странно рухнул NDIS

Код (Text):

1. 2: kd> !analyze -v
2. *******************************************************************************
3. *                                                                             *
4. *                        Bugcheck Analysis                                    *
5. *                                                                             *
6. *******************************************************************************
7.  
8. DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
9. An attempt was made to access a pageable (or completely invalid) address at an
10. interrupt request level (IRQL) that is too high.  This is usually
11. caused by drivers using improper addresses.
12. If kernel debugger is available get stack backtrace.
13. Arguments:
14. Arg1: 0000000000000010, memory referenced
15. Arg2: 0000000000000002, IRQL
16. Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
17. Arg4: fffffa6000c4ec5e, address which referenced memory
18.  
19. Debugging Details:
20. ------------------
21.  
22. ***** Kernel symbols are WRONG. Please fix symbols to do analysis.
23.  
24. *************************************************************************
25. ***                                                                   ***
26. ***                                                                   ***
27. ***    Your debugger is not using the correct symbols                 ***
28. ***                                                                   ***
29. ***    In order for this command to work properly, your symbol path   ***
30. ***    must point to .pdb files that have full type information.      ***
31. ***                                                                   ***
32. ***    Certain .pdb files (such as the public OS symbols) do not      ***
33. ***    contain the required information.  Contact the group that      ***
34. ***    provided you with these symbols if you need this command to    ***
35. ***    work.                                                          ***
36. ***                                                                   ***
37. ***    Type referenced: nt!_KPRCB                                     ***
38. ***                                                                   ***
39. *************************************************************************
40. *************************************************************************
41. ***                                                                   ***
42. ***                                                                   ***
43. ***    Your debugger is not using the correct symbols                 ***
44. ***                                                                   ***
45. ***    In order for this command to work properly, your symbol path   ***
46. ***    must point to .pdb files that have full type information.      ***
47. ***                                                                   ***
48. ***    Certain .pdb files (such as the public OS symbols) do not      ***
49. ***    contain the required information.  Contact the group that      ***
50. ***    provided you with these symbols if you need this command to    ***
51. ***    work.                                                          ***
52. ***                                                                   ***
53. ***    Type referenced: nt!_KPRCB                                     ***
54. ***                                                                   ***
55. *************************************************************************
56. *************************************************************************
57. ***                                                                   ***
58. ***                                                                   ***
59. ***    Your debugger is not using the correct symbols                 ***
60. ***                                                                   ***
61. ***    In order for this command to work properly, your symbol path   ***
62. ***    must point to .pdb files that have full type information.      ***
63. ***                                                                   ***
64. ***    Certain .pdb files (such as the public OS symbols) do not      ***
65. ***    contain the required information.  Contact the group that      ***
66. ***    provided you with these symbols if you need this command to    ***
67. ***    work.                                                          ***
68. ***                                                                   ***
69. ***    Type referenced: nt!_KPRCB                                     ***
70. ***                                                                   ***
71. *************************************************************************
72. *********************************************************************
73. * Symbols can not be loaded because symbol path is not initialized. *
74. *                                                                   *
75. * The Symbol Path can be set by:                                    *
76. *   using the _NT_SYMBOL_PATH environment variable.                 *
77. *   using the -y <symbol_path> argument when starting the debugger. *
78. *   using .sympath and .sympath+                                    *
79. *********************************************************************
80. *********************************************************************
81. * Symbols can not be loaded because symbol path is not initialized. *
82. *                                                                   *
83. * The Symbol Path can be set by:                                    *
84. *   using the _NT_SYMBOL_PATH environment variable.                 *
85. *   using the -y <symbol_path> argument when starting the debugger. *
86. *   using .sympath and .sympath+                                    *
87. *********************************************************************
88.  
89. MODULE_NAME: pacer
90.  
91. FAULTING_MODULE: fffff80001c47000 nt
92.  
93. DEBUG_FLR_IMAGE_TIMESTAMP:  47919a83
94.  
95. WRITE_ADDRESS: unable to get nt!MmSpecialPoolStart
96. unable to get nt!MmSpecialPoolEnd
97. unable to get nt!MmPoolCodeStart
98. unable to get nt!MmPoolCodeEnd
99.  0000000000000010
100.  
101. CURRENT_IRQL:  0
102.  
103. FAULTING_IP:
104. ndis!NdisMRegisterMiniportDriver+130e
105. fffffa60`00c4ec5e 48c7411036434f4d mov     qword ptr [rcx+10h],4D4F4336h
106.  
107. DEFAULT_BUCKET_ID:  WRONG_SYMBOLS
108.  
109. BUGCHECK_STR:  0xD1
110.  
111. LAST_CONTROL_TRANSFER:  from fffff80001c9c12e to fffff80001c9c390
112.  
113. STACK_TEXT:  
114. fffffa60`01991938 fffff800`01c9c12e : 00000000`0000000a 00000000`00000010 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx
115. fffffa60`01991940 fffff800`01c9b00b : 00000000`00000001 fffffa60`00dd1450 fffffa80`04ef9700 fffffa80`08cffc50 : nt!ZwUnloadKeyEx+0x23ce
116. fffffa60`01991a80 fffffa60`00c4ec5e : fffffa80`065cb1a0 00000000`00000001 fffffa80`0c499260 fffffa60`00c64110 : nt!ZwUnloadKeyEx+0x12ab
117. fffffa60`01991c10 fffffa60`00db50fd : fffffa80`068b02b0 fffffa80`0921a520 00000000`00000000 00000000`00000000 : ndis!NdisMRegisterMiniportDriver+0x130e
118. fffffa60`01991c40 fffffa60`00db00b2 : fffffa80`00000000 fffffa80`07450950 fffffa80`065cb1a0 fffffa80`04cae1b0 : ndis!NdisGetDriverHandle+0x198d
119. fffffa60`01991c90 fffffa60`079be730 : fffffa80`065cb1a0 00000000`00000000 fffffa80`06cb71e0 fffff800`01c2a738 : ndis!NdisIMNotifyPnPEvent+0x4f2
120. fffffa60`01991d00 fffffa60`083e8433 : fffffa80`08cffc50 fffffa80`06d33490 00000000`00000000 00000000`00000001 : pacer+0x6730
121. fffffa60`01991d70 fffffa60`00db01ac : fffffa80`065cb1a0 fffffa60`00c64110 00000000`00000001 fffffa80`08cffc50 : klim6+0x2433
122. fffffa60`01991dc0 fffffa60`0770466d : fffffa80`065cb1a0 fffffa80`08cffc50 fffffa80`0686b1a0 fffffa80`06870000 : ndis!NdisMSendNetBufferListsComplete+0x7c
123. fffffa60`01991e00 fffffa60`076fff5d : 00000000`00000000 fffffa80`08cffc50 00000102`30ee8000 fffffa80`00000000 : Rtlh64+0x766d
124. fffffa60`01991e70 fffffa60`00c0d7dd : 00000000`00000f44 fffffa60`01991f70 00000000`0000040e fffff800`01c0f5a0 : Rtlh64+0x2f5d
125. fffffa60`01991ec0 fffff800`01ca59d7 : fffffa80`06870028 fffffa60`01bcda80 fffffa60`01966580 fffffa60`0c8a0ca0 : ndis!NdisAdjustNetBufferCurrentMdl+0x17d
126. fffffa60`01991f40 fffff800`01c9f865 : fffffa60`00c0d720 fffffa60`01963180 fffffa60`01bcda80 fffffa80`049c4b40 : nt!KeSetTimer+0x367
127. fffffa60`01991fb0 fffff800`01c9f677 : fffffa80`00000000 fffffa80`049c4b40 00000000`00000001 00000000`00000002 : nt!ExpInterlockedFlushSList+0x1525
128. fffffa60`01bcd9c0 fffff800`01ce2d73 : 00000000`00000000 fffff800`01c9d0e9 00000000`00000001 fffffa60`01bcda60 : nt!ExpInterlockedFlushSList+0x1337
129. fffffa60`01bcd9f0 fffff800`01c9d0e9 : 00000000`00000001 fffffa60`01bcda60 00000000`00000001 fffffa80`07808800 : nt!RtlGetDaclSecurityDescriptor+0x2af
130. fffffa60`01bcda00 fffffa60`06ae53b6 : fffffa60`06a9eacc 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KeSynchronizeExecution+0x239
131. fffffa60`01bcdb98 fffffa60`06a9eacc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nvlddmkm+0x2d63b6
132. fffffa60`01bcdba0 fffffa60`069a0e81 : fffff800`00000000 00000000`00000000 00000000`00000000 fffffa80`00000000 : nvlddmkm+0x28facc
133. fffffa60`01bcdc20 fffff800`01f052e5 : 00000000`00000001 fffffa80`04b9af50 fffffa80`04b9af50 fffffa80`039ce040 : nvlddmkm+0x191e81
134. fffffa60`01bcdcc0 fffff800`01ca9066 : fffff800`01f052a8 fffff800`01dd9801 fffffa80`039ce000 00000000`00000000 : nt!RtlUnicodeStringToCountedOemString+0x98d
135. fffffa60`01bcdcf0 fffff800`01ebfde3 : fffffa80`08afeaf0 00000000`00000000 fffffa80`039ce040 00000000`00000080 : nt!KeReadStateQueue+0x126
136. fffffa60`01bcdd50 fffff800`01cd6536 : fffffa60`01963180 fffffa80`039ce040 fffffa60`0196cd40 00000000`00000001 : nt!ProbeForRead+0xbd3
137. fffffa60`01bcdd80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!_misaligned_access+0x4e6
138.  
139.  
140. STACK_COMMAND:  kb
141.  
142. FOLLOWUP_IP:
143. pacer+6730
144. fffffa60`079be730 4c8d5c2450      lea     r11,[rsp+50h]
145.  
146. SYMBOL_STACK_INDEX:  6
147.  
148. SYMBOL_NAME:  pacer+6730
149.  
150. FOLLOWUP_NAME:  MachineOwner
151.  
152. IMAGE_NAME:  pacer.sys
153.  
154. BUCKET_ID:  WRONG_SYMBOLS
155.  
156. Followup: MachineOwner
157. ---------
158.  
159. 2: kd> lmvm pacer
160. start             end                 module name
161. fffffa60`079b8000 fffffa60`079d6000   pacer      (no symbols)          
162.     Loaded symbol image file: pacer.sys
163.     Image path: \SystemRoot\system32\DRIVERS\pacer.sys
164.     Image name: pacer.sys
165.     Timestamp:        Sat Jan 19 10:36:51 2008 (47919A83)
166.     CheckSum:         0001C11C
167.     ImageSize:        0001E000
168.     Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

что странно, то что Image path: \SystemRoot\system32\DRIVERS\pacer.sys реально на диске нет!!!

 

чем можно почекать хуки в x64 ?

 

AVZ попробуй

 

NDIS с DRIVER_IRQL_NOT_LESS_OR_EQUAL вообще падать не должно, тем более что твой pacer.sys сильно смахивает на драйвер руткита

 

Это QoS Packet Scheduler в vista и 7.

 

Ага, насчет руткита поспешил...

падает с DRIVER_IRQL_NOT_LESS_OR_EQUAL!
Но, сколько в ядре копаюсь, уяснил одну вещь - DRIVER_IRQL_NOT_LESS_OR_EQUAL в 99.99% процентов случаев говорит о кривых руках кодеров, поэтому и сделал такое предположение

 

newbie

Проверка завершена
Просканировано файлов: 640, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 09.05.2010 12:25:07
Сканирование длилось 00:00:20
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
lhc645

почему его не видно на диске?
JhanGhuangxi
есть конкретные предложения?
поиском на диске нашёл

у них в хидере Планировщик пакетов QoS
вирустотал на них молчит..
сейчас посмотрю в альтернативной ОС
мож это говно кочует из дрова в дров?

с праздником всех!

 

JhanGhuangxi
полная хопа!
в альтернативной ос его показывает и не только его!
вирус тотал молчит
начал копаться в основной ос и через эксплорер в этой папке видно туча дров!
а через TotalComander 6.55 только порядка десятка
у кого есть возможность( TotalComander 6.55 и Vista64sp1) посмотрите пожалуйста у себя папку \SystemRoot\system32\DRIVERS\
какой-то странный зюк
JhanGhuangxi
если есть академический интерес, у меня дамп 2-ого типа, могу залить

 

wsd
залей, посмотрим

 

pacer.sys 102 KB (104 448 bytes)

 

JhanGhuangxi
оригинал 737мб, 7z его в 87 запендюрил
http://ifolder.ru/17666014
newbie
92k

 

это я из вин7 х86 если чо запостил

 

у меня виста64сп1 с апдейтами

 

wsd
Спасибо, скачаю, поковыряюсь обязательно

 

wsd
В последнее время на свою упавшую машину никаких сетевых драйверов (прог) не ставил? Типа whireshark?

 

У тебя символы неправильные

Без правильных символов windbg иногда полную чушь может выдавать.
Пропиши вот это в пути для символов:
SRV*c:\symserver*http://msdl.microsoft.com/download/symbols

 

wsd
А можно сабжевое филе ? (от англ. file)

 

Код (Text):

1. STACK_TEXT:  
2. fffffa60`01991938 fffff800`01c9c12e : 00000000`0000000a 00000000`00000010 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx
3. fffffa60`01991940 fffff800`01c9b00b : 00000000`00000001 fffffa60`00dd1450 fffffa80`04ef9700 fffffa80`08cffc50 : nt!KiBugCheckDispatch+0x6e
4. fffffa60`01991a80 fffffa60`00c4ec5e : fffffa80`065cb1a0 00000000`00000001 fffffa80`0c499260 fffffa60`00c64110 : nt!KiPageFault+0x20b
5. fffffa60`01991c10 fffffa60`00db50fd : fffffa80`068b02b0 fffffa80`0921a520 00000000`00000000 00000000`00000000 : ndis!ndisXlateSendCompleteNetBufferListToPacket+0x3e
6. fffffa60`01991c40 fffffa60`00db00b2 : fffffa80`00000000 fffffa80`07450950 fffffa80`065cb1a0 fffffa80`04cae1b0 : ndis!ndisMSendNetBufferListsCompleteToNdisPackets+0x6d
7. fffffa60`01991c90 fffffa60`079be730 : fffffa80`065cb1a0 00000000`00000000 fffffa80`06cb71e0 fffff800`01c2a738 : ndis!ndisMSendCompleteNetBufferListsInternal+0xa2
8. fffffa60`01991d00 fffffa60`083e8433 : fffffa80`08cffc50 fffffa80`06d33490 00000000`00000000 00000000`00000001 : pacer!PcFilterSendNetBufferListsComplete+0xf4
9.  
10. fffffa60`01991d70 fffffa60`00db01ac : fffffa80`065cb1a0 fffffa60`00c64110 00000000`00000001 fffffa80`08cffc50 : klim6+0x2433
11.  
12. fffffa60`01991dc0 fffffa60`0770466d : fffffa80`065cb1a0 fffffa80`08cffc50 fffffa80`0686b1a0 fffffa80`06870000 : ndis!NdisMSendNetBufferListsComplete+0x7c
13. fffffa60`01991e00 fffffa60`076fff5d : 00000000`00000000 fffffa80`08cffc50 00000102`30ee8000 fffffa80`00000000 : Rtlh64!MpHandleSendInterrupt+0x261
14. fffffa60`01991e70 fffffa60`00c0d7dd : 00000000`00000f44 fffffa60`01991f70 00000000`0000040e fffff800`01c0f5a0 : Rtlh64!MPHandleInterrupt+0x2b1
15. fffffa60`01991ec0 fffff800`01ca59d7 : fffffa80`06870028 fffffa60`01bcda80 fffffa60`01966580 fffffa60`0c8a0ca0 : ndis!ndisInterruptDpc+0xbd
16. fffffa60`01991f40 fffff800`01c9f865 : fffffa60`00c0d720 fffffa60`01963180 fffffa60`01bcda80 fffffa80`049c4b40 : nt!KiRetireDpcList+0x117
17. fffffa60`01991fb0 fffff800`01c9f677 : fffffa80`00000000 fffffa80`049c4b40 00000000`00000001 00000000`00000002 : nt!KxRetireDpcList+0x5
18. fffffa60`01bcd9c0 fffff800`01ce2d73 : 00000000`00000000 fffff800`01c9d0e9 00000000`00000001 fffffa60`01bcda60 : nt!KiDispatchInterruptContinue
19. fffffa60`01bcd9f0 fffff800`01c9d0e9 : 00000000`00000001 fffffa60`01bcda60 00000000`00000001 fffffa80`07808800 : nt!KiDpcInterruptBypass+0x13
20. fffffa60`01bcda00 fffffa60`06ae53b6 : fffffa60`06a9eacc 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiChainedDispatch+0x179
21. fffffa60`01bcdb98 fffffa60`06a9eacc : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nvlddmkm+0x2d63b6
22. fffffa60`01bcdba0 fffffa60`069a0e81 : fffff800`00000000 00000000`00000000 00000000`00000000 fffffa80`00000000 : nvlddmkm+0x28facc
23. fffffa60`01bcdc20 fffff800`01f052e5 : 00000000`00000001 fffffa80`04b9af50 fffffa80`04b9af50 fffffa80`039ce040 : nvlddmkm+0x191e81
24. fffffa60`01bcdcc0 fffff800`01ca9066 : fffff800`01f052a8 fffff800`01dd9801 fffffa80`039ce000 00000000`00000000 : nt!IopProcessWorkItem+0x3d
25. fffffa60`01bcdcf0 fffff800`01ebfde3 : fffffa80`08afeaf0 00000000`00000000 fffffa80`039ce040 00000000`00000080 : nt!ExpWorkerThread+0x11a
26. fffffa60`01bcdd50 fffff800`01cd6536 : fffffa60`01963180 fffffa80`039ce040 fffffa60`0196cd40 00000000`00000001 : nt!PspSystemThreadStartup+0x57
27. fffffa60`01bcdd80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
28.  
29.  
30. STACK_COMMAND:  kb
31.  
32. FOLLOWUP_IP:
33. pacer!PcFilterSendNetBufferListsComplete+f4
34. fffffa60`079be730 4c8d5c2450      lea     r11,[rsp+50h]
35.  
36. SYMBOL_STACK_INDEX:  6
37.  
38. SYMBOL_NAME:  pacer!PcFilterSendNetBufferListsComplete+f4
39.  
40. FOLLOWUP_NAME:  MachineOwner
41.  
42. MODULE_NAME: pacer
43.  
44. IMAGE_NAME:  pacer.sys
45.  
46. DEBUG_FLR_IMAGE_TIMESTAMP:  47919a83
47.  
48. FAILURE_BUCKET_ID:  X64_0xD1_pacer!PcFilterSendNetBufferListsComplete+f4
49.  
50. BUCKET_ID:  X64_0xD1_pacer!PcFilterSendNetBufferListsComplete+f4
51.  
52. Followup: MachineOwner
53. ---------

Мб это вина установленного антивируса (klim6.sys)?

 

JhanGhuangxi

год назад
100gold

как это не праильные у меня их вообще нет
EvilsInterrupt

в смыле дров NDIS?
lhc645

это типа кис виноват?

 

это предположение сделано исходя из того, что в стеке.С таким же успехом вызвать креш мог драйвер видео (nvlddmkm).
Вы сами-то инициативу проявляйте, если падает систематически, то можно вывести закономерность во время какого действия (запуск софта например) это происходит. Когда возникла проблема (мб после обновления драйвера того же видео) и сделайте откат изменений, если это возможно. Поочередно удаляйте тот софт, который может провоцировать бсод, это позволит в конечном счете локализовать проблему.