BSOD 0x00000005 при выключении рабочей станции

Коллеги, Добрый день!
Был установлен последний релиз (5.0.32580.1142) Firewall с активированной проактивной защитой.
Рабочая станция в домене предприятия - windows xp sp3.
Антивирус Microsoft Security Essentials (1 версия).
Рабочая станция находится в подсети вида 192.168.201.ххх.
Контроллер домена находится в подсети вида 192.168.178.ххх.
Логин в домен происходит, групповые политики применяются, “шары” тоже работают. С этим вопросов нет.
Собственно проблема: при выключении компьютера, уже в самый последний момент, когда на экране уже прошло “Закрытие сетевых подключений” и “Завершение работы…”, т.е. в этот момент должно идти выключение питания - вызывается BSOD 0х00000005.
В логах работы системы при этом фиксируется следующее сообщение:

Тип события: Уведомление
Источник события: Application Popup
Категория события: Отсутствует
Код события: 26
Дата: 16.12.2010
Время: 8:47:24
Пользователь: Н/Д
Компьютер: ххххххххххххх
Описание:
Всплывающее окно приложения: SAS window: winlogon.exe - Ошибка приложения :
Инструкция по адресу “0x7c911689” обратилась к памяти по адресу “0x00000000”. Память не может быть “read”.

“ОК” – завершение приложения
“Отмена” – отладка приложения

Завершаю работу кнопкой, после включения компьютер прогружается и собственно работает нормально. Проблема только в этом BSOD в конце выключения/перезагрузки.
Выключение компонент Firewall и Проактивная защита ничего не дало. Помогает только полная деинсталляция продукта.

Кто что может подсказать по этому поводу ?
Заранее спасибо.

Почитайте эти ссылки:

http://forum.3dnews.ru/showthread.php?&f=65&t=66043

http://forum.3dnews.ru/showthread.php?&f=5&t=63755

tnx2000, Winlogon.exe и msgina.dll стандартные? Вообще, маловато инфы, покажите хотя бы анализ дампа. Или содержание синего экрана, по крайней мере.

Winlogon.exe и msgina.dll стандартные
Windows понятное дело официально куплена, т.к. организация.
Или содержание синего экрана - все написано “иероглифами”, кроме с0х00000005
Попробую включить запись дампа, только чем его потом проанализировать ?

У вас, судя по журналу, именно винлогон падает, а Windows можно в любой момент отправить в BSOD (правда с другим кодом) если просто винлогон прибить.

Винда локализованная? Но там хотя бы имя сбойнувшего модуля должно быть.

http://www.microsoft.com/whdc/devtools/debugging/default.mspx

Попробую включить запись дампа, только чем его потом проанализировать ?
[url=http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx#a][b]Windows32[/b][/url] [url=http://www.microsoft.com/whdc/devtools/debugging/install64bit.mspx#][b]Windows64[/b][/url]

но удобнее использовать BlueScreenView(фришка, есть поддержка русского языка - файл русификации утилиты на странице загрузки+визуальный просмотр дампа BSOD и зависимых ошибок)

Пытался отследить дамп. При падении системы создается файл дампа, но он пустой :frowning:
Сделал скриншоты мобильным телефоном.

[attachment deleted by admin]

Всё правильно, код 21A, неожиданное завершение Winlogon, дампы можно и не смотреть, надо разбираться, почему винлогон падает. Посмотрите, для начала, какая библиотека в винлогоне по тому адресу, в котором падает. Хотя бы FARом, процесс эксплорером или ListDLLs - Sysinternals | Microsoft Learn

Я так понимаю, что мне надо анализировать адрес 0хс0000005. Но по этому адресу в данный момент, когда все работает, ничего не содержится. Вернее не так - этот адрес никем не занят.
А как отследить, что происходит с ним в момент выключения/логаута пользователя ?

Нет, этот адрес Вы не проанализируете, там, (примерно) всё равно видеопамять и это не адрес, а код ошибки. Под адресом я имел в виду 0x7c911689, там должна быть ntdll.dll. По идее, Вам стоит проверить, нет ли каких-то “левых” библиотек в системе и в винлогоне в частности и проверить их валидность, хотя бы по наличию подписей. Это вполне можно сделать процесс эксплорером Process Explorer - Sysinternals | Microsoft Learn Проще всего, покажите скриншот(ы) вот такого типа:

http://img227.imageshack.us/img227/6493/88888l.th.png

для винлогона (так, чтобы все библиотеки было видно) или посмотрите сами. Просто так винлогон не падает, это редчайшие случаи и обычно они сводятся или к заражениям, или к кривому софту третьих сторон.

Неплохо было бы взглянуть хотя бы на O20 - Winlogon Notify в логе HijackThis.
(_http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe)
Запустить HijackThis. В появившемся окне I Accept. Далее "Do a system scan and save a logfile. По умолчанию лог сохраняется в папке программы с именем hijackthis.log.

Для ntoskrnl: посмотрите скриншоты - может что подскажете?

[attachment deleted by admin]

Для zil968 : секции О20 в отчете HijackThis нет вообще. Есть только О18 и потом сразу О22.

Попробуйте временно избавиться от uphclean.dll (это часть User Profile Hive Cleanup Service) и включите в опциях процесс эксплорера Verify Image Signatures, убедитесь, что все подписи нормально проверяются.

P.S. Сразу не обратил внимания, у Вас окно со скинами, это какая-то сборка или чего?

А что говорит SFC /VERIFYONLY ?

Для ntoskrnl: Вы были правы :slight_smile: Если можно бы было - добавил бы + 100 к рейтингу.
Удалил User Profile Hive Cleanup Service (давно когда-то его поставил, уже не помню зачем).
Три раза выключался - ошибок нет.

Всем спасибо за помощь и участие.
Я думаю тему можно закрывать.