locked
BSOD causado probablemente por ntkrpamp.exe RRS feed

  • Pregunta

  • Hola

    Tengo un Windows XP Home Edition SP3 de un amigo que, cuando inicio la sesión con cualquier usuario (sea o no administrador), se cuelga mostrando un pantallazo azul con el mensaje: STOP 0x0000008E

    He analizado el dump del núcleo (MEMORY.DMP) y parece que el problema está relacionado con ntkrpamp.exe, pero no encuentro la causa del mismo ni la solución.

    No se ha cambiado nada de hardware ni de drivers.

    ¿Podéis ayudarme?

    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [Z:\MEMORY.DMP]
    Kernel Complete Dump File: Full address space is available

    Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS Personal
    Built by: 2600.xpsp_sp3_gdr.111025-1629
    Machine Name:
    Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720
    Debug session time: Wed Jan 11 15:09:40.625 2012 (UTC + 1:00)
    System Uptime: 0 days 0:02:06.296
    Loading Kernel Symbols
    ...............................................................
    ......................................................
    Loading User Symbols
    ......................
    Loading unloaded module list
    ................
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 8E, {c0000005, 80637f4d, ba55b96c, 0}

    Probably caused by : ntkrpamp.exe ( nt!HvpGetCellMapped+5f )

    Followup: MachineOwner
    ---------

    1: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003.  This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG.  This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG.  This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 80637f4d, The address that the exception occurred at
    Arg3: ba55b96c, Trap Frame
    Arg4: 00000000

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

    FAULTING_IP:
    nt!HvpGetCellMapped+5f
    80637f4d 8b4304          mov     eax,dword ptr [ebx+4]

    TRAP_FRAME:  ba55b96c -- (.trap 0xffffffffba55b96c)
    ErrCode = 00000000
    eax=00001800 ebx=00001800 ecx=8a628438 edx=0000000f esi=e1035758 edi=00000000
    eip=80637f4d esp=ba55b9e0 ebp=ba55ba28 iopl=0         nv up ei pl zr na pe nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
    nt!HvpGetCellMapped+0x5f:
    80637f4d 8b4304          mov     eax,dword ptr [ebx+4] ds:0023:00001804=????????
    Resetting default scope

    DEFAULT_BUCKET_ID:  DRIVER_FAULT

    BUGCHECK_STR:  0x8E

    PROCESS_NAME:  services.exe

    LAST_CONTROL_TRANSFER:  from 804fe827 to 804f9f43

    STACK_TEXT: 
    ba55b534 804fe827 0000008e c0000005 80637f4d nt!KeBugCheckEx+0x1b
    ba55b8fc 805420e5 ba55b918 00000000 ba55b96c nt!KiDispatchException+0x3b1
    ba55b964 80542096 ba55ba28 80637f4d badb0d00 nt!CommonDispatchException+0x4d
    ba55b96c 80637f4d badb0d00 0000000f ffffffff nt!KiExceptionExit+0x18a
    ba55ba28 80637e5e e1035758 01f80000 e1035758 nt!HvpGetCellMapped+0x5f
    ba55ba3c 8063c2f8 e1035758 01f80000 e117bb0c nt!HvpGetHCell+0x10
    ba55ba58 80630644 e1035758 01f80000 e1035758 nt!HvMarkCellDirty+0x30
    ba55ba74 806397b0 e1040032 e134343c e1035758 nt!CmpMarkValueDataDirty+0x96
    ba55ba90 80639a55 e1035758 0051d150 e13b073c nt!CmpMarkKeyValuesDirty+0xcc
    ba55baac 80639af2 e1035758 0051d150 e155d154 nt!CmpFreeKeyValues+0x17
    ba55bae8 8063a330 e1035758 00072ef0 e10b2ef4 nt!CmpSyncKeyValues+0x26
    ba55bb2c 8063a4a3 e2d33000 00000400 00000003 nt!CmpCopySyncTree2+0x1f4
    ba55bb5c 806269d4 e1035758 00000188 e1035758 nt!CmpCopySyncTree+0x4f
    ba55bccc 80622290 00010002 ba55bd64 ba55bce8 nt!CmpSaveBootControlSet+0x2b0
    ba55bcdc 8054167c 00000004 ba55bd64 8050047d nt!NtInitializeRegistry+0x5e
    ba55bcdc 8050047d 00000004 ba55bd64 8050047d nt!KiFastCallEntry+0xfc
    ba55bd58 8054167c 00000004 0077f8a8 7c91e514 nt!ZwInitializeRegistry+0x11
    ba55bd58 7c91e514 00000004 0077f8a8 7c91e514 nt!KiFastCallEntry+0xfc
    0077f860 7c91d42a 01008de9 00000004 00000000 ntdll!KiFastSystemCallRet
    0077f864 01008de9 00000004 00000000 0077fd0c ntdll!NtInitializeRegistry+0xc
    0077f8a8 0100d651 0077f8f8 0077f8d0 6e4f6373 services!ScAcceptTheBoot+0xd9
    0077f8cc 77e59ebe 00000000 00000001 02020202 services!RNotifyBootConfigStatus+0x83
    0077f8e8 77ed521a 01008987 0077f8fc 00000002 RPCRT4!Invoke+0x30
    0077fcf4 77ed56ee 00000000 00000000 000b5494 RPCRT4!NdrStubCall2+0x297
    0077fd10 77e599cc 000b5494 000b4368 000b5494 RPCRT4!NdrServerCall2+0x19
    0077fd44 77e59931 01002589 000b5494 0077fdec RPCRT4!DispatchToStubInC+0x38
    0077fd98 77e5985d 00000009 00000000 0101b150 RPCRT4!RPC_INTERFACE::DispatchToStubWorker+0x113
    0077fdbc 77e5ba15 000b5494 00000000 0101b150 RPCRT4!RPC_INTERFACE::DispatchToStub+0x84
    0077fdf8 77e5b872 000b5050 000aa6c8 000b5210 RPCRT4!LRPC_SCALL::DealWithRequestMessage+0x2db
    0077fe1c 77e5b7b6 000aa704 0077fe38 000b5210 RPCRT4!LRPC_ADDRESS::DealWithLRPCRequest+0x16d
    0077ff80 77e56caf 0077ffa8 77e56ad1 000aa6c8 RPCRT4!LRPC_ADDRESS::ReceiveLotsaCalls+0x310
    0077ff88 77e56ad1 000aa6c8 7c91e920 0007facc RPCRT4!RecvLotsaCallsWrapper+0xd
    0077ffa8 77e56c97 000b11f0 0077ffec 7c80b729 RPCRT4!BaseCachedThreadRoutine+0x79
    0077ffb4 7c80b729 000b28d0 7c91e920 0007facc RPCRT4!ThreadStartRoutine+0x1a
    0077ffec 00000000 77e56c7d 000b28d0 00000000 kernel32!BaseThreadStart+0x37


    STACK_COMMAND:  kb

    FOLLOWUP_IP:
    nt!HvpGetCellMapped+5f
    80637f4d 8b4304          mov     eax,dword ptr [ebx+4]

    SYMBOL_STACK_INDEX:  0

    SYMBOL_NAME:  nt!HvpGetCellMapped+5f

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    IMAGE_NAME:  ntkrpamp.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  4ea6b0e6

    FAILURE_BUCKET_ID:  0x8E_nt!HvpGetCellMapped+5f

    BUCKET_ID:  0x8E_nt!HvpGetCellMapped+5f

    Followup: MachineOwner
    ---------

    sábado, 14 de enero de 2012 0:08

Todas las respuestas

  •  ntkrpamp.exe es el nucleo de Windows. Un programa está afectandolo y provocando los cuelgues.

    Por este código:  STOP 0x0000008E

    PROCESS_NAME: services.exe

    Y este mensaje

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s

    Yo diria que ese PC está infectado. De todas formas habria que localizar services.exe. Si es el bueno debe estar ubicado en

    C:\Windows\System32

    Un clic derecho y selecciona sus propiedades, el editor debe ser Microsoft. Si esta en otra carpeta o aparece en blanco el editor, virus sin duda.

    Las referencias que he encontrado hablan de algo bastante antiguo, 2003:

    http://www.vsantivirus.com/maran-a.htm

    Seria bueno analizar el .dmp y ejecutar este comando:

    !analyze -v

    Y dejarnos la nueva salida para salir de dudas.


    Saludos cordiales. Ivan
    viernes, 20 de enero de 2012 22:00
  • Hola.

    Gracias por la respuesta. La salida del !analyze -v ya la pegué en el mensaje original.

    Analicé el disco duro con un CD de Kaspersky antivirus y encontró algunos ficheros infectados en la caché del navegador y de JAVA, pero nada más. Borré dichos ficheros.

    Saludos

    sábado, 21 de enero de 2012 18:46
  • Hola.

    Gracias por la respuesta. La salida del !analyze -v ya la pegué en el mensaje original.

    Analicé el disco duro con un CD de Kaspersky antivirus y encontró algunos ficheros infectados en la caché del navegador y de JAVA, pero nada más. Borré dichos ficheros.

    Saludos


    Sigue como responsable el services.exe y la bendita memoria no se puede read.

    Normalmente este mensaje se produce cuando un programa mal diseñado intenta escribir en un espacio prohibido de la memoria. Aunque la mayoria de las veces se debe a malware no se debe descartar algun programa que no sea 100% diseñado para esa version de Windows.

    Intenta con otras herramientas en linea a ver que nos dicen:

    HouseCall - Free Online Virus Scan
    http://housecall.trendmicro.com/#tabgs

    BitDefender Online Scanner
    http://www.bitdefender.com/latin/scanner/online/free.html

    Symantec Security Check
    http://security.norton.com/sscv6/default.asp?productid=symhome&langid=sp&venid=sym

    Panda ActiveScan 2.0
    http://www.pandasoftware.es/activescan

    ESET Online Scanner
    http://www.eset.com.uy/online-scanner

    Microsoft Safety Scanner
    http://www.microsoft.com/security/scanner/es-es/default.aspx

    Intenta al menos con dos de ellos. Revisa lo que aconsejé antes sobre services.exe y comentanos cualquier resultado.


    Saludos cordiales. Ivan
    domingo, 22 de enero de 2012 18:52