab838)
     
223. ErrCode = 00000000
     
224. eax=00000078 ebx=8bc5d9e8 ecx=84e51154 edx=8bc52580 esi=8bc5db78 edi=926abb6c
     
225. eip=84d3c008 esp=926ab8ac ebp=926ab990 iopl=0         nv up ei ng nz na po cy
     
226. cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010283
     
227. nt!ExAllocatePoolWithTag+0x3:
     
228. 84d3c008 8bec            mov     ebp,esp
     
229. Resetting default scope
     
230. 
     
231. DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT
     
232. 
     
233. BUGCHECK_STR:  0x8E
     
234. 
     
235. CURRENT_IRQL:  0
     
236. 
     
237. LAST_CONTROL_TRANSFER:  from 84cd03ce to 84cfabfc
     
238. 
     
239. STACK_TEXT:  
     
240. WARNING: Stack unwind information not available. Following frames may be wrong.
     
241. 926ab3a4 84cd03ce 0000008e c0000005 84d3c008 nt!KeBugCheckEx+0x1e
     
242. 926ab7c8 84c5a4a6 926ab7e4 00000000 926ab838 nt!RtlAppendUnicodeToString+0x45d
     
243. 926ab858 84e5ee48 84e51009 00000000 00000000 nt!Kei386EoiHelper+0x1de
     
244. 926ab990 84e41d1e 8a357e20 c5736938 8bb87008 nt!TmCurrentTransaction+0x6f
     
245. 926aba0c 84e52147 00000000 926aba60 00000040 nt!ObCreateObject+0x90b
     
246. 926aba68 84e74e6e 08ffcbc4 87736938 00000001 nt!ObOpenObjectByName+0x165
     
247. 926abc14 92efd9d4 08ffcbc4 08ffcb9c 926abc34 nt!ObGetObjectType+0x306
     
248. 926abc24 84c598c6 08ffcbc4 08ffcb9c 08ffcbf4 QQProtect+0x159d4
     
249. 926abc34 776170f4 badb0d00 08ffcb88 00000000 nt!ZwYieldExecution+0xb86
     
250. 926abc38 badb0d00 08ffcb88 00000000 00000000 0x776170f4
     
251. 926abc3c 08ffcb88 00000000 00000000 00000000 0xbadb0d00
     
252. 926abc40 00000000 00000000 00000000 00000000 0x8ffcb88
     
253. 
     
254. 
     
255. STACK_COMMAND:  kb
     
256. 
     
257. FOLLOWUP_IP:
     
258. QQProtect+159d4
     
259. 92efd9d4 85c0            test    eax,eax
     
260. 
     
261. SYMBOL_STACK_INDEX:  7
     
262. 
     
263. SYMBOL_NAME:  QQProtect+159d4
     
264. 
     
265. FOLLOWUP_NAME:  MachineOwner
     
266. 
     
267. MODULE_NAME: QQProtect
     
268. 
     
269. IMAGE_NAME:  QQProtect.sys
     
270. 
     
271. BUCKET_ID:  WRONG_SYMBOLS
     
272. 
     
273. Followup: MachineOwner
     
274. ---------
     
275. 
     
276. 3: kd> !process
     
277. NT symbols are incorrect, please fix symbols
     
278. 3: kd> lmvm QQProtect
     
279. start    end        module name
     
280. 92ee8000 92f13900   QQProtect   (no symbols)           
     
281.     Loaded symbol image file: QQProtect.sys
     
282.     Image path: \??\C:\Windows\system32\drivers\QQProtect.sys
     
283.     Image name: QQProtect.sys
     
284.     Timestamp:        Mon Oct 28 21:06:13 2013 (526E6145)
     
285.     CheckSum:         000350D5
     
286.     ImageSize:        0002B900
     
287.     Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
     

复制代码

伊川书院

如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQProtect  下面的:Start值改为:3

不清楚有没有效果,因为我以前用一次过2013,发现QQProtect 会回写,也就是说,你改成3之后,,有可能会又修改回去.

修改的目地:延时QQProtect.sys开机加载顺序,竟可能的避开微点可能的超时.

卡朗

伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...

谢谢你的指点。我已经把QQ2013卸载了，直接用JayXon的2013绿色版。如果这样还出现蓝屏的话，我也不知道怎样处理了。

lastpass

伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...

你是怎么看出来这是由于微点蓝屏引起的？

lastpass

伊川书院 发表于 2014-2-20 15:33
如果你一定要用微点的话

偿试,只能说偿试:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QQPro ...

我看到了，你是看了百度网盘的dmp看出来的

伊川书院

海颜贝儿 发表于 2017-1-1 13:28
我看到了，你是看了百度网盘的dmp看出来的

呃，，，，好多年了，哪来记得

从你贴出来的图片来看，大至就是这样吧

两个红色的标记是关键点

awerrr

看到了QQ