BSOD + epfwwfp.sys - proszę o analizę loga

[mzuber]

Ostatnio otrzymałem BlueScreen.
Po znalezieniu oprogramowania do przeglądania plików *.DMP
i przeanalizowaniu, wyszło że problem spowodował
moduł (sterownik) ESET Smart Security - epfwwfp.sys

Czy ktoś dostał podobny błąd i co może być dokładną
przyczyną jego wystąpienia ?
Czy da się to jednoznacznie ustalić, czy pozostają
jedynie przypuszczenia ?

LOG:

Kod: Zaznacz cały


Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WinDDK\dump\120210-13182-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: D:\Symbols
Executable search path is:
Windows 7 Kernel Version 7600 MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7600.16617.x86fre.win7_gdr.100618-1621
Machine Name:
Kernel base = 0x82c03000 PsLoadedModuleList = 0x82d4b810
Debug session time: Thu Dec  2 07:31:27.103 2010 (UTC + 1:00)
System Uptime: 0 days 0:00:16.038
Loading Kernel Symbols
...............................................................
................................................................
.....................................
Loading User Symbols
Loading unloaded module list
......
Unable to load image \SystemRoot\system32\DRIVERS\epfwwfp.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for epfwwfp.sys
*** ERROR: Module load completed but symbols could not be loaded for epfwwfp.sys
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000007E, {c0000005, 0, 8d517aec, 8d5176d0}

*** WARNING: Unable to verify timestamp for NETIO.SYS
*** ERROR: Module load completed but symbols could not be loaded for NETIO.SYS
*** WARNING: Unable to verify timestamp for tcpip.sys
*** ERROR: Module load completed but symbols could not be loaded for tcpip.sys
Probably caused by : epfwwfp.sys ( epfwwfp+1030 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003.  This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG.  This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG.  This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 00000000, The address that the exception occurred at
Arg3: 8d517aec, Exception Record Address
Arg4: 8d5176d0, Context Record Address

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod "0x%08lx" odwo

FAULTING_IP:
+19
00000000 ??              ???

EXCEPTION_RECORD:  8d517aec -- (.exr 0xffffffff8d517aec)
ExceptionAddress: 00000000
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000008
   Parameter[1]: 00000000
Attempt to execute non-executable address 00000000

CONTEXT:  8d5176d0 -- (.cxr 0xffffffff8d5176d0)
eax=00000000 ebx=8b609005 ecx=00000000 edx=00000000 esi=991d7710 edi=991d7dc8
eip=00000000 esp=8d517bb4 ebp=8d517bc8 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
00000000 ??              ???
Resetting default scope

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  0

ERROR_CODE: (NTSTATUS) 0xc0000005 - Instrukcja spod "0x%08lx" odwo

EXCEPTION_PARAMETER1:  00000008

EXCEPTION_PARAMETER2:  00000000

WRITE_ADDRESS: GetPointerFromAddress: unable to read from 82d6b718
Unable to read MiSystemVaType memory at 82d4b160
 00000000

FOLLOWUP_IP:
epfwwfp+1030
991d0030 ??              ???

FAILED_INSTRUCTION_ADDRESS:
+36b2faf0122dfc0
00000000 ??              ???

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from 991d0030 to 00000000

STACK_TEXT: 
WARNING: Frame IP not in any known module. Following frames may be wrong.
8d517bb0 991d0030 00000000 00000000 00000000 0x0
8d517bc8 991d19f6 991d7710 991d2478 8d517bf0 epfwwfp+0x1030
8d517bd8 991d388c 00000010 00000000 8b60926f epfwwfp+0x29f6
8d517bf0 8b6e4d64 00000014 00000118 86df4138 epfwwfp+0x488c
8d517c0c 8b6d85f1 00000010 00000000 00000014 NETIO+0x25d64
8d517c50 8b6c2872 00000010 00000000 00000000 NETIO+0x195f1
8d517c64 8b6c2893 00000010 00000000 89f8dcc4 NETIO+0x3872
8d517c7c 8b87b073 89f8dca8 830168f0 89fa0008 NETIO+0x3893
8d517c94 8b87a1a4 89f8dc88 830168f0 8b911720 tcpip+0x61073
8d517cc4 8b6c2c1e 89fa0144 86c33418 862b9580 tcpip+0x601a4
8d517ce8 82e2381f 862b9580 8b911720 86c33418 NETIO+0x3c1e
8d517d00 82c70f3b 86c33418 00000000 8555a828 nt!IopProcessWorkItem+0x2d
8d517d50 82e116d3 00000001 ad394483 00000000 nt!ExpWorkerThread+0x10d
8d517d90 82cc30f9 82c70e2e 00000001 00000000 nt!PspSystemThreadStartup+0x9e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x19


SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  epfwwfp+1030

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: epfwwfp

IMAGE_NAME:  epfwwfp.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  498c35ca

STACK_COMMAND:  .cxr 0xffffffff8d5176d0 ; kb

FAILURE_BUCKET_ID:  0x7E_NULL_IP_epfwwfp+1030

BUCKET_ID:  0x7E_NULL_IP_epfwwfp+1030

Followup: MachineOwner
---------



[Andziorka]

Próbowałeś przeinstalować Eseta?

[mzuber]

Nie. Był to pierwszy bluescreen jaki zobaczyłem na tej maszynie.
Jeżeli się nie powtórzy reinstalację uważam za zbędną.

Chciałem się tylko dowiedzieć co dokładnie mogło być
przyczyną wykrzaczenia się systemu - sam po przeanalizowaniu
pliku DMP nie jestem w stanie stwierdzić, tzn. mam
pewne przypuszczenia ale chciałbym usłyszeć opinie
drugiej osoby.

[XMan]

Jeżeli nie pomoże przeinstalowanie Eseta to mogą być wirusy
Wrzuć logi w tym temacie wg. tego regulaminu.
Zmieniałeś ostatnio jakieś sterowniki ?

[Andziorka]

Spróbuj odinstalować Eseta, przeczyścić komputer i rejestr Ccleanerem i zainstalować ponownie.

[mzuber]

Ja wiem co mam zrobić żeby się pozbyć problemu.

Pytanie w poście który rozpocząłem było zupełnie inne:

Czy da się jednoznacznie stwierdzić dlaczego system się
wykrzaczył analizując plik DMP ? Co takiego zrobił ESET
że system tak zareagował ?

Problem pojawił się raz i mogę go już nigdy więcej
w życiu nie zobaczyć, ale chciałbym wiedzieć
co się stało w systemie.

XMan pisze:

Kod: Zaznacz cały

Wrzuć logi w tym temacie wg. tego regulaminu.


Niestety komputer nie jest mój i nie mogę na nim przeprowadzać
operacji jako administrator, jedyne co posiadam to plik *.DMP
który załączyłem.

[Andziorka]

Czy da się jednoznacznie stwierdzić dlaczego system się
wykrzaczył analizując plik DMP ? Co takiego zrobił ESET
że system tak zareagował ?

Nie da się, po prostu Eset ma jakieś zgrzyty z Twoim systemem i wywalił błąd.