none
Windows XP 蓝屏dump日志:Probably caused by : qutmdrv.sys ( qutmdrv+10358 ) RRS feed

  • 问题

  • Microsoft (R) Windows Debugger Version 6.2.9200.20512 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [G:\WINDOWS\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    ************************************************************
    WARNING: Dump file has been truncated.  Data may be missing.
    ************************************************************
    Symbol search path is: SRV*c:\sytemp*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp_sp2_gdr.100216-1441
    Machine Name:
    Kernel base = 0x804d8000 PsLoadedModuleList = 0x805634a0
    Debug session time: Thu Jun  6 01:09:16.609 2013 (UTC + 8:00)
    System Uptime: 0 days 0:41:12.304
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ..........
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffde00c).  Type ".hh dbgerr001" for details
    Loading unloaded module list
    .................
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck A, {3086f6d7, 2, 0, 80700976}

    *** ERROR: Module load completed but symbols could not be loaded for qutmdrv.sys
    *** ERROR: Module load completed but symbols could not be loaded for Hookport.sys
    Probably caused by : qutmdrv.sys ( qutmdrv+10358 )

    Followup: MachineOwner

    --------------

    我同时安装了XP2(昨晚刚安装上SP3补丁)和Win 7.每次开机XP2都会出现大量csrss.exe和winlogon.exe进程...

    经过辛苦的排查,发现只要把Terminal的服务禁用掉,就不会出现这个问题..但我又需要使用远程桌面的功能..

    (我现在也不太清楚这个蓝屏日志和这个问题是否有关系..囧rz)

    这有可能是什么原因呢?谢谢..

    2013年6月10日 0:57

全部回复

  • 以下是更早一次的日志..事实上 多次蓝屏分析的结果都是下面这个..上面那个只出现一次,它有可能(我不太确定)是在第一次更新SP3补丁蓝屏时出现的..囧rz

    麻烦帮我分析一下,谢谢..

    ---------------

    Microsoft (R) Windows Debugger Version 6.2.9200.20512 X86
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [G:\WINDOWS\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is: SRV*c:\sytemp*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
    Product: WinNt, suite: TerminalServer SingleUserTS
    Built by: 2600.xpsp_sp2_gdr.100216-1441
    Machine Name:
    Kernel base = 0x804d8000 PsLoadedModuleList = 0x805634a0
    Debug session time: Thu Apr 11 22:00:06.484 2013 (UTC + 8:00)
    System Uptime: 0 days 8:06:25.174
    Loading Kernel Symbols
    ...............................................................
    .............................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd700c).  Type ".hh dbgerr001" for details
    Loading unloaded module list
    ................................
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 7E, {c0000005, 0, a87ac1a8, a87abea4}

    Probably caused by : rdpdr.sys ( rdpdr!RxLowIoCompletionTail+33 )

    Followup: MachineOwner
    ---------

    0: kd>
    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Arguments:
    Arg1: c0000005, The exception code that was not handled
    Arg2: 00000000, The address that the exception occurred at
    Arg3: a87ac1a8, Exception Record Address
    Arg4: a87abea4, Context Record Address

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    FAULTING_IP:
    +0
    00000000 ??              ???

    EXCEPTION_RECORD:  a87ac1a8 -- (.exr 0xffffffffa87ac1a8)
    ExceptionAddress: 00000000
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000000
       Parameter[1]: 00000000
    Attempt to read from address 00000000

    CONTEXT:  a87abea4 -- (.cxr 0xffffffffa87abea4)
    eax=00000000 ebx=f6850f18 ecx=000000fe edx=00000016 esi=ff99ac78 edi=00000000
    eip=00000000 esp=a87ac270 ebp=a87ac284 iopl=0         nv up ei ng nz ac po cy
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010293
    00000000 ??              ???
    Resetting default scope

    DEFAULT_BUCKET_ID:  DRIVER_FAULT

    PROCESS_NAME:  svchost.exe

    ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    EXCEPTION_PARAMETER1:  00000000

    EXCEPTION_PARAMETER2:  00000000

    READ_ADDRESS:  00000000

    FOLLOWUP_IP:
    rdpdr!RxLowIoCompletionTail+33
    f6862f49 8bd8            mov     ebx,eax

    FAILED_INSTRUCTION_ADDRESS:
    +33
    00000000 ??              ???

    BUGCHECK_STR:  0x7E

    LAST_CONTROL_TRANSFER:  from f6862f49 to 00000000

    STACK_TEXT: 
    WARNING: Frame IP not in any known module. Following frames may be wrong.
    a87ac26c f6862f49 ff99ac78 ff99ac78 ff99ac78 0x0
    a87ac284 f686333d ff99ac78 ff99ac78 826082a8 rdpdr!RxLowIoCompletionTail+0x33
    a87ac298 f6846d26 ff99ac78 a87ac2c8 f68470a5 rdpdr!RxLowIoCompletion+0x3f
    a87ac2a4 f68470a5 ff99ac78 00000000 00000016 rdpdr!DrDevice::CompleteRxContext+0x2a
    a87ac2c8 f683e34d a87ac30c 00000000 00000016 rdpdr!DrDevice::CompleteBusyExchange+0x4d
    a87ac2f8 f684798d e493c008 8243dc30 a87ac370 rdpdr!DrDrive::OnQueryFileInfoCompletion+0x2a5
    a87ac31c f68446f5 e493c008 0000002a a87ac370 rdpdr!DrDevice::OnDeviceIoCompletion+0xa9
    a87ac33c f68448b2 e493c008 0000002a a87ac370 rdpdr!DrExchangeManager::OnDeviceIoCompletion+0x55
    a87ac350 f684553f e493c008 0000002a a87ac370 rdpdr!DrExchangeManager::HandlePacket+0x26
    a87ac37c f6844e62 00000000 fef2e3a3 fef2e330 rdpdr!DrSession::ReadCompletion+0xc5
    a87ac394 804e2911 00000000 fef2e330 fe0c57c0 rdpdr!DrSession::ReadCompletionRoutine+0x38
    a87ac3c4 f758d864 ff96c770 00000000 e5a023a8 nt!IopfCompleteRequest+0xa2
    a87ac400 f758e46b ff96c770 00000005 00000000 termdd!IcaChannelInputInternal+0x1f4
    a87ac428 a622a938 826270fc 00000005 00000000 termdd!IcaChannelInput+0x41
    a87ac45c a6224b25 e5a023a8 00994e07 00000032 RDPWD!WDW_OnDataReceived+0x180
    a87ac484 a6224949 e5a02bcc e61d3664 a87ac400 RDPWD!SM_MCSSendDataCallback+0x12d
    a87ac4ec a6224770 00000046 a87ac524 0000004d RDPWD!HandleAllSendDataPDUs+0x155
    a87ac508 a6223632 00000046 a87ac524 80700900 RDPWD!RecognizeMCSFrame+0x32
    a87ac530 f75915eb e5a023a8 00000000 ff994e39 RDPWD!MCSIcaRawInput+0x32c
    a87ac550 f780e1e5 fec8d864 00000000 ff994dec termdd!IcaRawInput+0x53
    a87acd90 f7590235 ff994ca0 00000000 fdc796a8 TDTCP!TdInputThread+0x36f
    a87acdac 80576329 ff99fd20 00000000 00000000 termdd!_IcaDriverThread+0x51
    a87acddc 804ed7a1 f75901e4 ff928300 00000000 nt!PspSystemThreadStartup+0x34
    00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


    SYMBOL_STACK_INDEX:  1

    SYMBOL_NAME:  rdpdr!RxLowIoCompletionTail+33

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: rdpdr

    IMAGE_NAME:  rdpdr.sys

    DEBUG_FLR_IMAGE_TIMESTAMP:  41107ba6

    STACK_COMMAND:  .cxr 0xffffffffa87abea4 ; kb

    FAILURE_BUCKET_ID:  0x7E_NULL_IP_rdpdr!RxLowIoCompletionTail+33

    BUCKET_ID:  0x7E_NULL_IP_rdpdr!RxLowIoCompletionTail+33

    Followup: MachineOwner
    ---------


    • 已编辑 wkl17 2013年6月10日 1:03
    2013年6月10日 1:01
  • 你好,由于这是涉及 Windows XP 的问题,所以将其从一般性问题组移动至本组讨论。谢谢合作。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "wkl17"
     
    我同时安装了XP2(昨晚刚安装上SP3补丁)和Win 7.每次开机XP2都会出现大量csrss.exe和winlogon.exe进程...
    经过辛苦的排查,发现只要把Terminal的服务禁用掉,就?换岢鱿终飧鑫侍?.但我又需要使用远程桌面的功能..
     
     
    2013年6月11日 0:01
    版主
  • CSRSS.EXE 与 WinLogOn.EXE 进程都应只有一个,而且应该是位于 Windows\system32,且以 SYSTEM 权限运行。
     
    如果同时看到多个 CSRSS.EXE、WinLogOn.EXE 进程,100% 是恶意程序仿冒,而且很可能是位于非 system32 的其它文件夹、以普通管理员权限运行的恶意仿冒进程。请使用安全防护软件对所有硬盘驱动器进行彻底病毒扫描。
     
    引起蓝屏的 QUTMDrv.SYS 是 360 添加的驱动组件。如果你使用的安全软件是 360 杀毒,那么可能是 360 在查毒时受阻引起蓝屏;如果使用的是其它安全软件,那么请将其卸载,这东西只能捣乱。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "wkl17"
     
    我同时安装了XP2(昨晚刚安装上SP3补丁)和Win 7.每次开机XP2都会出现大量csrss.exe和winlogon.exe进程...
    经过辛苦的排查,发现只要把Terminal的服务禁用掉,就不会出现这个问题..但我又需要使用远程桌面的功能..
     
     
    2013年6月11日 0:08
    版主
  • 下面这几次的蓝屏都是在使用远程桌面时出现的。
     
    鉴于第一帖的情况,请暂时不要在清除恶意程序之前(依然看到很多 CSRSS.EXE、WinLogOn.EXE 进程的时候)使用远程桌面,清理干净之后再使用。
     
    另可以将远程桌面升级至 7.0 版,在清理恶意程序之后再升级使用。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体?椤?
     
    本帖是回复帖,原帖作者是楼上的 "wkl17"
     
    以下是更早一次的日志..事实上 多次蓝屏分析的结果都是下面这个..上面那个只出现一次,它有可能(我不太确定)是在第一次更新SP3补丁蓝屏时出现的..囧rz
     
    2013年6月11日 0:12
    版主
  • 请问这个问题有何进展吗?如果清理恶意仿冒程序后依然还蓝屏,看看蓝屏有何变化?并提供最新的 Dump 文件。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "Alexis Zhang"
     
    CSRSS.EXE 与 WinLogOn.EXE 进程都应只有一个,而且应该是位于 Windows\system32,且以 SYSTEM 权限运行。
    如果同时看到多个 CSRSS.EXE、WinLogOn.EXE 进程,100% 是恶意程序仿冒,
     
     
    2013年6月13日 0:32
    版主