none
Ayuda... se presenta pantalla azul (BSOD) y no se interpretar el WinDbg..!!!

    Question

  • Helpppp!!!

     

    Tengo una ThinkPad Lenovo T61 "nueva" que presenta un problema de pantalla azul cada vez que hago expulsar el disco del quemador de DVD...

     

    No he instalado nada....

     

    El equipo esta tal como me fue entregado de fábrica. El servicio técnico no me sabe identificar el problema. Me dijeron que era software y me hicieron reinstalar el sistema operativo 02 veces - la primera con los programas instalados de la parte oculta del HD y la segunda de los discos de intalación que me enviaron - y el problema continua...

     

    He chequeado el quemador cambiandolo con otro del mismo tipo que yo tenia de una maquina anterior ...y sucedio lo mismo....

     

    Verifique la memoria RAM de 1Gb  (MEMtest.exe)... y nada. No encuentra problema

     

    Por ultimo, verifique el disco duro de 120 Gb (DFT disco booteable).... y tampoco encuentra problema.

     

    Buscando encontre el programa WinDbg.exe para interpretar los mensajes *.dmp que se generan y me lanza lo siguiente que no se como interpretar:

     

    Microsoft (R) Windows Debugger Version 6.9.0003.113 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\WINDOWS\Minidump\Mini081308-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available

    Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp.060411-1541
    Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055c700
    Debug session time: Wed Aug 13 09:33:38.625 2008 (GMT-5)
    System Uptime: 0 days 0:48:07.339
    Loading Kernel Symbols
    ............................................................................................................................................................................
    Loading User Symbols
    Loading unloaded module list
    ...........
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 1000007E, {c0000005, 806e594f, f7980c30, f798092c}

    Probably caused by : ntkrpamp.exe ( nt!FsRtlRemovePerStreamContext+1e )

    Followup: MachineOwner
    ---------

    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003.  This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG.  This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG.  This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 806e594f, The address that the exception occurred at
    Arg3: f7980c30, Exception Record Address
    Arg4: f798092c, Context Record Address

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    FAULTING_IP:
    hal!ExAcquireFastMutex+f
    806e594f f0ff09          lock dec dword ptr [ecx]

    EXCEPTION_RECORD:  f7980c30 -- (.exr 0xfffffffff7980c30)
    ExceptionAddress: 806e594f (hal!ExAcquireFastMutex+0x0000000f)
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000001
       Parameter[1]: 000004c0
    Attempt to write to address 000004c0

    CONTEXT:  f798092c -- (.cxr 0xfffffffff798092c)
    eax=0000003d ebx=840f0b5c ecx=000004c0 edx=00000001 esi=e69cb9c8 edi=8410eed0
    eip=806e594f esp=f7980cf8 ebp=f7980d08 iopl=0         nv up ei pl nz na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
    hal!ExAcquireFastMutex+0xf:
    806e594f f0ff09          lock dec dword ptr [ecx]     ds:0023:000004c0=????????
    Resetting default scope

    CUSTOMER_CRASH_COUNT:  1

    PROCESS_NAME:  System

    ERROR_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    WRITE_ADDRESS:  000004c0

    BUGCHECK_STR:  0x7E

    DEFAULT_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE

    LAST_CONTROL_TRANSFER:  from 804ed922 to 806e594f

    STACK_TEXT: 
    f7980cf4 804ed922 8410eed0 840f0b5c 8410eec8 hal!ExAcquireFastMutex+0xf
    f7980d08 f7292ff2 e69cb9c8 840f0900 e69cb9c8 nt!FsRtlRemovePerStreamContext+0x1e
    f7980d34 f729456c 840f0900 8612c748 84112020 fltMgr!FltpDeleteAllStreamListCtrls+0x62
    f7980d50 f72878d1 840f0984 00000008 8612c748 fltMgr!FltpFreeVolume+0xa4
    f7980d68 f728b12c 84112020 00000008 805637bc fltMgr!FltpCleanupDeviceObject+0x61
    f7980d7c 80537a97 8612c748 00000000 861c1b30 fltMgr!FltpFastIoDetachDeviceWorker+0x14
    f7980dac 805ce892 8612c748 00000000 00000000 nt!ExpWorkerThread+0xef
    f7980ddc 8054540e 805379a8 00000001 00000000 nt!PspSystemThreadStartup+0x34
    00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


    FOLLOWUP_IP:
    nt!FsRtlRemovePerStreamContext+1e
    804ed922 8b5510          mov     edx,dword ptr [ebp+10h]

    SYMBOL_STACK_INDEX:  1

    SYMBOL_NAME:  nt!FsRtlRemovePerStreamContext+1e

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    IMAGE_NAME:  ntkrpamp.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  443c4981

    STACK_COMMAND:  .cxr 0xfffffffff798092c ; kb

    FAILURE_BUCKET_ID:  0x7E_nt!FsRtlRemovePerStreamContext+1e

    BUCKET_ID:  0x7E_nt!FsRtlRemovePerStreamContext+1e

    Followup: MachineOwner
    ---------

     

    0: kd> .exr 0xfffffffff7980c30
    ExceptionAddress: 806e594f (hal!ExAcquireFastMutex+0x0000000f)
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000001
       Parameter[1]: 000004c0
    Attempt to write to address 000004c0


    0: kd> .cxr 0xfffffffff798092c
    eax=0000003d ebx=840f0b5c ecx=000004c0 edx=00000001 esi=e69cb9c8 edi=8410eed0
    eip=806e594f esp=f7980cf8 ebp=f7980d08 iopl=0         nv up ei pl nz na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
    hal!ExAcquireFastMutex+0xf:
    806e594f f0ff09          lock dec dword ptr [ecx]     ds:0023:000004c0=????????


    0: kd> lmvm nt
    start    end        module name
    804d7000 806e3000   nt       # (pdb symbols)          c:\websymbols\ntkrpamp.pdb\DC1B268F6995464E8049D76F1C09A1911\ntkrpamp.pdb
        Loaded symbol image file: ntkrpamp.exe
        Mapped memory image file: c:\websymbols\ntkrpamp.exe\443C498120c000\ntkrpamp.exe
        Image path: ntkrpamp.exe
        Image name: ntkrpamp.exe
        Timestamp:        Tue Apr 11 19:27:45 2006 (443C4981)
        CheckSum:         001F56F0
        ImageSize:        0020C000
        File version:     5.1.2600.2885
        Product version:  5.1.2600.2885
        File flags:       0 (Mask 3F)
        File OS:          40004 NT Win32
        File type:        1.0 App
        File date:        00000000.00000000
        Translations:     0407.04b0
        CompanyName:      Microsoft Corporation
        ProductName:      Betriebssystem Microsoft® Windows®
        InternalName:     ntkrpamp.exe
        OriginalFilename: ntkrpamp.exe
        ProductVersion:   5.1.2600.2885
        FileVersion:      5.1.2600.2885 (xpsp.060411-1541)
        FileDescription:  NT-Kernel und -System
        LegalCopyright:   © Microsoft Corporation. Alle Rechte vorbehalten.

     

    Mucho agradecere a quien pueda darme una ayuda en el asunto.....

    Thursday, August 14, 2008 5:58 PM

Answers

  • Enviales un informe a Norton. No te harán ni caso.

    El desistalar un Norton es complicadisimo... necesitarás una herramienta especifica que hay en la web de Norton y además tienes que ser creyente y rezar mucho... :-P

    Desde luego, mi consejo es no usar antivirus, usar las buenas practicas... usuario limitados por supuesto... etc. Pero todo depende de quien tenga acceso a esa maquina.

    Un saludo,
    Friday, August 15, 2008 4:39 PM

All replies

  • Desactiva el antivirus... y prueba.

    Un saludo,
    Thursday, August 14, 2008 6:06 PM
  •  Jose Manuel:

     

    parece que lo que viste tenia q ver con el asunto...

     

    antes de desactivar el antivirus (NIS2007 que también viene preinstalado) prepare información para ser quemada en un DVD. El procedimiento normal.... y cuando termine antes de cerrar el disco hice la prueba de expulsar el disco para ver que sucedia .... y aparecio el pantallazo azul a la vista ( te remito el resultado del analisis efectuado por el Windbg.exe, me parece que es el mismo que envie antes)....

     

    Loading Dump File [C:\WINDOWS\Minidump\Mini081408-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available

    Symbol search path is: SRV*C:\Websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp.080413-2111
    Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720
    Debug session time: Thu Aug 14 16:42:17.781 2008 (GMT-5)
    System Uptime: 0 days 1:29:22.486
    Loading Kernel Symbols
    ............................................................................................................................................................................
    Loading User Symbols
    Loading unloaded module list
    ..............
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 1000007E, {c0000005, 806e794f, f78e8c30, f78e892c}

    Probably caused by : ntkrpamp.exe ( nt!FsRtlRemovePerStreamContext+1e )

    Followup: MachineOwner
    ---------

    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003.  This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG.  This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG.  This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 806e794f, The address that the exception occurred at
    Arg3: f78e8c30, Exception Record Address
    Arg4: f78e892c, Context Record Address

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    FAULTING_IP:
    hal!ExAcquireFastMutex+f
    806e794f f0ff09          lock dec dword ptr [ecx]

    EXCEPTION_RECORD:  f78e8c30 -- (.exr 0xfffffffff78e8c30)
    ExceptionAddress: 806e794f (hal!ExAcquireFastMutex+0x0000000f)
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000001
       Parameter[1]: 000004c0
    Attempt to write to address 000004c0

    CONTEXT:  f78e892c -- (.cxr 0xfffffffff78e892c)
    eax=0000003d ebx=8490e264 ecx=000004c0 edx=00000001 esi=e697deb8 edi=85de2e88
    eip=806e794f esp=f78e8cf8 ebp=f78e8d08 iopl=0         nv up ei pl nz na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
    hal!ExAcquireFastMutex+0xf:
    806e794f f0ff09          lock dec dword ptr [ecx]     ds:0023:000004c0=????????
    Resetting default scope

    CUSTOMER_CRASH_COUNT:  1

    PROCESS_NAME:  System

    ERROR_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    WRITE_ADDRESS:  000004c0

    BUGCHECK_STR:  0x7E

    DEFAULT_BUCKET_ID:  NULL_CLASS_PTR_DEREFERENCE

    LAST_CONTROL_TRANSFER:  from 804ed968 to 806e794f

    STACK_TEXT: 
    f78e8cf4 804ed968 85de2e88 8490e264 85de2e80 hal!ExAcquireFastMutex+0xf
    f78e8d08 f7212b6c e697deb8 8490e008 e697deb8 nt!FsRtlRemovePerStreamContext+0x1e
    f78e8d34 f72140ba 8490e008 856c4240 849460f8 fltmgr!FltpDeleteAllStreamListCtrls+0x62
    f78e8d50 f72068f7 8490e08c 00000008 856c4240 fltmgr!FltpFreeVolume+0xa4
    f78e8d68 f720a64e 849460f8 00000008 8056485c fltmgr!FltpCleanupDeviceObject+0x61
    f78e8d7c 8053876d 856c4240 00000000 869c2b30 fltmgr!FltpFastIoDetachDeviceWorker+0x14
    f78e8dac 805cff64 856c4240 00000000 00000000 nt!ExpWorkerThread+0xef
    f78e8ddc 805460de 8053867e 00000001 00000000 nt!PspSystemThreadStartup+0x34
    00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


    FOLLOWUP_IP:
    nt!FsRtlRemovePerStreamContext+1e
    804ed968 8b5510          mov     edx,dword ptr [ebp+10h]

    SYMBOL_STACK_INDEX:  1

    SYMBOL_NAME:  nt!FsRtlRemovePerStreamContext+1e

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    IMAGE_NAME:  ntkrpamp.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  4802516a

    STACK_COMMAND:  .cxr 0xfffffffff78e892c ; kb

    FAILURE_BUCKET_ID:  0x7E_nt!FsRtlRemovePerStreamContext+1e

    BUCKET_ID:  0x7E_nt!FsRtlRemovePerStreamContext+1e

    Followup: MachineOwner
    ---------

    0: kd> .exr 0xfffffffff78e8c30
    ExceptionAddress: 806e794f (hal!ExAcquireFastMutex+0x0000000f)
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000001
       Parameter[1]: 000004c0
    Attempt to write to address 000004c0


    0: kd> .cxr 0xfffffffff78e892c
    eax=0000003d ebx=8490e264 ecx=000004c0 edx=00000001 esi=e697deb8 edi=85de2e88
    eip=806e794f esp=f78e8cf8 ebp=f78e8d08 iopl=0         nv up ei pl nz na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
    hal!ExAcquireFastMutex+0xf:
    806e794f f0ff09          lock dec dword ptr [ecx]     ds:0023:000004c0=????????


    0: kd> lmvm nt
    start    end        module name
    804d7000 806e5000   nt       # (pdb symbols)          C:\Websymbols\ntkrpamp.pdb\7D6290E03E32455BB0E035E38816124F1\ntkrpamp.pdb
        Loaded symbol image file: ntkrpamp.exe
        Mapped memory image file: C:\Websymbols\ntkrpamp.exe\4802516A20e000\ntkrpamp.exe
        Image path: ntkrpamp.exe
        Image name: ntkrpamp.exe
        Timestamp:        Sun Apr 13 13:31:06 2008 (4802516A)
        CheckSum:         001F47D1
        ImageSize:        0020E000
        File version:     5.1.2600.5512
        Product version:  5.1.2600.5512
        File flags:       0 (Mask 3F)
        File OS:          40004 NT Win32
        File type:        1.0 App
        File date:        00000000.00000000
        Translations:     0816.04b0
        CompanyName:      Microsoft Corporation
        ProductName:      Sistema operativo Microsoft® Windows®
        InternalName:     ntkrpamp.exe
        OriginalFilename: ntkrpamp.exe
        ProductVersion:   5.1.2600.5512
        FileVersion:      5.1.2600.5512 (xpsp.080413-2111)
        FileDescription:  Sistema & kernel NT Kernel
        LegalCopyright:   © Microsoft Corporation. Todos os direitos reservados.

     

     

    Acto seguido segui tu indicación y desactive el antivirus... todas las opciones...

     

    luego hice lo mismo... copie los archivos a otro disco DVD en blanco y antes de cerrar el disco hice expulsar.... y no paso nada.... no salio la pantalla..... le di varias expulsiones y no paso nada....

     

    Luego procedi a cerrar el disco y por primera vez cerro normal como debia ser... sin mar azul a la vista!!

     

    1. ¿ Me puedes dar una idea de lo que sucede????

     

    2. ya he tenido otra maquina ThinkPad q venia con el NIS preinstalado y nunca me habia pasado esto?

     

    3. ¿que tengo q hacer? ¿ conseguir otro antivirus o es algun defecto de la versión del NIS que tengo?

     

    Mucho te agradecere cualquier ayuda que me puedas dar al respecto...

     

    saludos

     

     

    Friday, August 15, 2008 12:27 AM
  •  dedalluss Escribió:

    Luego procedi a cerrar el disco y por primera vez cerro normal como debia ser... sin mar azul a la vista!!


    Los antivirus, son todos una castaña... pero el peor es Norton. EL problema estaba facil: un semaforo Mutex.. y estoo los suelen establece mal los anrtivirus aparte que no deberina establecerse semaforos en un sistema ya que esto es del tiempo de windows 3.1 ... los antivirus siguen sin evolucionar.

    Y ademas, no valen para nada su efectividad es el 75% y bajando (frente a un 99,9% de hace dos años). Solo hay una solucion: buenas practica.. sentido comun...

    Un saludo,
    Friday, August 15, 2008 7:49 AM
  • Jose Manuel:

     

    Gracias por la identificación del problema.... comparto tu idea de las buenas practicas y sentido común en estos tiempos....

     

    ....pero la pregunta de "cajón" es: que hago con el asunto???

     

    Busco otro antivirus?

     

    o sabes de alguna manera de configurar el antivirus para que no de estos desagradables resultados??? 

     

    espero tus comentarios, graciasss

     

    slds

    Friday, August 15, 2008 2:22 PM
  • Enviales un informe a Norton. No te harán ni caso.

    El desistalar un Norton es complicadisimo... necesitarás una herramienta especifica que hay en la web de Norton y además tienes que ser creyente y rezar mucho... :-P

    Desde luego, mi consejo es no usar antivirus, usar las buenas practicas... usuario limitados por supuesto... etc. Pero todo depende de quien tenga acceso a esa maquina.

    Un saludo,
    Friday, August 15, 2008 4:39 PM