Re: stop 0xC2 - uszkodzony rejestr na amen? - update

Autor: jerzy szczudlowski <jerzy_at_jedwab.net.pI>
Data: Thu 21 Aug 2008 - 11:47:07 MET DST
Message-ID: <slrngaqecs.2mo.jerzy@solveig.jedwab>
Content-Type: text/plain; charset=ISO-8859-2

  jerzy szczudlowski wrote:
> f1j@k_? wrote:
>> http://msdn.microsoft.com/en-us/library/ms796120.aspx
>
> Jak napisałem wcześniej, sterownik to "ntoskrnl.exe", czyli ciężko go nie
> ładować.
>
>
>> Probie reinstalacji czy probie naprawiania?
>
> W zasadzie bez znaczenia, gdyż zamiast wyboru dostaję niebieski ekran
> (czyli po wciśnięciu F8, na ekranie z EULA). Jak rozumiem, instalator
> próbuje wtedy zajrzeć do starego rejestru i kernel umiera.

Próbowałem wczytać różne pliki rejestru i tylko przy "SOFTWARE" pojawia
się stop. Dodatkowo, udało mi się na jeszcze innym komputerze zrzucić
całą pamięć jądra (wcześniej, z laptopa miałem tylko minidump) i tutaj
debugger pokazuje błąd w "ntkrnlpa.exe":

#v+
FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45e53f9c

FAULTING_IP:
nt!LsaDeregisterLogonProcess+231a9
80630d63 5d pop ebp

BUGCHECK_STR: 0xc2_43

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

LAST_CONTROL_TRANSFER: from 80542bed to 804f8aef

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
b9ce39e0 80542bed 000000c2 00000043 c9009000 nt!KeBugCheckEx+0x1b
b9ce3a20 80543d9d c9009000 e2902890 e2608000 nt!ExRaiseStatus+0xccd
b9ce3a60 80630d63 c9009000 00000000 b9ce3acc nt!ExFreePoolWithTag+0x1b7
b9ce3a70 80633928 c9009000 00001000 40000009 nt!LsaDeregisterLogonProcess+0x231a9
b9ce3acc 80633d0f e25f6948 00000000 00000000 nt!LsaDeregisterLogonProcess+0x25d6e
b9ce3b18 80625a06 e25f6948 00000000 00000001 nt!LsaDeregisterLogonProcess+0x26155
b9ce3b30 8062d1f9 e25f6a01 00000005 00000000 nt!LsaDeregisterLogonProcess+0x17e4c
b9ce3b9c 8061ae01 b9ce3bd8 00000005 00000000 nt!LsaDeregisterLogonProcess+0x1f63f
b9ce3bf4 8061ff1b b9ce3d00 00000000 b9ce3c60 nt!LsaDeregisterLogonProcess+0xd247
b9ce3c1c 806270a8 b9ce3cc8 b9ce3c68 b9ce3c58 nt!LsaDeregisterLogonProcess+0x12361
b9ce3ca8 8061aa25 b9ce3ce0 b9ce3cc8 00000000 nt!LsaDeregisterLogonProcess+0x194ee
b9ce3d40 8061abc8 0007fb14 0007fafc 00000000 nt!LsaDeregisterLogonProcess+0xce6b
b9ce3d54 8053ca28 0007fb14 0007fafc 0007fb40 nt!LsaDeregisterLogonProcess+0xd00e
b9ce3d64 7c90eb94 badb0d00 0007fae8 00000000 nt!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb14
b9ce3d68 badb0d00 0007fae8 00000000 00000000 0x7c90eb94
b9ce3d6c 0007fae8 00000000 00000000 00000000 0xbadb0d00
b9ce3d70 00000000 00000000 00000000 00000000 0x7fae8

STACK_COMMAND: kb

FOLLOWUP_IP:
nt!LsaDeregisterLogonProcess+231a9
80630d63 5d pop ebp

SYMBOL_STACK_INDEX: 3

SYMBOL_NAME: nt!LsaDeregisterLogonProcess+231a9

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: ntkrnlpa.exe

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

kd> lmvm nt
start end module name
804d7000 806cda80 nt (export symbols) ntkrnlpa.exe
    Loaded symbol image file: ntkrnlpa.exe
    Image path: ntkrnlpa.exe
    Image name: ntkrnlpa.exe
    Timestamp: Wed Feb 28 09:38:52 2007 (45E53F9C)
    CheckSum: 001FBC98
    ImageSize: 001F6A80
    File version: 5.1.2600.3093
    Product version: 5.1.2600.3093
    File flags: 0 (Mask 3F)
    File OS: 40004 NT Win32
    File type: 1.0 App
    File date: 00000000.00000000
    Translations: 0415.04b0
    CompanyName: Microsoft Corporation
    ProductName: System operacyjny Microsoft. Windows.
    InternalName: ntkrnlpa.exe
    OriginalFilename: ntkrnlpa.exe
    ProductVersion: 5.1.2600.3093
    FileVersion: 5.1.2600.3093 (xpsp_sp2_gdr.070227-2254)
    FileDescription: Jądro i system NT
    LegalCopyright: . Microsoft Corporation. Wszelkie prawa zastrzeżone.
#v-
Received on Thu Aug 21 11:50:03 2008

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 21 Aug 2008 - 12:42:01 MET DST