BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Problemas con pantallazo azul que provoca este archivo ntkrnlpa.exe

1
BocaDePez
BocaDePez

Hola :)

Al encender el pc, saltó el pantallazo azul, y cuando hizo el volcado de memoria generó MEMORY.DMP. Pues con el programa de depuración de windows Windebug extraje la información de ese pantallazo azul generado en MEMORY.DMP y a continuación os lo expongo:

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED (8e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 805b19d3, The address that the exception occurred at
Arg3: a6fd6c7c, Trap Frame
Arg4: 00000000

Debugging Details:
------------------

PEB is paged out (Peb.Ldr = 7ffd900c). Type ".hh dbgerr001" for details
PEB is paged out (Peb.Ldr = 7ffd900c). Type ".hh dbgerr001" for details

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - La instrucci n en "0x%08lx" hace referencia a la memoria en "0x%08lx". La memoria no se puede "%s".

FAULTING_IP:
nt!ObpCloseHandleTableEntry+13
805b19d3 83b9a800000000 cmp dword ptr [ecx+0A8h],0

TRAP_FRAME: a6fd6c7c -- (.trap 0xffffffffa6fd6c7c)
ErrCode = 00000000
eax=e38e89e0 ebx=88d73da0 ecx=3e04e000 edx=e38faf50 esi=e38faf50 edi=e38e89e0
eip=805b19d3 esp=a6fd6cf0 ebp=a6fd6cfc iopl=0 nv up ei ng nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010286
nt!ObpCloseHandleTableEntry+0x13:
805b19d3 83b9a800000000 cmp dword ptr [ecx+0A8h],0 ds:0023:3e04e0a8=????????
Resetting default scope

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

PROCESS_NAME: svchost.exe

LAST_CONTROL_TRANSFER: from 804fccff to 804f8cc5

STACK_TEXT:
a6fd6844 804fccff 0000008e c0000005 805b19d3 nt!KeBugCheckEx+0x1b
a6fd6c0c 8053e091 a6fd6c28 00000000 a6fd6c7c nt!KiDispatchException+0x3b1
a6fd6c74 8053e042 a6fd6cfc 805b19d3 badb0d00 nt!CommonDispatchException+0x4d
a6fd6cc0 80522bd1 ffffffff 00000030 e38e89e0 nt!KiExceptionExit+0x18a
a6fd6cfc 805b1bab e2b1f428 e38e89e0 000014f0 nt!ObfDereferenceObject+0x5f
a6fd6d44 805b1ce3 000014f0 00000001 00000000 nt!ObpCloseHandle+0x87
a6fd6d58 8053d648 000014f0 0294fe0c 7c91e514 nt!NtClose+0x1d
a6fd6d58 7c91e514 000014f0 0294fe0c 7c91e514 nt!KiFastCallEntry+0xf8
WARNING: Frame IP not in any known module. Following frames may be wrong.
0294fe0c 00000000 00000000 00000000 00000000 0x7c91e514

STACK_COMMAND: kb

FOLLOWUP_IP:
nt!ObpCloseHandleTableEntry+13
805b19d3 83b9a800000000 cmp dword ptr [ecx+0A8h],0

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!ObpCloseHandleTableEntry+13

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlpa.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 498c11d3

FAILURE_BUCKET_ID: 0x8E_nt!ObpCloseHandleTableEntry+13

BUCKET_ID: 0x8E_nt!ObpCloseHandleTableEntry+13

Followup: MachineOwner

Pude iniciar en modo debug sd de Windows, y usé el punto de restauración para llevar la configuración de windows xp a días atrás, y cuando lo hizo, se inició bien Windows XP (es SP3 y están todo los packs actualizados).

Según lei puede tratarse de las memoria ram que uno de los bloques esté suelto, o limpiarle la zona de zócalo o quizá incluso esté medio suelto la tarjeta gráfica. E incluso conflictos con nod32 v4 antivirus.

Espero que no vuelva a suceder, pero cuando hay errores de pantallazos azul de este estilo, me da que me va a dar más quebraderos, pero si alguien conoce este problema y como solucionarlo o donde se produce este error, pues os estaría muy agradecido.

Muchas gracias por su atención ;)

JoeDalton

Pregunta del millón, puedes ver qué módulo estaba cargado en la dirección: 805b19d3

Saludos.

🗨️ 3
BocaDePez
BocaDePez

Gracias primeramente ;)

He puesto los comandos lm y reload /v /f para que me mostarse módulos con dirección (no sé si son esos comandos los correctos para ello), y de la extensa lista como este pequeño fragmento:

lm

start end module name
804d7000 806d0000 nt (pdb symbols) c:\websymbols\ntkrnlpa.pdb\497890CCBAF846F2944EC59C921550431\ntkrnlpa.pdb
806d0000 806f0300 hal (pdb symbols) c:\websymbols\halaacpi.pdb\FCC14B4D76114FE7A8E9AEA280B60E401\halaacpi.pdb
a6e2a000 a6e6aa80 HTTP (deferred)
a6fcb000 a6fcd300 uphcleanhlp (deferred)
a70eb000 a713c880 srv (deferred)
a71dd000 a7209180 mrxdav (deferred)
a734c000 a7376180 kmixer (deferred)
a73c2000 a73d6480 wdmaud (deferred)
a73d7000 a73ec880 irda (deferred)
a73ed000 a74a9000 eamon (deferred)
a7dbb000 a7dd1a80 dump_nvata (deferred)
a7dd2000 a7e41280 mrxsmb (deferred)
a7e42000 a7e6ce80 rdbss (deferred)
a7e6d000 a7e8ed00 afd (deferred)
a7e8f000 a7eb4500 ipnat (deferred)
a7eb5000 a7ece000 epfwtdir (deferred) [...]

reload /v /f

AddImage: ftdisk.sys
DllBase = b9e2f000
Size = 0001ec00
Checksum = 000243c1
TimeDateStamp = 3b7d8419
AddImage: dmload.sys
DllBase = ba5ac000
Size = 00001700
Checksum = 0000dc8a
TimeDateStamp = 3b7d8567
AddImage: dmio.sys
DllBase = b9e09000
Size = 00025a80
Checksum = 0002ed7e
TimeDateStamp = 4802549d
AddImage: PartMgr.sys
DllBase = ba330000
Size = 00004d00
Checksum = 0000c1f3
TimeDateStamp = 480253b0
AddImage: VolSnap.sys
DllBase = ba0e8000
Size = 0000d000
Checksum = 0001357c
TimeDateStamp = 480253bc
AddImage: atapi.sys
DllBase = b9df1000
Size = 00017900
Checksum = 0001cd25 [...]

De todas esas listas generadas no estaba la de esa dirección. Si hay un comando para que me muestre esa dirección con su respectivo módulo, pues lo intentaré.

Un saludo ;)

🗨️ 2
JoeDalton

Cada módulo ocupa un rango, la dirección que ha fallado está en este rango:

804d7000 806d0000 nt (pdb symbols) c:\websymbols\ntkrnlpa.pdb\497890CCBAF846F2944EC59C921550431\ntkrnlpa.pdb

🗨️ 1
BocaDePez
BocaDePez

Esta es la información añadida que sale de este rango que expones:

kd> lmvm nt
start end module name
804d7000 806d0000 nt (pdb symbols) c:\websymbols\ntkrnlpa.pdb\497890CCBAF846F2944EC59C921550431\ntkrnlpa.pdb
Loaded symbol image file: ntkrnlpa.exe
Image path: ntkrnlpa.exe
Image name: ntkrnlpa.exe
Timestamp: Fri Feb 06 11:32:51 2009 (498C11D3)
CheckSum: 002003C0
ImageSize: 001F9000
File version: 5.1.2600.5755
Product version: 5.1.2600.5755
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 1.0 App
File date: 00000000.00000000
Translations: 0c0a.04b0
CompanyName: Microsoft Corporation
ProductName: Sistema operativo Microsoft® Windows®
InternalName: ntkrnlpa.exe
OriginalFilename: ntkrnlpa.exe
ProductVersion: 5.1.2600.5755
FileVersion: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)
FileDescription: Sistema y núcleo de Windows NT
LegalCopyright: Copyright (C) Microsoft Corporation. Reservados todos los derechos.

Gracias de nuevo por su ayuda. Un saludo cordial ;)

AguilaRoja

Ya que dices que está correctamente actualizado, la mayoría de resultados de Google apuntan a corrupción de memoria.

No está de más lo que dices, abrirlo, limpiar los zócalos y volver a meter la memoria ... pero chequea con Memtest86+ después.

www.memtest.org/

🗨️ 2
BocaDePez
BocaDePez

Gracias primeramente :)

Hace un mes, al encender el pc me dio un pitido largo, y era señal de fallo de ram, los quité, limpé y cambié de camino de zócalo los modulos ram, y no me volvió a dar problemas, hace unos días, limipé el pc, ya que contenia mucho polvo acumalado, por lo que ahora está limpo, y es extraño, que esté dando problemas de ram, aunque de todos modos siguiente pantallazo, le hago un limpiado profundo a los zócalos, y con goma de borrar pasarle por las conexiones de cobre de la ram que encajan al zócalo.

Ya que le pasé el memtest86 plus y no me ha detecado probemas de ram, espero que sea como decimos, con una simle limpieza se subsane.

Un saludo cordial ;)

🗨️ 1
srg84

Si no es la memoria puede ser fallo de un dispositivo o de un driver defectuoso o infectado por virus.

1