www.MegaLab.it

[Uomo_Senza_Sonno]

Buonasera a tutti, ho un problemino a cui non riesco a risalirne la causa.

il netbook Acer AspireOne della mia ragazza va frequentemente in crash di sistema o si blocca, e nonostante i numerosi controlli per escludere sia un problema hardware (nell'ordine: test della ram con relativa prova con un banco nuovo, puliti gli slot, verificato lo stato d'integrità del disco rigido ed infine, per escludere un eventuale malfunzionamento della scheda madre, ho provato a mettere il disco rigido in un altro netbook identico ottenendo il crash) sia un problema di comportamento virale (scansione antivirus anche con un rescue disk, scansione MBAM, scansione MBR e nessuna rilevazione) la situazione non migliora.

Gli unici crash che ha salvato sono i seguenti, che riporto a seguito dell'analisi del debugger di windows

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 0

BUGCHECK_STR: 0x7f_d

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

MISALIGNED_IP:
win32k+b28
bf800b28 ea98bfa3b8ca9a jmp 9ACA:B8A3BF98

LAST_CONTROL_TRANSFER: from 804dd99f to bf800b28

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
a6afe754 804dd99f ffffffff a6afe834 00000000 win32k+0xb28
a6afe774 804e3407 badb0d00 a6afe7ec badb0d00 nt+0x699f
a6afe858 804dd99f 2301156d 00000000 00000000 nt+0xc407
a6afe884 7c91e514 badb0d00 0012b074 0012cf88 nt+0x699f
a6afe888 badb0d00 0012b074 0012cf88 0000003b 0x7c91e514
a6afe88c 0012b074 0012cf88 0000003b 7e3994aa 0xbadb0d00
a6afe890 0012cf88 0000003b 7e3994aa 0000001b 0x12b074
a6afe894 00000000 7e3994aa 0000001b 00200286 0x12cf88


STACK_COMMAND: kb

FOLLOWUP_IP:
win32k+b28
bf800b28 ea98bfa3b8ca9a jmp 9ACA:B8A3BF98

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: win32k+b28

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: hardware

MODULE_NAME: hardware

FAILURE_BUCKET_ID: IP_MISALIGNED

BUCKET_ID: IP_MISALIGNED

Followup: MachineOwner
---------

1: kd> lmvm hardware
start end module name

MODULE_NAME: win32k

FAULTING_MODULE: 804d7000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 4cc6d6a2

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - L'istruzione a "0x%08lx" ha fatto riferimento alla memoria a "0x%08lx". La memoria non poteva essere "%s".

FAULTING_IP:
win32k+84a2c
bf884a2c 668b480e mov cx,word ptr [eax+0Eh]

TRAP_FRAME: a54c45c8 -- (.trap 0xffffffffa54c45c8)
ErrCode = 00000000
eax=00000000 ebx=00001000 ecx=00000000 edx=110e4000 esi=84a352a8 edi=00000001
eip=bf884a2c esp=a54c463c ebp=a54c4754 iopl=0 nv up ei pl zr na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246
win32k+0x84a2c:
bf884a2c 668b480e mov cx,word ptr [eax+0Eh] ds:0023:0000000e=????
Resetting default scope

CUSTOMER_CRASH_COUNT: 2

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x8E

LAST_CONTROL_TRANSFER: from 804dd99f to bf884a2c

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
a54c4754 804dd99f ffffffff a54c4834 00000000 win32k+0x84a2c
a54c4774 804e3407 badb0d00 a54c47ec 804f1828 nt+0x699f
a54c4858 804dd99f ab011a94 00000000 00000000 nt+0xc407
a54c4884 7c91e514 badb0d00 0012a1f4 0012cbc4 nt+0x699f
a54c4888 badb0d00 0012a1f4 0012cbc4 0000003b 0x7c91e514
a54c488c 0012a1f4 0012cbc4 0000003b 7e3994aa 0xbadb0d00
a54c4890 0012cbc4 0000003b 7e3994aa 0000001b 0x12a1f4
a54c4894 00000000 7e3994aa 0000001b 00200286 0x12cbc4


STACK_COMMAND: kb

FOLLOWUP_IP:
win32k+84a2c
bf884a2c 668b480e mov cx,word ptr [eax+0Eh]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: win32k+84a2c

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: win32k.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

0: kd> .trap 0xffffffffa54c45c8
ErrCode = 00000000
eax=00000000 ebx=00001000 ecx=00000000 edx=110e4000 esi=84a352a8 edi=00000001
eip=bf884a2c esp=a54c463c ebp=a54c4754 iopl=0 nv up ei pl zr na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246
win32k+0x84a2c:
bf884a2c 668b480e mov cx,word ptr [eax+0Eh] ds:0023:0000000e=????

e nel sospetto che non mi sia sfuggito qualcosa, riporto il log di HJT appena eseguito

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23.45.40, on 29/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Avira\AntiVir Desktop\sched.exe
C:\Programmi\Avira\AntiVir Desktop\avguard.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Programmi\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Avira\AntiVir Desktop\avgnt.exe
C:\Programmi\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Documents and Settings\ELENA\Documenti\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... aspire_one
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home?AF=7616
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://homepage.acer.com/rdr.aspx?b=ACA ... aspire_one
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programmi\BabylonToolbar\BabylonToolbar\1.4.19.5\bh\BabylonToolbar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programmi\BabylonToolbar\BabylonToolbar\1.4.19.5\BabylonToolbarTlbr.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programmi\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programmi\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programmi\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Programmi\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/ph ... NPUpld.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0DCEAD3-2CFA-4620-97F2-C362AA14D3B4}: NameServer = 156.154.70.25,156.154.71.25
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programmi\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL C:\WINDOWS\system32\guard32.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programmi\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programmi\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programmi\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Programmi\Acer\Acer VCM\RS_Service.exe

--
End of file - 8994 bytes

Escludendo un problema di drivers in quanto questo problema ha iniziato a manifestarsi dopo qualche mese di utilizzo, può trattarsi di un problema legato ad un aggiornamento di sistema (o qualche programma installato)?

Ringrazio tutti in anticipo per l'interessamento

[crazy.cat]

Se dici che con un disco fisso di un altro pc hai gli stessi problemi si potrebbe pensare ad un qualche problema hardware.
A meno che tu non abbia due sistemi operativi incasinati che ti creano lo stesso problema.
Il primo crash sembrerebbe collegato a qualcosa di hardware, il secondo ai driver.
Io farei una formattatina e ricaricare il minimo indispensabile con tutto aggiornato prima di buttarsi sul hardware.

[Uomo_Senza_Sonno]

Scusa, mi sono spiegato male: ho invertito i dischi, con il risultato che i crash si sono verificati anche nel pc ospite, mentre nel pc della mia ragazza con il disco del pc ospite funzionava tutto quanto.

Io farei una formattatina e ricaricare il minimo indispensabile con tutto aggiornato prima di buttarsi sul hardware.

A questo punto lo vedo inevitabile, anche perché potrebbe anche essere un conflitto di qualche programma installato (o qualche rimasuglio di qualche schifezza installata tempo addietro).

Grazie ancora

[sampei.nihira]

Sarà mica colpa di CIS ?

Farbix direbbe...... "mai e poi mai" !!

[Uomo_Senza_Sonno]

Uhm, quello lo escludo anche io perché i crash si verificavano anche prima di installare la suite.

[crazy.cat]

ho invertito i dischi, con il risultato che i crash si sono verificati anche nel pc ospite, mentre nel pc della mia ragazza con il disco del pc ospite funzionava tutto quanto.

E allora è qualcosa a livello sistema operativo senza dubbio.
Buon format.

[Uomo_Senza_Sonno]

Ti ringrazio ancora per i chiarimenti