SoloCodigo

Informática en general => Dudas informáticas => Mensaje iniciado por: Mollense en Domingo 2 de Septiembre de 2007, 01:52

Título: Archivos Minidump
Publicado por: Mollense en Domingo 2 de Septiembre de 2007, 01:52

Hola gente.

Últimamente se me está reiniciando la máquina y no tengo idea del porqué.

He visto que cada vez que se reinicia me crea un archivo minidump pero no se como analizarlo, ¿Necesito alguna herramienta para hacerlo? ¿Windows XP trae alguna?

En fin... si pueden comentarme algo al respecto se agradece.

El último archivo es el que adjunto.

Un saludo :beer:

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Domingo 2 de Septiembre de 2007, 02:21

Podes usar el Visual Studio pero lo ideal es usar el WinDbg (busca Debugging tools for Windows, son gratis). De cualquier manera estos archivos son utiles solo si podemos obtener los simbolos del Kernel y por lo que veo no es posible hacerlo desde el servidor de Microsoft mediante el minidump que adjuntaste ... tal vez si adjuntas tu Kernel (ntoskrnl.exe - imagino que no es modificado -) pueda conseguirlos.

Título: Re: Archivos Minidump
Publicado por: Mollense en Domingo 2 de Septiembre de 2007, 02:36

Cita de: "Eternal Idol"

Podes usar el Visual Studio pero lo ideal es usar el WinDbg (busca Debugging tools for Windows, son gratis). De cualquier manera estos archivos son utiles solo si podemos obtener los simbolos del Kernel y por lo que veo no es posible hacerlo desde el servidor de Microsoft mediante el minidump que adjuntaste

...bajando.

Gracias

Título: Re: Archivos Minidump
Publicado por: F_Tanori en Domingo 2 de Septiembre de 2007, 02:51

aqui hay unas paginas

http://support.microsoft.com/kb/315263/es (http://support.microsoft.com/kb/315263/es)
http://www.networkworld.com/news/2005/0411...dows-crash.html (http://www.networkworld.com/news/2005/041105-windows-crash.html)


Saludos

Título: Re: Archivos Minidump
Publicado por: Mollense en Domingo 2 de Septiembre de 2007, 06:50

Cita de: "F_Tanori"

aqui hay unas paginas

http://support.microsoft.com/kb/315263/es (http://support.microsoft.com/kb/315263/es)
http://www.networkworld.com/news/2005/0411...dows-crash.html (http://www.networkworld.com/news/2005/041105-windows-crash.html)


Saludos

... leyendo.

Gracias viejo :beer:

Título: Re: Archivos Minidump
Publicado por: Mollense en Domingo 2 de Septiembre de 2007, 20:21

Novedades:

Ya tengo Windbg

Cargué el minidump y efectivamente me saltó esto:

Citar

kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: e49fd000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 80537072, If non-zero, the instruction address which referenced the bad memory
   address.
Arg4: 00000001, (reserved)

Debugging Details:
------------------

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

Ahora estoy tratando de descargar los simbolos del Kernel de esta forma (Que no se si es la correcta):

Código: Text

1. symchk /r c:\windows\system32\ntoskrnl.exe
2.  

y
Obtengo un monton de mensajes del estilo:

Citar

*** WARNING: Unable to verify timestamp for hal.dll
*** ERROR: Module load completed but symbols could not be loaded for hal.dll
*** WARNING: Unable to verify timestamp for kmixer.sys
*** ERROR: Module load completed but symbols could not be loaded for kmixer.sys
*** WARNING: Unable to verify timestamp for HTTP.sys
*** ERROR: Module load completed but symbols could not be loaded for HTTP.sys
*** WARNING: Unable to verify timestamp for secdrv.sys

y al final

Citar

Couldn't resolve error at 'ymchk /r c:\windows\system32\ntoskrnl.exe'

¿Como sigo desde acá? :think:

Gracias

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Domingo 2 de Septiembre de 2007, 20:26

symchk es un ejecutable aparte, no un comando del WinDbg.

Primero te diria que probaras con el WinDbg asi:
.symfix c:\symbols
.reload
.reload /f ntoskrnl.exe

Si eso no funciona proba con el symchk.exe (esta en el mismo directorio que el WinDbg).

Título: Re: Archivos Minidump
Publicado por: Mollense en Lunes 3 de Septiembre de 2007, 15:37

:argh:

Bajé un paquete de símbolos de esta página (http://www.microsoft.com/whdc/devtools/debugging/symbolpkg.mspx)
y lo instalé en C:\WINDOWS\SYMBOLS
Cambié el Symbol File Path... del Windbg pero nada.

Probé con lo que dice EI así (Probé de varias formas):

Citar

kd> .symfix C:\WINDOWS\SYMBOLS
kd> .reload
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
....................................................................................................................................
Loading User Symbols
Loading unloaded module list
............................
kd> .reload /f ntoskrnl.exe
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

y obtengo eso.

En cuanto a symchkSi alguien tiene algo que pueda leer es bien recibido porque tampoco pude hacer nada. :lightsabre:

Un saludo :beer:

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Lunes 3 de Septiembre de 2007, 16:42

Como te decia no puedo bajar los simbolos de tu Kernel. Puede haber una serie de razones, que tengas un Kernel modificado (lo suelen hacer para cambiar la imagen de inicio de Windows por ejemplo, un Rootkit aunque es poco probable tambien), una version que sea un patch en particular para el cual no haya simbolos o que este fallando el servidor y que con symcheck si lo logres conseguirlo. Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:

symchk /r c:\windows\system32\ntoskrnl.exe


Si asi y todo no funciona proba a subir el Kernel ... fijate con el Process Explorer si te verifica el ejecutable. Vas al proceso System con la ventana de abajo como View Dlls, le das doble click a Ntosrknl.exe y despues a Verify.

Título: Re: Archivos Minidump
Publicado por: Mollense en Lunes 3 de Septiembre de 2007, 17:47

Cita de: "Eternal Idol"

Como te decia no puedo bajar los simbolos de tu Kernel. Puede haber una serie de razones, que tengas un Kernel modificado (lo suelen hacer para cambiar la imagen de inicio de Windows por ejemplo, un Rootkit aunque es poco probable tambien), una version que sea un patch en particular para el cual no haya simbolos o que este fallando el servidor y que con symcheck si lo logres conseguirlo. Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:

symchk /r c:\windows\system32\ntoskrnl.exe


Si asi y todo no funciona proba a subir el Kernel ... fijate con el Process Explorer si te verifica el ejecutable. Vas al proceso System con la ventana de abajo como View Dlls, le das doble click a Ntosrknl.exe y despues a Verify.

Que manera de haber cosas que uno no sabe!! ¿no?  :blink:

Ahora si entiendo.

Aunque poco probable no es imposible, efectivamente  :ouch: hace un tiempo instalé un paquete que cambia el aspecto de Windows XP "Vista Transformation Pack 6.0".

Citar

Para probar eso solo tenes que abrir el cmd, ir al mismo directorio donde esta WinDbg.exe y poner lo que pusiste en el WinDbg:

symchk /r c:\windows\system32\ntoskrnl.exe

Si, también lo había hecho pero no, igual ahora ya sabemos por que.

En fin...

Back UP...
Format C:...
Reinstal...
...no instalar porquerías.

De todo esto saco algo bueno y es que aprendí muchas cosas interesantes.

PD: En estas instancias, solamente por curiosidad...
ntoskrnl.exe no me figura en la lista del process explorer. ¿Hay que agregarlo de alguna manera?

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Lunes 3 de Septiembre de 2007, 19:34

Cita de: "Mollense"

Aunque poco probable no es imposible, efectivamente  :ouch: hace un tiempo instalé un paquete que cambia el aspecto de Windows XP "Vista Transformation Pack 6.0".

Lo dudo, aunque lo estoy bajando en un zip para ver que trae.

Cita de: "Mollense"

PD: En estas instancias, solamente por curiosidad...
ntoskrnl.exe no me figura en la lista del process explorer. ¿Hay que agregarlo de alguna manera?

No tenes Kernel  :P Seguramente tengas el ntkrnlpa.exe que es el que se usa con el PAE activado.

Título: Re: Archivos Minidump
Publicado por: Mollense en Lunes 3 de Septiembre de 2007, 19:53

Cita de: "Eternal Idol"

No tenes Kernel

Con razón esta porquería se reinicia a cada rato!

Bueno, en serio, efectivamente, tengo este ntkrnlpa.exe-->Doble click-->Verify: "(Unable to verify)"
No se puede verificar.  :scream:

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Lunes 3 de Septiembre de 2007, 20:13

Cita de: "Mollense"

Bueno, en serio, efectivamente, tengo este ntkrnlpa.exe-->Doble click-->Verify: "(Unable to verify)"
No se puede verificar.  :scream:

Jeje, tener el PAE no es problema pero que no se pueda verificar significa que no es una version confiable, es un ejecutable modificado y no un original de Microsoft. Por eso no podemos conseguir los simbolos ni analizar correctamente el minidump.

Título: Re: Archivos Minidump
Publicado por: Mollense en Lunes 3 de Septiembre de 2007, 22:43

Listo, Ratifico

Citar

Back UP...
Format C:...
Reinstal...
...no instalar porquerías.

Es lo mejor que puedo hacer (Si ustedes vieran mi disco!! :ph34r: )

Gracias por todo.

Un saludo :comp:

Título: Re: Archivos Minidump
Publicado por: Eternal Idol en Lunes 3 de Septiembre de 2007, 23:09

De nadas  B) Y la verdad es que no suelo recomendar re-instalar pero en el caso de no tener un Kernel de original  :scream:

Título: Re: Archivos Minidump
Publicado por: lencho en Jueves 6 de Septiembre de 2007, 02:58

Yo tampoco recomiendo reinstalar (No tengo idea del problema que te sucedio), pero cuando el problema, no me deja trabajar y pierdo varios dias, no lo vuelvo a pensar y manos a la obra(reinstall).


Saludos.


BYTE.

Título: Re: Archivos Minidump
Publicado por: Mollense en Viernes 12 de Octubre de 2007, 04:47

Cita de: "Mollense"

Citar

Back UP...
Format C:...
Reinstal...

Por fin, jeje...

ntkrnlpa.exe-->Doble click-->Verify: "(Verified) Microsoft Windows Component Publisher"

Nunca sabré que fué lo que pasó pero ya pasó :P

Saludos  B)