懂windbg调试蓝屏的大虾进来帮帮忙

dhu2060427

懂windbg调试蓝屏的大虾进来帮帮忙 [复制链接]

Loading Dump File [C:\Users\nemo\Desktop\062509-15734-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.          *
* Use .symfix to have the debugger choose a symbol path.                  *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7100 MP (2 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7100.0.amd64fre.winmain_win7rc.090421-1700
Machine Name:
Kernel base = 0xfffff800`02a66000 PsLoadedModuleList = 0xfffff800`02c9fe90
Debug session time: Thu Jun 25 00:02:42.110 2009 (GMT+8)
System Uptime: 0 days 0:03:11.032
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
...........
Loading User Symbols
Loading unloaded module list
....
Unable to load image \SystemRoot\System32\drivers\dxgkrnl.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for dxgkrnl.sys
*** ERROR: Module load completed but symbols could not be loaded for dxgkrnl.sys
*******************************************************************************
*                                                                            *
*                        Bugcheck Analysis                                    *
*                                                                            *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 116, {fffffa8000f73010, fffff88004863f7c, ffffffffc0000001, 3}

Unable to load image \SystemRoot\system32\DRIVERS\atikmdag.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for atikmdag.sys
*** ERROR: Module load completed but symbols could not be loaded for atikmdag.sys
***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************

ypyuan

*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!KPRCB                                      ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!KPRCB                                      ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*************************************************************************
***                                                                  ***
***                                                                  ***
***    Your debugger is not using the correct symbols                ***
***                                                                  ***
***    In order for this command to work properly, your symbol path  ***
***    must point to .pdb files that have full type information.      ***
***                                                                  ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                  ***
***    Type referenced: nt!_KPRCB                                    ***
***                                                                  ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                  *
* The Symbol Path can be set by:                                    *
*  using the _NT_SYMBOL_PATH environment variable.                *
*  using the -y argument when starting the debugger. *
*  using .sympath and .sympath+                                    *
*********************************************************************
Probably caused by : atikmdag.sys ( atikmdag+11f7c )

Followup: MachineOwner

hewitt09

机器蓝屏，求教解决方案，一玩游戏就蓝屏，好像是加载atikmdag.sys时失败
不知道有什么方法解决
ps：没钱换卡，驱动也换了N个了

anchen_1984

暂停玩游戏

接个活赚点钱

换卡继续玩游戏

zeno83121

咬死3楼的

anticrane

应该是驱动的问题  atikmdag.sys ( atikmdag+11f7c ) 从这儿看应该是这里的函数的问题 ，但是这个地址关联到那个请求的处理就不知道了，要是你开发的话 你自己逆向下看看。

否则的话你换个驱动试验下，

如果不是的话 那么你真的就听三楼的换个卡吧  
咬死人犯罪哦！
呵呵！

azhe

最新蓝屏信息
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Probably caused by : ati2mtag.sys ( ati2mtag+442fa )

Followup: MachineOwner
---------

青年

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

VIDEO_TDR_FAILURE (116)
Attempt to reset the display driver and recover from timeout failed.
Arguments:
Arg1: fffffa800146a010, Optional pointer to internal TDR recovery context (TDR_RECOVERY_CONTEXT).
Arg2: fffff88003ed5f7c, The pointer into responsible device driver module (e.g. owner tag).
Arg3: ffffffffc0000001, Optional error code (NTSTATUS) of the last failed operation.
Arg4: 0000000000000003, Optional internal context dependent data.

Debugging Details:
------------------


FAULTING_IP:
atikmdag+11f7c
fffff880`03ed5f7c 488bc4          mov     rax,rsp

DEFAULT_BUCKET_ID:  GRAPHICS_DRIVER_TDR_FAULT

CUSTOMER_CRASH_COUNT:  1

BUGCHECK_STR:  0x116

PROCESS_NAME:  System

CURRENT_IRQL:  0

STACK_TEXT:  
fffff880`03665a18 fffff880`02cf6cbc : 00000000`00000116 fffffa80`0146a010 fffff880`03ed5f7c ffffffff`c0000001 : nt!KeBugCheckEx
fffff880`03665a20 fffff880`02cca569 : fffff880`03ed5f7c fffffa80`023de000 00000000`00000000 fffffa80`01c87410 : dxgkrnl!TdrBugcheckOnTimeout+0xec
fffff880`03665a60 fffff880`02cf6a69 : fffffa80`0146a010 fffffa80`0146a010 fffffa80`0146a010 fffffa80`01c87410 : dxgkrnl!DXGADAPTER::PrepareToReset+0x109
fffff880`03665aa0 fffff880`02d9df07 : fffffa80`0146a010 00000000`00000000 fffffa80`02a47d50 fffffa80`01c87410 : dxgkrnl!TdrIsRecoveryRequired+0x245
fffff880`03665ad0 fffff880`02dcbd7e : fffffa80`ffffffff 00000000`00008718 fffff880`03665c30 00000000`00000002 : dxgmms1!VidSchiReportHwHang+0x40b
fffff880`03665bb0 fffff880`02d9929e : fffffa80`01c87410 ffffffff`feced300 fffffa80`01449010 00000000`00000000 : dxgmms1!VidSchWaitForCompletionEvent+0x196
fffff880`03665bf0 fffff880`02dc5e7a : 00000000`00000000 fffffa80`01449010 00000000`00000080 fffffa80`01c87410 : dxgmms1!VidSchiScheduleCommandToRun+0x1b2
fffff880`03665d00 fffff800`0291be66 : 00000000`02feccac fffffa80`00cd6b10 fffffa80`00ccb040 fffffa80`00cd6b10 : dxgmms1!VidSchiWorkerThread+0xba
fffff880`03665d40 fffff800`02648a86 : fffff800`027fde80 fffffa80`00cd6b10 fffffa80`020c0060 00000000`00000000 : nt!PspSystemThreadStartup+0x5a
fffff880`03665d80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KxStartSystemThread+0x16


STACK_COMMAND:  .bugcheck ; kb

FOLLOWUP_IP:
atikmdag+11f7c
fffff880`03ed5f7c 488bc4          mov     rax,rsp

SYMBOL_NAME:  atikmdag+11f7c

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: atikmdag

IMAGE_NAME:  atikmdag.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  49b5d099

FAILURE_BUCKET_ID:  X64_0x116_IMAGE_atikmdag.sys

BUCKET_ID:  X64_0x116_IMAGE_atikmdag.sys

Followup: MachineOwner
---------

0: kd> lmvm atikmdag
start             end                 module name
fffff880`03ec4000 fffff880`043e6000   atikmdag T (no symbols)           
    Loaded symbol image file: atikmdag.sys
    Image path: \SystemRoot\system32\DRIVERS\atikmdag.sys
    Image name: atikmdag.sys
    Timestamp:        Tue Mar 10 10:29:45 2009 (49B5D099)
    CheckSum:         004D554D
    ImageSize:        00522000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

liukaiyue

PROCESS_NAME:  System
这行信息告诉你，导致蓝屏的是：system.exe进程。

百度一下system得到：
system.exe是netcontroller木马病毒生成的文件，出现在c:\windows目录下，建议将其删除。但要与系统的system进程区分开来。system进程是没有.exe的。

也就是说，你中毒了……