Modrá smrt - Page Fault in Nonpaged Area

Prosím o radu se samovolným restartem PC.

Projížděl sem různé diskuze, ale většinou byl problém v pamětech. V mém případě se jedná o celkem 4 PC zapojené v jedné síti. V síti běží celkem 10 PC ale jen u čtyř sem se setkal s tímto problémem. Na PC je systém Win 2000 Professional a samovolný restart probíhá tak 2x až 3x denně nezávisle na aplikaci či pořadí PC. Restart není pravidelný. Jsou dny, kdy PC v pořádku běží.

Nevím zda to může být příčinou, ale restarty začaly poté, co se přešlo na novou verzy NOD32. PC s os Win2000 se začali restartovat, kdežto PC s winXP pracují normálně. Žádné jiné instalace ani výměna hardware se neprováděla. OS do té doby pracoval stabilně bez problému.

Prosím tedy o rady:
Na modré obrazovce je tato hláška
0x00000050 (0xff96008, 0x0...., ....)
Page Fault in Nonpaged Area
adresa F043042 B base at F0430000, Date Stamp 3c57a7b7-oaFile.sys

přikládám log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:40, on 4.1.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\OA7\oaServerNT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.20.249.254:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O16 - DPF: Microsoft WFC Forms Designer - file://\\server02\Inst\APPS\VJ60\VJ98\wfcforms.cab
O16 - DPF: Visual Studio 6 Extensibility Libraries - file://\\server02\Inst\APPS\VJ60\VJ98\vstudio6.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zalany.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zalany.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zalany.local
O20 - Winlogon Notify: oaKel - C:\WINNT\SYSTEM32\oaKel.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Vision Control Manager (MeSuSrvc) - Unknown owner - C:\Program Files\GenevaLogic\Vision\XL\MeSuAx.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: oaServerNT - Unknown owner - C:\Program Files\OA7\oaServerNT.EXE

--
End of file - 4437 bytes

Předem moc děkuju za pomoc.[/b]

Obrázek uživatele Jiří Molnár

Dobrý den ...

Tím novým NODem myslíte asi ESET SMART SECURITY, že ano?
K logo:
Doporučuji fixnout tyto dva řádky:
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O23 - Service: Vision Control Manager (MeSuSrvc) - Unknown owner - C:\Program Files\GenevaLogic\Vision\XL\MeSuAx.exe (file

missing)

Jinak bez problémů.

K modré smrti: Jaký používáte souborový systém na oddílu? Není to náhodou FAT či FAT32, asi ano že, když na nich provozujete WIN 2000?! Soubor totiž vypsaný v modré smrti by tomu odpovídal. Instalováním nového Nodu, který je bohatým balíčkem po stránce firewallu i anti-spywaru, se jen spustil určitý problém s tímto ovladačem, který se bohužel vyskytuje ...

Obrázek uživatele resetoman
[15404] moje smrt

Ano používám ESet Smart Security a souborový systém je FAT32. Nového noda jsem zkusil odinstalovat dnes, ale hned po nainstalování staré verze Noda a nuceném restaru po instalaci mě po přihlášení skočila modrá smrt. Po restartu jsem aktualizoval noda, ale jestli bude nějaká změna nevím-to ukáže až čas. Jinak děkuji za pozornost mému příspěvku a věřím, že se dobereme nějakého výsledku.

Obrázek uživatele Jiří Molnár

Od toho tu přeci jsme...
Napadl mě však ještě jedna možnost řešení a tak si musím teď vybrat, kterou použijeme. Proto mi prosím ještě řekněte, nemáte na pc nainstalovaný OptimAccess? Soubor, který je totiž uveden v modré smrti s tím souvisí, ale potřebuji mít jistotu.
(soubor v modré smrti by měl být na této adrese: WINDOWS\system32\drivers\oafile.sys)

Obrázek uživatele resetoman
[15406] Re:

Dobrý večer,
omlouvám se, že reaguji až tak pozdě, ale jsem pracovně mimo. Abych cokoli vyzkoušel a mohl podat hlášení, se mi podaří nejdříve ve čtvrtek. Jedná se o počítačovou učebnu a jelikož na dané pozi nejsem dlouho, nemám ještě dostatečný přehled o nainstalovaném softwaru. I když program OptimAccess by pro počítače sloužící k výuce byl zajisté přínosem, myslím že jsem ho na PC nainstalovaný neviděl. Jedná se o malou školu s malým rozpočtem a tento program s multilicencí tu asi nemá šanci. Přesnější informace podám určitě ve čtvrtek až budu v práci. Jinak ještě jednou děkuji za ochotu pomoci.

Obrázek uživatele Diallix
[15407] Re:

Sorry za vstup, ale kolega urobil mensie chybicky co sa tika logu.
Sluzba O3 nie je vobec nezezpecna, skor si dovolujem povedat, ze je nevyhnutna.Sluzby O23 sa nemoze fixovat, pac je to sluzba, ktora sa moze len ukoncit (zastavit)
Preto si dovolujem kolegu troska poopravit.

Start >> Spustit >> napiste services.msc, z ponuky vahladajte tuto sluzbu :
Vision Control Manager
,
poklikajte po nej a zastavte ju, alebo zakazte. Restartujte pocitac.

Akste zafixoval tu O3, tak urobte nasledovne.
Otvorte Program HijackThis a kliknite na "View the list of backups"
Z ponuky vyhladajte
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
oznacte ju v ramceku na lavej strane a kliknite na "Restore".

Nasledne urobte novy log z HijackThis a ten dajte sem.

Toto otestujte na virustotal.com:
C:\WINNT\SYSTEM32\oaKel.dll
C:\Program Files\OA7\oaServerNT.EXE
Uploadnite a poskajte kym subory pojdu na expertizu.Po chvylke Vam zacne skenovanie.Vysledky z neho dajte sem.

Obrázek uživatele resetoman
[15408] Re:

Za vstup se neomlouvejte - jsem jen rád.
Zatím jsem se k fixnutí logu ani nedostal - nebyl sem v učebně. Žádné fixování tedy provádět nebudu. Ve čtvrtek na to vlítnu a napíšu jak to vypadá se dvěma soubory co půjdou na test k virustotal.com. Jinak také pokud by to k něčemu bylo, sem mohu přihodit log ze stanice v síti, kde je původní NOD32 a PC se nerestaruje. Nevím zda by to k něčemu bylo, ale stačí říct.

Obrázek uživatele Diallix
[15409] Re:

Log, o ktorom hovorite, tu date v tedy, pokial nic nepomoze ok?

Obrázek uživatele resetoman
[15410] Re:

Tak jsem dnes projížděl oba dva soubory co jste mi doporučil. A výsledek je následující:
u souboru C:\WINNT\SYSTEM32\oaKel.dll
byl jediný záznam v kolonce ....

Antivirus Verze Poslední aktualizace Výsledek
DrWeb 4.44.0.09170 2008.01.10 STPAGE.Trojan

a u souboru C:\Program Files\OA7\oaServerNT.EXE
byl také jediný záznam a to ....

Antivirus Verze Poslední aktualizace Výsledek
Panda 9.0.0.4 2008.01.10 Suspicious file

Tudíž nějaký troják v tom asi bude - poradíte jak dál?
Děkuji

Obrázek uživatele Diallix
[15411] Re:

Mne sa nezda ani jeden subor dobry.Google hlasilo, ze je neznamy a obe hodnoty spolu nadviazuju. Castlecops je tiez hluche.

Urobte log z combofixu, aby som mohol napisat navod na presne zmaznutie.

Quote:
stahnete a ulozte na plochu

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, stisknete klavesu 1 pro pokracovani

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), postupujte dle pokynu na obrazovce, behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate Spyware Terminator, prepnete jeho rezidentni stit do Install Mode, pripadne jej po dobu skenu uplne deaktivujte, protoze se pri skenu Combofix pokousi infikovane soubory smazat a Spyware Terminator tomu muze branit

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

Obrázek uživatele resetoman
[15412] problémek

Dobrý den, tak jsem spustil ComboFix a byl vytvořen log, jenže hned poté jsem na počítače musel pustit školáky. Po pokusu žáka o přihlášení ale počítač najednou nenajíždí do systému. Je tam pouze loadovací obrazovka. Po restartu počítač nenajede ani do nouzového režimu. Sice tam po hodně dlouhé době skočí přihlašovací tabulka, ale tam vše končí. Počítač nezamrzne ale z obrazovky: "Počkejte prosím. Nastavení počítače" se to už nepohne. Zřejmě za to může ComboFix, ale jak to napravit??? Děkuji za případné rady.

Obrázek uživatele Diallix

Ked idete do nudzoveho rezimu, co vam tam hlasi?

Obrázek uživatele resetoman
[15414] re:

Nic nehlásí, ale asi až po deseti minutách tam skočí přihlašovací nabídka a když ji vyplnim, tak se jako zjišťuje nastavení sítě a počítače, ale to se zjišťuje nekonečně dlouho. Nechal sem to běžet asi tak dvě hodiny, ale do woken se to nepřihlásilo. Z toho stavu nic nedělání se ale dostanu do správce úloh! Když ale zkusím přeba otevřít novou aplikaci, tak okno pro spuštění už nereaguje-ani se tam nedá psát.

Obrázek uživatele Diallix
[15415] Re: re:

Skusal ste dat poslednu znamu konfiguraciu?

"Last Know Good Configuration"

Obrázek uživatele resetoman
[15416] re:

ano i tuto možnost jsem zkoušel, bohužel výsledek stejný

Obrázek uživatele Diallix
[15417] Re: re:

Teraz som troska v pomykove, pretoze s tymto, co sa stalo vam, nemam ziadne skusenosti, vlastne vidim to prvy krat. Ak je to zapricinene pomocou combofixu, tak tomu nechapu. Poradim sa s kolegou po ICQ a zajtra vam dam urcite vediet.

Obrázek uživatele resetoman
[15418] re:

Dobrý večer,
jen se chci zeptat, jestli už jste přišli na to, co se s počítačem mohlo stát a proč nechce naběhnout. Nerad bych musel systém opravovat pomocí systémového CD :)
Předem děkuji za zájem o můj případ.

Také bych chtěl dodat, že problém s modrou smrtí zatím ustal s odinstalováním nové verze NOD32. Píši zatím, protože to je zatím týden, co jsem se s samovolným restartem nesetkal.

Obrázek uživatele Diallix
[15419] Re: re:

Co sa tyka toho nenajizdeni, tomu vazne nerozumiem.Ja takyto problem vidim prvy krat, ale riesim to a zistujem mozne priciny. Mne nevedel ani odpovedat kolega z viry.cz tak som z toho v pomykove. Keby bol neaky zachytny bod, ktory by vyhladalo na google, ale pocitac moze byt spomaleny z milion pricin.
Kazdopadne sa este dohodnem s neakymi ludmi, potom urcite dam vediet.