Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

He tenido algunos problemas de configuracion de mi sistema, creo que los he resuelto, pero me gustaria hacerles algunas preguntas para comprender mejor que es lo que paso, ver si lo que hice resolvio el problema y como evitarlo en el futuro.

Estas son las caracteristicas de mi Equipo

Procesador AMD Athlon(tm) 62 X2 Dual Core Processor 5600+ 2.79 GHz
Memoria RAM 1919 MB
Sistema Operativo de 32 Bits
Fabricante MICRO-STAR INTERANTIONAL CO.,LTD
Modelo MS-7367
Cantidad total de memoria del sistema 1.88 GB en RAM
Tipo de sistema Sistema operativo de 32 bits
Número de procesadores principales 2
Compatible con 64 bits Sí
Tarjeta Grafica ATI Radeon X1200 Series
Memoria de gráficos disponible en total 831 MB
Memoria dedicada de gráficos 128 MB
Memoria dedicada del sistema 0 MB
Memoria compartida del sistema 703 MB
Mostrar la versión del controlador del adaptador 8.421.0.0
Resolución del monitor principal 1024x768
Versión de DirectX DirectX 9.0 o posterior
Disco Duro 250 GB
Disco Externo 250 SimpleTech
Adaptador de red NIC de Gigabit Ethernet PCI-E de la familia Realtek RTL8168/8111 (NDIS 6.0)
Windows Vista Home Premium
Antivirus Usado (Antes de mi primer Blue Screen) Avast Antivirus
Antivirus Usado actualmente, Kaspersky Internet Security (Edicion de prueba)


Mi historia

Llevo con el equipo desde Noviembre del 2007, utilizaba avast antivirus y se actualizaba vista constantemente, Descargue el service pack 1 e hize un respaldo de mi informacion con la opcion que trae vista para hacer copias de seguridad de mi sistema, y lo grabe en un disco duro externo que recien habia adquirido, dias despues al usar un programa de administracion de Feeds (Feed Demond) el sistema colapso varias veces, borre el programa pero ya me habia afectado la red y no se podia conectar, restaure el sistema incluso antes de instalar el service pack, pero la red seguia sin responder, como tenia respaldada mi informacion, opte por formatear y particionar el disco, para que una parte solo tuviera el OS, ya que me por ahi me habian recomendado que asi era mas facil si windows daba problemas, resintalarlo sin tener que borrar toda tu informacion.

1.-¿Se puede hacer eso con vista? ¿Genera alguna ventaja tener particionado el disco?

Mi error fue cargar el DVD de instalacion desde vista, y no desde DOS, lo que me genero dos Windows instalados en el mismo disco, uno no fue reconocido y pues mi computadora practicamente perdio la razon.

Ya no quise lidiar con el BIOS asi que se la lleve a mi tecnico de "confianza" y el que me habia armado el equipo, le dije que de plano me formateara el disco duro, me reinstalara windows y sus drivers.

Asi fue, y desde ayer estoy reinstalandole los programas que tenia anteriormente, abri la cuenta que manejaba para trabajar (otra ajena al administrador) para volverle a cargar la configuracion que habia respaldado, todo parecia regresar a a como era antes, no termino ni siquiera de cargar la configuracion cuando aparecio la temida Blue Screen

y este fue el primer reporte de windows

01/04/2008 12:36 p.m.

Estado
No reportado

Firma del problema
Nombre de evento de problema: BlueScreen
Versión del sistema operativo: 6.0.6000.2.0.0.768.3
Id. de configuración regional: 2058

Archivos que ayudan a describir el problema (es posible que algunos archivos ya no estén disponibles)
Mini040108-01.dmp
sysdata.xml
Version.txt

Información adicional sobre el problema
BCCode: cf
BCP1: 95A2FF48
BCP2: 00000008
BCP3: 95A2FF48
BCP4: 00000000
OS Version: 6_0_6000
Service Pack: 0_0
Product: 768_1


Se reinicio y entre a la cuenta de trabajo, no se habia cargado la configuracion en lo que trataba de organizar mis ideas volvio la blue screen y este fue el siguiente reporte

01/04/2008 12:40 p.m.

Estado
No reportado

Firma del problema
Nombre de evento de problema: BlueScreen
Versión del sistema operativo: 6.0.6000.2.0.0.768.3
Id. de configuración regional: 2058

Archivos que ayudan a describir el problema (es posible que algunos archivos ya no estén disponibles)
Mini040108-02.dmp
sysdata.xml
Version.txt

Información adicional sobre el problema
BCCode: cf
BCP1: 98E2FF48
BCP2: 00000008
BCP3: 98E2FF48
BCP4: 00000000
OS Version: 6_0_6000
Service Pack: 0_0
Product: 768_1

El tercer y ultimo blue screen tuvo este reporte mientras intentaba borrar la cuenta fue este

02/04/2008 01:28 p.m.

Estado
No reportado

Firma del problema
Nombre de evento de problema: BlueScreen
Versión del sistema operativo: 6.0.6000.2.0.0.768.3
Id. de configuración regional: 2058

Archivos que ayudan a describir el problema (es posible que algunos archivos ya no estén disponibles)
Mini040208-03.dmp
sysdata.xml
Version.txt

Información adicional sobre el problema
BCCode: 19
BCP1: 00000020
BCP2: 85112000
BCP3: 85112A00
BCP4: 09400000
OS Version: 6_0_6000
Service Pack: 0_0
Product: 768_1

Pude borrar la cuenta que habia intentado restaurar y la configuracion que habia en ella en modo seguro, ha pasado 1 hora y no ha vuelto a aparecer la tan temida pantalla, asi que seguramente es alguna configuracion de algun programa o archivo que tenia anteriormente, pero quiero rescatar algunos datos y videos de ese respaldo, Creo que se pueden ir sacando archivo por archivo, pero como puedo saber cual es o son los archivos que me generaron este error? ir sacando poco a poco los mismos del respaldo, y confiar en que nada mas extraiga los archivos que no generen algun problema? Se puede deducir por medio del reporte cual fue el problema en si?

Otra cosa que me dijo mi tecnico es que no pudo particionar el disco para que vista estuviera aparte, porque segun el el programa que utiliza para particionar todavia no era compatible con vista,y que hasta que tuviera la actualizacion lo podia hacer, pero por mis escasos conocimientos creo que esto se puede hacer desde que instalas el sistema operativo de vista, la verdad no le creo, alguno de ustedes trabaja con vista particionado? y es que desde que mi tecnico me dijo que el me recomendaba panda como antivirus le he perdido confianza, voy con el porque ahi mi equipo tiene garantia simplemente.

Espero y me puedan resolver mis duda y un saludo a todos los miembros de este foro!

El particionado siempre genera ventajas en cualquier sistema, sea Vista o Unix. Puedes ver un poco más de información en este texto que hice hace no mucho Util PC Blog » Blog Archive » Seguridad en Windows capÃ*tulo 1: Particiones.

En cuanto a restaurar la configuración no es algo que te recomiendo porque simplemente perderías la instalación que te hizo tu amigo. Probablemente por eso te envía error, porque son versiones distintas de los 2 sistemas, 2 instalaciones distintas, probablemente incluso tamaños de particiones distintas....

También desconozco qué programa usaste para el respaldo, si es posible nombralo.

Los datos de las BSoD que mencionaste son muy escasos, realmente no muestran mucho así que no podría ayudar mucho con ellos.

EL particionado de una unidad puedes hacerla antes o después de instalar el sistema; por su puesto, si lo haces luego de instalar el sistema puede que algún error surja y pierdas todos los datos o el sistema se dañe pero si manejas bien el programa para crear particiones no debería haber problema.

Programas como Partition Magic, Acronis, GParted son algunos utilizados para funciones de redimencionamiento, crear, eliminar y gestionar particiones incluso si ya hay uno o varios sistemas instalados.



Salu2

Gracias por contestar Hobbit

Voy a leerme tu articulo, ya estuve informandome como analizar la BSOD, desactive el reinicio para poder leer y anotar el informe preeliminar si vuelve a aparecer a la pantalla, y el puse la opcion de guardar en memoria kernel el reporte, lo que hize primero fue restaurar el sistema antes de cargar la configuracion de mi respaldo, (que fue lo que volvio a causar el error), por ahi en ese respaldo hay algun programa u archivo que esta causandome BSOD, y ahora estoy instalando poco a poco los programas que usaba habitualmente de la red, ya llevo dos dias y no ha vuelto a aparecer la pantalla azul, pero lo curioso es que en la raiz de carpetas siguen apareciendo los usuarios que se borraron por default al restaurar el sistema, aunque estas parece que estan vacias, y la ultima ves que intente borrar una (antes de restaurar el sistema) me produjo el error, asi que mejor ni tocarlas, pero si me vuelve a salir la pantalla ya tengo idea de como obtener y abrir el archivo dmp.

El programa que use para el respaldo es el que ya trae vista, pero el respaldo que hize fue cuando ya estaba el error, nose si has ocupado esta opcion?, ahora mi dilema es si sacar solo los archivos (word, avi. mpge y jpg) que me interesan que tenia en mi configuracion anterior me pueda volver causar el error!

El disco externo trae tambien un programa de respaldo (Fabrik Local Backup) Tu cual me recomiendas?


Por cierto con que aplicacion puedo ver exactamente en que se esta ocupando el espacio de mi disco duro, porque por ahi me faltan algunos gigas, a pesar que ya pase el CCleaner.

No tienen por qué generar falla, ellos no tocan ningún archivo del sistema a menos claro que el error estuviera en el programa para abrir los documentos como Word, Reproductor de Windows Media, Visor de imágenes de Windows.

Si te soy sincero no recomiendo ninguno. Los programas de respaldos son a mi parecer muy desconfiables porque si no posees el programa o la versión compatible pierdes los datos prácticamente. Yo prefiero hacer respaldos en claro, con copiar y pegar y ya :).

Muchos directorios de Vista no vas a poder ver cuanto ocupan por seguridad así que de manera manual puede que no logres sacar bien la cuenta, pero puedes usar Tune Up Utilities para ver el espacio de cada directorio y detalladamente mostrarte donde etsá cada byte. Si no quieres TuneUp podrías usar Glary Utilities (como TuneUp pero gratis) que si mal no recuerdo hace lo mismo.



Salu2

Gracias por los consejos!!

Ayer me puse a defragmentar el disco, lo deje corriendo toda la noche y en la mañana estaba la dischosa pantallita! Ya estuve leyendome unos tutoriales para poder leerme el Dump, y ya se mas o menos por donde va la cosa, en cuanto tenga el reporte se los pego por aca! Y que me ayuden a leerlo.

Lei tu articulo sobre la ventajas de particionar el disco, y creo que lo hare, pero primero voy a tratar de arreglar el error antes de particionar. No quiero generar mas errores de los que ya tengo.

Pues Windows sigue dando lata!!

Pues ya llevaba varios dias sin la dichosa pantallita, pero ya tenia listo el WinDbg por si volvia a pasar. Asi que vamos por partes

1ro.- Creo que no tengo bien instalados los symbolos, lo que hice fue esto, corrijanme si estoy mal.

Los baje de esta pagina de microsoft http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx

1.-Baje el archivo Windows Vista SP1 RC1 x86 retail symbols, all languages, no se si este sea el correcto para mi sistema, ya tengo instalado el service pack 1 y estoy a 32 Bits, Windows Vista Home Premium.

2.-Abri el WindDbg>Symbol File Path> Ahi le di la extension del archivo .exe de los sybomls que baje.

3.-Despues abri OpenCrash Dump>Puse la extension del archivo dmp en cuestion y esto fue lo que me salio con la primera BSOD, cuando estaba defragmentando el disco.

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Reynold\AppData\Local\Temp\WER2933.tmp\Mi ni040508-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: C:\Users\Reynold\Desktop\websymbols\Windows_Longho rn.6001.080118-1840.x86fre.Symbols.exe
Executable search path is:
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Windows Vista Kernel Version 6000 MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Kernel base = 0x81c00000 PsLoadedModuleList = 0x81d11e10
Debug session time: Sat Apr 5 00:51:33.766 2008 (GMT-5)
System Uptime: 0 days 9:20:12.816
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Loading Kernel Symbols
.................................................. .................................................. .................................
Loading User Symbols
Loading unloaded module list
.......
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

Use !analyze -v to get detailed debugging information.

BugCheck 9F, {3, 842edb98, 854d6030, 8402e008}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_IRP ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_DEVICE_OBJECT ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************


Probably caused by : ntkrnlpa.exe ( nt+d8681 )

Followup: MachineOwner
---------

0: kd> !analyze -v
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

DRIVER_POWER_STATE_FAILURE (9f)
A driver is causing an inconsistent power state.
Arguments:
Arg1: 00000003, A device object has been blocking an Irp for too long a time
Arg2: 842edb98, Physical Device Object of the stack
Arg3: 854d6030, Functional Device Object of the stack
Arg4: 8402e008, The blocked IRP

Debugging Details:
------------------

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_IRP ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_DEVICE_OBJECT ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************



MODULE_NAME: nt

FAULTING_MODULE: 81c00000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 471ea39c

DRVPOWERSTATE_SUBCODE: 3

DEVICE_OBJECT: 854d6030

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0x9F

LAST_CONTROL_TRANSFER: from 81c4b118 to 81cd8681

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
81cf1b54 81c4b118 0000009f 00000003 842edb98 nt+0xd8681
81cf1bb0 81c4f166 81cf1cbc 81cf1c88 00000001 nt+0x4b118
81cf1bf0 81ca99d1 81d0a020 00000000 1a9265a0 nt+0x4f166
81cf1ce8 81ca9321 00000000 00000000 0020e09d nt+0xa99d1
81cf1d50 81c913ee 00000000 0000000e 00000000 nt+0xa9321
81cf8740 00000000 81cf8748 81cf8748 81cf8750 nt+0x913ee


STACK_COMMAND: kb

FOLLOWUP_IP:
nt+d8681
81cd8681 8be5 mov esp,ebp

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt+d8681

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: ntkrnlpa.exe

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------


Esto fue lo que encontre respecto a ntkrnlpa.exe

ntkrnlpa.exe es lo mismo que ntoskrnl, es el archivo principal para el Kernel (núcleo del sistema) y los subsistemas de ejecución de Windows (gestor de memoria, gestor de caché, programador, monitor de referencia de seguridad, etc). Este archivo es uno de los más importantes para Windows, ya que sencillamente le permite funcionar y además necesita de hal.dll que contiene el código que permite a los dispositivos de hardware comunicarse con el sistema operativo.

El segundo BSOD que me aparecio, este fue el reporte del WindDbg


Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Reynold\AppData\Local\Temp\WERB693.tmp\Mi ni041408-02.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: C:\Users\Reynold\Desktop\websymbols\Windows_Longho rn.6001.080118-1840.x86fre.Symbols.exe
Executable search path is:
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Windows Kernel Version 6001 (Service Pack 1) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Kernel base = 0x81e36000 PsLoadedModuleList = 0x81f4dc70
Debug session time: Mon Apr 14 21:20:54.424 2008 (GMT-5)
System Uptime: 0 days 2:03:52.358
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Loading Kernel Symbols
.................................................. .................................................. ..................................
Loading User Symbols
Loading unloaded module list
.........
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

Use !analyze -v to get detailed debugging information.

BugCheck 19, {20, 84888000, 84888a00, 9400000}

*** WARNING: Unable to verify timestamp for MPRIFL.SYS
*** ERROR: Module load completed but symbols could not be loaded for MPRIFL.SYS
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!PVOID ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************


Probably caused by : MPRIFL.SYS ( MPRIFL+50d4 )

Followup: MachineOwner
---------

Lo que averigue es que MPRIFL.SYS pertenece a un programa llamado My LockBox, que te sirve para poner bajo contraseña una carpeta en especifico, y en google pude ver que tambien le daba algunos problemas a otros usuarios y lo desinstale.

Y ayer el Ultimo BSOD fue este reporte:

Microsoft (R) Windows Debugger Version 6.8.0004.0 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Reynold\AppData\Local\Temp\WERD049.tmp\Mi ni041608-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: C:\Users\Reynold\Desktop\websymbols\Windows_Longho rn.6001.071129-2315.x86fre.Symbols.exe
Executable search path is:
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Windows Kernel Version 6001 (Service Pack 1) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Kernel base = 0x81e3a000 PsLoadedModuleList = 0x81f51c70
Debug session time: Wed Apr 16 01:15:42.594 2008 (GMT-5)
System Uptime: 0 days 3:11:42.147
Unable to load image \SystemRoot\system32\ntkrnlpa.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntkrnlpa.exe
*** ERROR: Module load completed but symbols could not be loaded for ntkrnlpa.exe
Loading Kernel Symbols
.................................................. .................................................. ...................................
Loading User Symbols
Loading unloaded module list
.....
Unable to load image \SystemRoot\system32\DRIVERS\Rtlh86.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for Rtlh86.sys
*** ERROR: Module load completed but symbols could not be loaded for Rtlh86.sys
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

Use !analyze -v to get detailed debugging information.

BugCheck D1, {4c, 2, 1, 8753ea21}

*** WARNING: Unable to verify timestamp for ndis.sys
*** ERROR: Module load completed but symbols could not be loaded for ndis.sys
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************


Probably caused by : Rtlh86.sys ( Rtlh86+6a21 )

Followup: MachineOwner
---------

0: kd> !analyze -v
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0000004c, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000001, value 0 = read operation, 1 = write operation
Arg4: 8753ea21, address which referenced memory

Debugging Details:
------------------

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************



MODULE_NAME: Rtlh86

FAULTING_MODULE: 81e3a000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 45190cfb

WRITE_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPoolCodeStart
unable to get nt!MmPoolCodeEnd
0000004c

CURRENT_IRQL: 2

FAULTING_IP:
Rtlh86+6a21
8753ea21 ?? ???

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0xD1

LAST_CONTROL_TRANSFER: from 8753ea21 to 81e94d84

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
8814fc20 8753ea21 badb0d00 00000000 81f36640 nt+0x5ad84
8814fcac 87539156 858035b8 81e0af60 00000000 Rtlh86+0x6a21
8814fcc8 8720e86d 8580395c 81f3c100 839964f8 Rtlh86+0x1156
8814fd34 872e3013 8637a1b8 8583a218 8814fd7c ndis+0x186d
8814fd44 81e7241d 8637a1b8 00000000 839964f8 ndis+0xd6013
8814fd7c 8200fa1c 8637a1b8 e74ec8a0 00000000 nt+0x3841d
8814fdc0 81e68a3e 81e72320 00000000 00000000 nt+0x1d5a1c
00000000 00000000 00000000 00000000 00000000 nt+0x2ea3e


STACK_COMMAND: kb

FOLLOWUP_IP:
Rtlh86+6a21
8753ea21 ?? ???

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: Rtlh86+6a21

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: Rtlh86.sys

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

Rtlh86.sys es un driver de audio de realtek, Ahorita voy a checar la memoria con la herramienta de diagnostico de memoria, Ustedes que opinan? son demasiados errores? o es que simplemente es windows vista! je sera algun virus?

Como se que version de driver de audio tengo, tengo que desinstalar el anterior para instalara el nuevo, y si es asi como lo desinstalo?

Pues cheque la memoria con la herramienta que trae windows y al parecer no hay ningun problema, es la que esta en Panel de Control>Herramientas Administrativas>Herramienta de diagnostico de memoria; Es lo mismo que el programa que ustedes mencionan (El memtest)?