locked
Pantalla azul, FLTMGR.SYS Stop 0x0000008E RRS feed

  • Pregunta

  • Equipo

    Lenovo T410i Windows 7 Kasperski Anti-Virus

    Situación Actual

    Lo que describiré a continuación es posterior a la instalación de un producto de crytografia.  No desactivé el anti-virus durante la instalación, pero no hubo errores durante el proceso.

    Al reiniciar el equipo, luego de pasar la pantalla de pre-boot del producto de cryptografia, en la pantalla de inicio de sesión dejando pasar unos minutos aparece una pantalla azul haciendo referencia al FLTMGR.SYS Stop 0000008E.

    El equipo se reinicia solo, paso la pantalla de pre-boot, aparece el menu de Windows donde dá la opción del modo a prueba de fallos o normal, selecciono normal y aparece la pantalla de inicio de sesion e ingreso normalmente.  Puedo trabajar y no hay problema.

    Apago el computador y al volver a encenderlo, vuelve a suceder el problema en la misma secuencia.

     

    Pregunta

    ¿Cómo puedo resolver esto?

    ¿Será necesario desinstalar el producto de crytografia?.  Fue instalado en un equipo identico y no ha dado problemas.

    ¿El anti-virus podría estarlo causando?

    miércoles, 29 de diciembre de 2010 15:36

Respuestas

  • "el_gurú" <=?utf-8?B?ZWxfZ3Vyw7o=?=> escribió en el  mensaje  news:edc89672-742d-4e99-91d1-f1dbd67931eb@communitybridge.codeplex.com...

    Gracias Iván por el dato.

    Caballeros, adjunto la info:

    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is:  SRV*C:\Websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: Windows 7 Kernel Version 7600 MP (4 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7600.16617.x86fre.win7_gdr.100618-1621
    Machine Name:
    Kernel base = 0x82c44000 PsLoadedModuleList = 0x82d8c810
    Debug session time: Wed Dec 29 09:08:24.891 2010 (UTC - 3:00)
    System Uptime: 0 days 0:00:45.358
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd900c). Type ".hh dbgerr001" for  details
    Loading unloaded module list
    ..........

    : kd> !analyze -v
     *********************************************************************** ****
    * *
    * Bugcheck Analysis *
    * *
     *********************************************************************** ****

    KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    This is a very common bugcheck. Usually the exception address  pinpoints
    the driver/function that caused the problem. Always note this address
    as well as the link date of the driver/image that contains this  address.
    Some common problems are exception code 0x80000003. This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG. This is not supposed to happen as developers should never  have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG. This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 8b1e2b86, The address that the exception occurred at
    Arg3: ac3e05d0, Trap Frame
    Arg4: 00000000

    Debugging Details:
    ------------------

    * ERROR: Module load completed but symbols could not be loaded for  FfeCore.sys

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    FAULTING_IP: fltmgr!FltpObjectPointerReference+e
    8b1e2b86 f00fc108 lock xadd dword ptr [eax],ecx

    TRAP_FRAME: ac3e05d0 -- (.trap 0xffffffffac3e05d0)
    ErrCode = 00000002
    eax=63cf6799 ebx=00000000 ecx=00000001 edx=00000008  esi=63cf6795 edi=ac3e069c
    eip=8b1e2b86 esp=ac3e0644 ebp=ac3e0644 iopl=0 nv up ei pl nz  na po nc
    cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000  efl=00010202
    fltmgr!FltpObjectPointerReference+0xe:
    8b1e2b86 f00fc108 lock xadd dword ptr [eax],ecx  ds:0023:63cf6799=????????
    Resetting default scope

    DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

    BUGCHECK_STR: 0x8E

    PROCESS_NAME: gpscript.exe

    CURRENT_IRQL: 0

    LAST_CONTROL_TRANSFER: from 82d01382 to 82d20d10

    STACK_TEXT: ac3e0144 82d01382 0000008e c0000005 8b1e2b86 nt!KeBugCheckEx+0x1e
    ac3e0560 82c88036 ac3e057c 00000000 ac3e05d0  nt!KiDispatchException+0x1ac
    ac3e05c8 82c87fea ac3e0644 8b1e2b86 badb0d00  nt!CommonDispatchException+0x4a
    ac3e0644 8b1e326f 63cf6795 ac3e06a8 63cf6795 nt!Kei386EoiHelper+0x192
    ac3e0660 8b1dcb1d ac3e06b0 00000000 86262cc0  fltmgr!TargetedIOCtrlGenerateECP+0x15b
    ac3e06d0 8b1dcc84 881426c0 63cf6795 ac3e0758  fltmgr!FltCreateFileEx2+0x75
    ac3e0718 8fc77c01 881426c0 63cf6795 ac3e0758 fltmgr!FltCreateFile+0x38
    WARNING: Stack unwind information not available. Following frames may  be wrong.
    ac3e07a0 8fc45fc9 881426c0 63cf6795 ac3e0830 FfeCore+0x3fc01
    ac3e0840 8fc3d847 aeba1b18 00000001 00000000 FfeCore+0xdfc9
    ac3e08d4 8fc6680a aeba3040 86266d70 89d27978 FfeCore+0x5847
    ac3e0914 8fc66603 aeba3040 86266d70 00000000 FfeCore+0x2e80a
    ac3e0928 82c804bc aeba3040 86266d70 86266d70 FfeCore+0x2e603
    ac3e0940 8b1c720c 86266d70 00000000 86266e70 nt!IofCallDriver+0x63
    ac3e0964 8b1da8c9 ac3e0984 aeba2338 00000000  fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x2aa
    ac3e09b0 82c804bc aeba2338 aeba6a40 aea97854 fltmgr!FltpCreate+0x2db
    ac3e09c8 82e846ad 89c9f4f8 ac3e0b70 00000000 nt!IofCallDriver+0x63
    ac3e0aa0 82e6526b aeba3040 c55527c8 884e2718 nt!IopParseDevice+0xed7
    ac3e0b1c 82e8b2d9 00000000 ac3e0b70 00000040  nt!ObpLookupObjectName+0x4fa
    ac3e0b78 82ea6cfa 0085f558 855527c8 00000401  nt!ObOpenObjectByName+0x165
    ac3e0d24 82c8744a 0085f558 0085f530 0085f578  nt!NtQueryAttributesFile+0x121
    ac3e0d24 77ae64f4 0085f558 0085f530 0085f578 nt!KiFastCallEntry+0x12a
    0085f578 00000000 00000000 00000000 00000000 0x77ae64f4


    STACK_COMMAND: kb

    FOLLOWUP_IP: FfeCore+3fc01
    8fc77c01 8945dc mov dword ptr [ebp-24h],eax

    SYMBOL_STACK_INDEX: 7

    SYMBOL_NAME: FfeCore+3fc01

    FOLLOWUP_NAME: MachineOwner

    MODULE_NAME: FfeCore

    IMAGE_NAME: FfeCore.sys

    DEBUG_FLR_IMAGE_TIMESTAMP: 4cb4b8e1

    FAILURE_BUCKET_ID: 0x8E_FfeCore+3fc01

    BUCKET_ID: 0x8E_FfeCore+3fc01

    Followup: MachineOwner
    ---------

    Este programita:
    IMAGE_NAME: FfeCore.sys
    Esta intentando escribir en un espacio indebido de memoria, de alli este  mensaje:
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    No encuentro en la red referencia alguna a ese proceso.

    ¿ El Pc puede iniciar? ¿Es posible una búsqueda para  averiguar que programa instaló ese driver?


    Saludos cordiales. Ivan
    • Marcado como respuesta Ismael Borche lunes, 3 de enero de 2011 19:35
    viernes, 31 de diciembre de 2010 0:44

Todas las respuestas

  • Equipo

    Lenovo T410i Windows 7 Kasperski Anti-Virus

    Situación Actual

    Lo que describiré a continuación es posterior a la instalación de un producto de crytografia.  No desactivé el anti-virus durante la instalación, pero no hubo errores durante el proceso.

    Al reiniciar el equipo, luego de pasar la pantalla de pre-boot del producto de cryptografia, en la pantalla de inicio de sesión dejando pasar unos minutos aparece una pantalla azul haciendo referencia al FLTMGR.SYS Stop 0000008E.

    El equipo se reinicia solo, paso la pantalla de pre-boot, aparece el menu de Windows donde dá la opción del modo a prueba de fallos o normal, selecciono normal y aparece la pantalla de inicio de sesion e ingreso normalmente.  Puedo trabajar y no hay problema.

    Apago el computador y al volver a encenderlo, vuelve a suceder el problema en la misma secuencia.

     

    Pregunta

    ¿Cómo puedo resolver esto?

    ¿Será necesario desinstalar el producto de crytografia?.  Fue instalado en un equipo identico y no ha dado problemas.

    ¿El anti-virus podría estarlo causando?


    Hola,

    Si puedes entrar en Windows aunque sea en modo seguro sigue este artículo:
    http://www.multingles.net/docs/jmt/bsod.htm

    Déjanos la salida que te entrega aquí para referenciar el posible causante.

    Saludos,


    Sergio Calderón | Microsoft Student Partner Senior | Swat Team Microsoft
    miércoles, 29 de diciembre de 2010 15:39
  • Equipo

    Lenovo T410i Windows 7 Kasperski Anti-Virus

    Situación Actual

    Lo que describiré a continuación es posterior a la instalación de un producto de crytografia.  No desactivé el anti-virus durante la instalación, pero no hubo errores durante el proceso.

    Al reiniciar el equipo, luego de pasar la pantalla de pre-boot del producto de cryptografia, en la pantalla de inicio de sesión dejando pasar unos minutos aparece una pantalla azul haciendo referencia al FLTMGR.SYS Stop 0000008E.

    El equipo se reinicia solo, paso la pantalla de pre-boot, aparece el menu de Windows donde dá la opción del modo a prueba de fallos o normal, selecciono normal y aparece la pantalla de inicio de sesion e ingreso normalmente.  Puedo trabajar y no hay problema.

    Apago el computador y al volver a encenderlo, vuelve a suceder el problema en la misma secuencia.

     

    Pregunta

    ¿Cómo puedo resolver esto?

    ¿Será necesario desinstalar el producto de crytografia?.  Fue instalado en un equipo identico y no ha dado problemas.

    ¿El anti-virus podría estarlo causando?


    Hola,

    Si puedes entrar en Windows aunque sea en modo seguro sigue este artículo:
    http://www.multingles.net/docs/jmt/bsod.htm

    Déjanos la salida que te entrega aquí para referenciar el posible causante.

    Saludos,


    Sergio Calderón | Microsoft Student Partner Senior | Swat Team Microsoft

    Hola Sergio

       Gracias por responder.  Te comento que leí lo que me indicaste, instalé el kit SDK con solo las herramientas de Debug, configuré los simbolos de acuerdo a la pauta.

       Traje el archivo memory.dmp y lo estoy analizando en otro equipo, pero se ha demorado mucho, ¿será normal?.  ¿Será mejor hacerlo en el mismo equipo donde se produce el BSOD?.

    Adjunto lo que tengo:

    Loading Dump File [D:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows 7 Kernel Version 7600 MP (4 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7600.16617.x86fre.win7_gdr.100618-1621
    Machine Name:
    Kernel base = 0x82c44000 PsLoadedModuleList = 0x82d8c810
    Debug session time: Wed Dec 29 09:08:24.891 2010 (UTC - 3:00)
    System Uptime: 0 days 0:00:45.358
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd900c).  Type ".hh dbgerr001" for details
    Loading unloaded module list
    ..........

     

    Y ahí se queda (lleva más de 1 hora), y estoy con internet de banda ancha.

    jueves, 30 de diciembre de 2010 14:14
  • Suele tardar pero a mi nunca me ha llegado a una hora...a las malas puedes subir el archivo a algun servidor externo? lo bajamos y lo miramos nosotros...

    De todas formas, ese error que comentas aparece documentado en una kb de microsoft http://support.microsoft.com/kb/955087/es aunque no hace referencia a un sistema w7, por lo que aun asi nos hace falta ver el dump.

    Comentanos.

    Saludos!

    jueves, 30 de diciembre de 2010 14:32
  • "el_gurú" <=?utf-8?B?ZWxfZ3Vyw7o=?=> escribió en el  mensaje  news:7dfd3d5d-4d46-4aba-ae07-f0c8b2826660@communitybridge.codeplex.com...

    Equipo

    Lenovo T410i Windows 7 Kasperski Anti-Virus

    Situación Actual

    Lo que describiré a continuación es posterior a la  instalación de un producto de crytografia. No desactivé el  anti-virus durante la instalación, pero no hubo errores durante el  proceso.

    Al reiniciar el equipo, luego de pasar la pantalla de pre-boot del  producto de cryptografia, en la pantalla de inicio de sesión  dejando pasar unos minutos aparece una pantalla azul haciendo referencia  al FLTMGR.SYS Stop 0000008E.

    El equipo se reinicia solo, paso la pantalla de pre-boot, aparece el  menu de Windows donde dá la opción del modo a prueba de fallos  o normal, selecciono normal y aparece la pantalla de inicio de sesion e  ingreso normalmente. Puedo trabajar y no hay problema.

    Apago el computador y al volver a encenderlo, vuelve a suceder el  problema en la misma secuencia.



    Pregunta

    ¿Cómo puedo resolver esto?

    ¿Será necesario desinstalar el producto de crytografia?.  Fue instalado en un equipo identico y no ha dado problemas.

    ¿El anti-virus podría estarlo causando?

    Hola,

    Si puedes entrar en Windows aunque sea en modo seguro sigue este  artículo:
    http://www.multingles.net/docs/jmt/bsod.htm

    Déjanos la salida que te entrega aquí para referenciar el  posible causante.

    Saludos,


    Sergio Calderón | Microsoft Student Partner Senior | Swat Team  Microsoft


    Hola Sergio

    Gracias por responder. Te comento que leí lo que me indicaste,  instalé el kit SDK con solo las herramientas de Debug,  configuré los simbolos de acuerdo a la pauta.

    Traje el archivo memory.dmp y lo estoy analizando en otro equipo, pero  se ha demorado mucho, ¿será normal?. ¿Será mejor  hacerlo en el mismo equipo donde se produce el BSOD?.

    Adjunto lo que tengo:

    Loading Dump File [D:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is:  SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: Windows 7 Kernel Version 7600 MP (4 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7600.16617.x86fre.win7_gdr.100618-1621
    Machine Name:
    Kernel base = 0x82c44000 PsLoadedModuleList = 0x82d8c810
    Debug session time: Wed Dec 29 09:08:24.891 2010 (UTC - 3:00)
    System Uptime: 0 days 0:00:45.358
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd900c). Type ".hh dbgerr001" for  details
    Loading unloaded module list
    ..........



    Y ahí se queda (lleva más de 1 hora), y estoy con internet  de banda ancha.

    Elimina el contenido de la carpeta websymbols y vuelve a a jecutar  windbg, no ha podido cargar los simbolos para interpretar el dump, o se  dañaron en la descarga.


    Saludos cordiales. Ivan
    jueves, 30 de diciembre de 2010 22:24
  • Gracias Iván por el dato.

    Caballeros, adjunto la info:

    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is: SRV*C:\Websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows 7 Kernel Version 7600 MP (4 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7600.16617.x86fre.win7_gdr.100618-1621
    Machine Name:
    Kernel base = 0x82c44000 PsLoadedModuleList = 0x82d8c810
    Debug session time: Wed Dec 29 09:08:24.891 2010 (UTC - 3:00)
    System Uptime: 0 days 0:00:45.358
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd900c).  Type ".hh dbgerr001" for details
    Loading unloaded module list
    ..........

    : kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Some common problems are exception code 0x80000003.  This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG.  This is not supposed to happen as developers should never have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG.  This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 8b1e2b86, The address that the exception occurred at
    Arg3: ac3e05d0, Trap Frame
    Arg4: 00000000

    Debugging Details:
    ------------------

    *** ERROR: Module load completed but symbols could not be loaded for FfeCore.sys

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".

    FAULTING_IP:
    fltmgr!FltpObjectPointerReference+e
    8b1e2b86 f00fc108        lock xadd dword ptr [eax],ecx

    TRAP_FRAME:  ac3e05d0 -- (.trap 0xffffffffac3e05d0)
    ErrCode = 00000002
    eax=63cf6799 ebx=00000000 ecx=00000001 edx=00000008 esi=63cf6795 edi=ac3e069c
    eip=8b1e2b86 esp=ac3e0644 ebp=ac3e0644 iopl=0         nv up ei pl nz na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
    fltmgr!FltpObjectPointerReference+0xe:
    8b1e2b86 f00fc108        lock xadd dword ptr [eax],ecx ds:0023:63cf6799=????????
    Resetting default scope

    DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

    BUGCHECK_STR:  0x8E

    PROCESS_NAME:  gpscript.exe

    CURRENT_IRQL:  0

    LAST_CONTROL_TRANSFER:  from 82d01382 to 82d20d10

    STACK_TEXT: 
    ac3e0144 82d01382 0000008e c0000005 8b1e2b86 nt!KeBugCheckEx+0x1e
    ac3e0560 82c88036 ac3e057c 00000000 ac3e05d0 nt!KiDispatchException+0x1ac
    ac3e05c8 82c87fea ac3e0644 8b1e2b86 badb0d00 nt!CommonDispatchException+0x4a
    ac3e0644 8b1e326f 63cf6795 ac3e06a8 63cf6795 nt!Kei386EoiHelper+0x192
    ac3e0660 8b1dcb1d ac3e06b0 00000000 86262cc0 fltmgr!TargetedIOCtrlGenerateECP+0x15b
    ac3e06d0 8b1dcc84 881426c0 63cf6795 ac3e0758 fltmgr!FltCreateFileEx2+0x75
    ac3e0718 8fc77c01 881426c0 63cf6795 ac3e0758 fltmgr!FltCreateFile+0x38
    WARNING: Stack unwind information not available. Following frames may be wrong.
    ac3e07a0 8fc45fc9 881426c0 63cf6795 ac3e0830 FfeCore+0x3fc01
    ac3e0840 8fc3d847 aeba1b18 00000001 00000000 FfeCore+0xdfc9
    ac3e08d4 8fc6680a aeba3040 86266d70 89d27978 FfeCore+0x5847
    ac3e0914 8fc66603 aeba3040 86266d70 00000000 FfeCore+0x2e80a
    ac3e0928 82c804bc aeba3040 86266d70 86266d70 FfeCore+0x2e603
    ac3e0940 8b1c720c 86266d70 00000000 86266e70 nt!IofCallDriver+0x63
    ac3e0964 8b1da8c9 ac3e0984 aeba2338 00000000 fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x2aa
    ac3e09b0 82c804bc aeba2338 aeba6a40 aea97854 fltmgr!FltpCreate+0x2db
    ac3e09c8 82e846ad 89c9f4f8 ac3e0b70 00000000 nt!IofCallDriver+0x63
    ac3e0aa0 82e6526b aeba3040 c55527c8 884e2718 nt!IopParseDevice+0xed7
    ac3e0b1c 82e8b2d9 00000000 ac3e0b70 00000040 nt!ObpLookupObjectName+0x4fa
    ac3e0b78 82ea6cfa 0085f558 855527c8 00000401 nt!ObOpenObjectByName+0x165
    ac3e0d24 82c8744a 0085f558 0085f530 0085f578 nt!NtQueryAttributesFile+0x121
    ac3e0d24 77ae64f4 0085f558 0085f530 0085f578 nt!KiFastCallEntry+0x12a
    0085f578 00000000 00000000 00000000 00000000 0x77ae64f4


    STACK_COMMAND:  kb

    FOLLOWUP_IP:
    FfeCore+3fc01
    8fc77c01 8945dc          mov     dword ptr [ebp-24h],eax

    SYMBOL_STACK_INDEX:  7

    SYMBOL_NAME:  FfeCore+3fc01

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: FfeCore

    IMAGE_NAME:  FfeCore.sys

    DEBUG_FLR_IMAGE_TIMESTAMP:  4cb4b8e1

    FAILURE_BUCKET_ID:  0x8E_FfeCore+3fc01

    BUCKET_ID:  0x8E_FfeCore+3fc01

    Followup: MachineOwner
    ---------

    viernes, 31 de diciembre de 2010 0:26
  • "el_gurú" <=?utf-8?B?ZWxfZ3Vyw7o=?=> escribió en el  mensaje  news:edc89672-742d-4e99-91d1-f1dbd67931eb@communitybridge.codeplex.com...

    Gracias Iván por el dato.

    Caballeros, adjunto la info:

    Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is:  SRV*C:\Websymbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: Windows 7 Kernel Version 7600 MP (4 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 7600.16617.x86fre.win7_gdr.100618-1621
    Machine Name:
    Kernel base = 0x82c44000 PsLoadedModuleList = 0x82d8c810
    Debug session time: Wed Dec 29 09:08:24.891 2010 (UTC - 3:00)
    System Uptime: 0 days 0:00:45.358
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ......................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd900c). Type ".hh dbgerr001" for  details
    Loading unloaded module list
    ..........

    : kd> !analyze -v
     *********************************************************************** ****
    * *
    * Bugcheck Analysis *
    * *
     *********************************************************************** ****

    KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
    This is a very common bugcheck. Usually the exception address  pinpoints
    the driver/function that caused the problem. Always note this address
    as well as the link date of the driver/image that contains this  address.
    Some common problems are exception code 0x80000003. This means a hard
    coded breakpoint or assertion was hit, but this system was booted
    /NODEBUG. This is not supposed to happen as developers should never  have
    hardcoded breakpoints in retail code, but ...
    If this happens, make sure a debugger gets connected, and the
    system is booted /DEBUG. This will let us see why this breakpoint is
    happening.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 8b1e2b86, The address that the exception occurred at
    Arg3: ac3e05d0, Trap Frame
    Arg4: 00000000

    Debugging Details:
    ------------------

    * ERROR: Module load completed but symbols could not be loaded for  FfeCore.sys

    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    FAULTING_IP: fltmgr!FltpObjectPointerReference+e
    8b1e2b86 f00fc108 lock xadd dword ptr [eax],ecx

    TRAP_FRAME: ac3e05d0 -- (.trap 0xffffffffac3e05d0)
    ErrCode = 00000002
    eax=63cf6799 ebx=00000000 ecx=00000001 edx=00000008  esi=63cf6795 edi=ac3e069c
    eip=8b1e2b86 esp=ac3e0644 ebp=ac3e0644 iopl=0 nv up ei pl nz  na po nc
    cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000  efl=00010202
    fltmgr!FltpObjectPointerReference+0xe:
    8b1e2b86 f00fc108 lock xadd dword ptr [eax],ecx  ds:0023:63cf6799=????????
    Resetting default scope

    DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

    BUGCHECK_STR: 0x8E

    PROCESS_NAME: gpscript.exe

    CURRENT_IRQL: 0

    LAST_CONTROL_TRANSFER: from 82d01382 to 82d20d10

    STACK_TEXT: ac3e0144 82d01382 0000008e c0000005 8b1e2b86 nt!KeBugCheckEx+0x1e
    ac3e0560 82c88036 ac3e057c 00000000 ac3e05d0  nt!KiDispatchException+0x1ac
    ac3e05c8 82c87fea ac3e0644 8b1e2b86 badb0d00  nt!CommonDispatchException+0x4a
    ac3e0644 8b1e326f 63cf6795 ac3e06a8 63cf6795 nt!Kei386EoiHelper+0x192
    ac3e0660 8b1dcb1d ac3e06b0 00000000 86262cc0  fltmgr!TargetedIOCtrlGenerateECP+0x15b
    ac3e06d0 8b1dcc84 881426c0 63cf6795 ac3e0758  fltmgr!FltCreateFileEx2+0x75
    ac3e0718 8fc77c01 881426c0 63cf6795 ac3e0758 fltmgr!FltCreateFile+0x38
    WARNING: Stack unwind information not available. Following frames may  be wrong.
    ac3e07a0 8fc45fc9 881426c0 63cf6795 ac3e0830 FfeCore+0x3fc01
    ac3e0840 8fc3d847 aeba1b18 00000001 00000000 FfeCore+0xdfc9
    ac3e08d4 8fc6680a aeba3040 86266d70 89d27978 FfeCore+0x5847
    ac3e0914 8fc66603 aeba3040 86266d70 00000000 FfeCore+0x2e80a
    ac3e0928 82c804bc aeba3040 86266d70 86266d70 FfeCore+0x2e603
    ac3e0940 8b1c720c 86266d70 00000000 86266e70 nt!IofCallDriver+0x63
    ac3e0964 8b1da8c9 ac3e0984 aeba2338 00000000  fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x2aa
    ac3e09b0 82c804bc aeba2338 aeba6a40 aea97854 fltmgr!FltpCreate+0x2db
    ac3e09c8 82e846ad 89c9f4f8 ac3e0b70 00000000 nt!IofCallDriver+0x63
    ac3e0aa0 82e6526b aeba3040 c55527c8 884e2718 nt!IopParseDevice+0xed7
    ac3e0b1c 82e8b2d9 00000000 ac3e0b70 00000040  nt!ObpLookupObjectName+0x4fa
    ac3e0b78 82ea6cfa 0085f558 855527c8 00000401  nt!ObOpenObjectByName+0x165
    ac3e0d24 82c8744a 0085f558 0085f530 0085f578  nt!NtQueryAttributesFile+0x121
    ac3e0d24 77ae64f4 0085f558 0085f530 0085f578 nt!KiFastCallEntry+0x12a
    0085f578 00000000 00000000 00000000 00000000 0x77ae64f4


    STACK_COMMAND: kb

    FOLLOWUP_IP: FfeCore+3fc01
    8fc77c01 8945dc mov dword ptr [ebp-24h],eax

    SYMBOL_STACK_INDEX: 7

    SYMBOL_NAME: FfeCore+3fc01

    FOLLOWUP_NAME: MachineOwner

    MODULE_NAME: FfeCore

    IMAGE_NAME: FfeCore.sys

    DEBUG_FLR_IMAGE_TIMESTAMP: 4cb4b8e1

    FAILURE_BUCKET_ID: 0x8E_FfeCore+3fc01

    BUCKET_ID: 0x8E_FfeCore+3fc01

    Followup: MachineOwner
    ---------

    Este programita:
    IMAGE_NAME: FfeCore.sys
    Esta intentando escribir en un espacio indebido de memoria, de alli este  mensaje:
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    No encuentro en la red referencia alguna a ese proceso.

    ¿ El Pc puede iniciar? ¿Es posible una búsqueda para  averiguar que programa instaló ese driver?


    Saludos cordiales. Ivan
    • Marcado como respuesta Ismael Borche lunes, 3 de enero de 2011 19:35
    viernes, 31 de diciembre de 2010 0:44
  • Este programita:
    IMAGE_NAME: FfeCore.sys
    Esta intentando escribir en un espacio indebido de memoria, de alli este  mensaje:
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    No encuentro en la red referencia alguna a ese proceso.

    ¿ El Pc puede iniciar? ¿Es posible una búsqueda para  averiguar que programa instaló ese driver?


    Saludos cordiales. Ivan


    Y el proceso que lo lanza es gpscrit.exe, el cual teoricamente es un proceso legitimo de ejecucion de politicas del sistema, pero si buscas en Google verás que hay muchos virus con ese mismo nombre para engañar al usuario.

    Saludos.

     

    Caballeros

       Lamentablemente es parte de la aplicación de criptografía.  No sé que puede haber pasado, ya que como les comenté, está instalado en un equipo similar y nunca ha dado problema.   Si alguien tiene una sugerencia, será bienvenida.

       Como veo la situación, habrá que desencriptar y desintalar.  Generar un nuevo paquete de instalación y probar de nuevo.

       Gracias por la ayuda.

    viernes, 31 de diciembre de 2010 12:08
  • Este programita:
    IMAGE_NAME: FfeCore.sys
    Esta intentando escribir en un espacio indebido de memoria, de alli este  mensaje:
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx"  referenced memory at "0x%08lx". The memory could not be "%s".

    No encuentro en la red referencia alguna a ese proceso.

    ¿ El Pc puede iniciar? ¿Es posible una búsqueda para  averiguar que programa instaló ese driver?


    Saludos cordiales. Ivan


    Y el proceso que lo lanza es gpscrit.exe, el cual teoricamente es un proceso legitimo de ejecucion de politicas del sistema, pero si buscas en Google verás que hay muchos virus con ese mismo nombre para engañar al usuario.

    Saludos.

     

    Caballeros

       Lamentablemente es parte de la aplicación de criptografía.  No sé que puede haber pasado, ya que como les comenté, está instalado en un equipo similar y nunca ha dado problema.   Si alguien tiene una sugerencia, será bienvenida.

       Como veo la situación, habrá que desencriptar y desintalar.  Generar un nuevo paquete de instalación y probar de nuevo.

       Gracias por la ayuda.


    ¿que aplicacion de criptografia? ¿una tuya?
    viernes, 31 de diciembre de 2010 12:22