Olimpo Informatico

[agatina]

da una settimana quando ho un filmato sul pc, che sia sul web, wmplayer, avi trimmer ad un certo punto il pc si blocca e da' la schermata di errore blu spegnendosi con l dicitura "driver irgql not less or equal". la cpu e' spesso al 50 percento o piu', e non riesco a capire cos'e'. cmq in genere e' rallentato tutto. grazie

[R16]

Ciao agatina
Vediamo se può dipendere da qualche infezione.

Pulisci i files temporanei con CCleaner
http://forum.zeusnews.com/viewtopic.php?p=282670#282670

1)Segui le istruzioni di questo topic per eliminare gli ADS:
http://forum.zeusnews.com/viewtopic.php?t=45223

2)Scarica e installa la versione Free di SuperAntispyware:
link
la configuri come da immagini :
http://www.zeusnews.it/zz_upload/img/PSV/SAS/7477731.jpg
http://www.zeusnews.it/zz_upload/img/PSV/SAS/9926902.jpg
Esegui una scansione completa.

3)Segui le istruzioni di questo topic per usare MBAM:
http://forum.zeusnews.com/viewtopic.php?p=297823#297823
Esegui una scansione completa.

4)Segui le istruzioni di questo topic per postare il log di HiJackThis:
http://forum.zeusnews.com/viewtopic.php?t=23440

5)Carica i log di SuperAntispyware, MBAM, e HiJackThis su WikiSend (o FreeFileHosting) e posta il Forum Link che ti viene assegnato.
link

[agatina]

ecco. spero di aver fatto tutto giusto

http://wikisend.com/download/497358/hijackthis.log
http://wikisend.com/download/564692/mbam-log-2010-03-06 (22-37-02).txt
http://wikisend.com/download/544978/SUPERAntiSpyware Scan Log - 03-06-2010 - 19-03-35.log

[R16]

Ciao.
Hai installato HijackThis, in una cartella temporanea.
Ti consiglio di disistallarlo, e riscaricarlo in "programmi" oppure "Documenti.

I log, non presentano, infezioni.
Proviamo a fare una scansione con Combofix:
Segui le istruzioni di questo topic per usare Combofix:
http://forum.zeusnews.com/viewtopic.php?t=45224
Posta il log, con le solite modalità.

[agatina]

eccolo

http://wikisend.com/download/546972/log.txt

[R16]

Ciao.
Anche Combofix, non ha trovato un gran chè...
Segui le istruzioni di questo topic per rimuovere combofix: http://forum.zeusnews.com/viewtopic.php?t=47670
Se il problema persiste:
Proviamo ad aggiornare FlashPlayer:
Per aggiornare FlashPlayer segui questa procedura:
Scarica il programma di disinstallazione di FlashPlayer
link

Scarica l'ultima versione di FlashPlayer per IE
link

Scarica l'ultima versione di FlashPlayer non per IE
link

Scarica l'ultima versione di Java:
link
Se in fase di installazione, ti venisse rchiesta l'installazione di qualche Toolbar,(Yahoo! per esempio) non la installare.

[agatina]

purtroppo non cambia un gran che, tra l'altro nel secondo link di flash player non per internet non sono riuscito a trovare il programma che indicavi.
in sostanza: all'avvio il pc impiega un bel po' piu' del solito, la musichetta classica di xp iniziale "gracchia", e in task manager la cpu è sempre tra il 50 e 60 percento, con uno dei processi svchost sempre sui 40000 kb.
e tutt piuttosto lento, oltre alla schermata blu che arriva ogni tanto usando i player.
boh

[R16]

Ciao.
Prendo in prestito, un suggerimento di bdoriano in un'altro topic:
Scarica Process Explorer:
link
Clicca su View e poi su Show lower pane
Seleziona il processo svchost incriminato, poi File, Save As..., così dovresti vedere i sotto-processi attivi, o a quale programma si riferisce quel svchost.

[agatina]

provo a postarti il risultato, anche se non è che ci capisca molto.

Process PID CPU Description Company Name
System Idle Process 0 96.92
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4 0.77
smss.exe 576 Windows NT Session Manager Microsoft Corporation
csrss.exe 1156 Client Server Runtime Process Microsoft Corporation
winlogon.exe 1248 Applicazione Accesso a Windows NT Microsoft Corporation
services.exe 1292 0.77 Applicazione Servizi e Controller Microsoft Corporation
nvsvc32.exe 1484 NVIDIA Driver Helper Service, Version 195.62 NVIDIA Corporation
svchost.exe 1520 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1600 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1796 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1924 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 252 Generic Host Process for Win32 Services Microsoft Corporation
CCSVCHST.EXE 536 Symantec Service Framework Symantec Corporation
spoolsv.exe 1660 Spooler SubSystem App Microsoft Corporation
ANIWZCSdS.exe 356 ANIWZCS2 Service Launcher Wireless Service
AluSchedulerSvc.exe 384 Automatic LiveUpdate Scheduler Service Symantec Corporation
svchost.exe 644 0.77 Generic Host Process for Win32 Services Microsoft Corporation
alg.exe 3732 Application Layer Gateway Service Microsoft Corporation
jqs.exe 1384 Java(TM) Quick Starter Service Sun Microsystems, Inc.
symlcsvc.exe 2568
lsass.exe 1304 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 1944 Esplora risorse Microsoft Corporation
emule.exe 3476 0.77 eMule http://www.emule-project.net
iexplore.exe 2992 Internet Explorer Microsoft Corporation
iexplore.exe 1920 Internet Explorer Microsoft Corporation
iexplore.exe 2688 Internet Explorer Microsoft Corporation
WINZIP32.EXE 500 WinZip WinZip Computing, S.L.
procexp.exe 1704 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
taskmgr.exe 2976 Task Manager di Windows Microsoft Corporation
ctfmon.exe 300 CTF Loader Microsoft Corporation

Process: svchost.exe Pid: 1924

Type Name
Desktop \Default
Directory \KnownDlls
Directory \Windows
Directory \BaseNamedObjects
File C:\WINDOWS\system32
File \Device\KsecDD
File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83
File \Device\NamedPipe\net\NtControlPipe6
File \Device\Tcp
File \Device\Ip
File \Device\Tcp
File \Device\Ip
File \Device\Ip
File C:\WINDOWS\system32\drivers\etc
File \Device\WMIDataDevice
File \Device\Tcp
File \Device\WMIDataDevice
Key HKLM
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Linkage
Key HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters\Interfaces
Key HKLM\SYSTEM\ControlSet001\Services\NetBT\Parameters
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent
Mutant \BaseNamedObjects\SHIMLIB_LOG_MUTEX
Port \RPC Control\DNSResolver
Process svchost.exe(1924)
Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
Thread svchost.exe(1924): 1928
Thread svchost.exe(1924): 180
Thread svchost.exe(1924): 184
Thread svchost.exe(1924): 3688
Thread svchost.exe(1924): 3888
Thread svchost.exe(1924): 3888
Thread svchost.exe(1924): 3720
Thread svchost.exe(1924): 3688
Thread svchost.exe(1924): 3720
WindowStation \Windows\WindowStations\Service-0x0-3e4$
WindowStation \Windows\WindowStations\Service-0x0-3e4$

[R16]

Ciao.
Comunque, nel momento che hai postato queste informazioni, la CPU è normale. (3-4%)
Adesso, clicca con il tasto destro, sopra lo svchost.exe che richiede molte risorse.
Clicca su "Properties... (proprietà) .
Ti esce una finetra dettagliata di chi è, e a cosa si riferisce quel svchost.exe
Dimmi a cosa si riferisce.

[agatina]

non so se ho guardato nel sottomenu giusto: nel sottomenu di properties services ho la dicitura "stisvc- acquisizione di immagini di windows (wia).

[R16]

Ciao.
Quel processo , viene installato automaticamente da Windows, quando viene installata una fotocamera o uno scanner.
E' legittimo.
Non è per caso, che i rallentamenti, e il problema della schermata blù , si siano verificati, dopo aver installato qualcosa?

[agatina]

avevo formattato da qualche mese, poi avevo caricato avi trimmer e avi demux. quest'ultimo lo disinstallo, tanto lo uso poco. sentendo l'audio "gracchiare" avevo pensato a un problema di scheda audio, mah... che dici, provo a riformattare di nuovo?
scusa ma ce n'è sempre una, questi pc sono un rebus..

[uomodeighiacci]

Scusate l'intromissione, potrebbe essere d'aiuto la Guida all'interpretazione del Blue Screen Of Death

[R16]

Ciao agatina.
Prima di formattare, potresti disistallare quei avi trimmer e avi demux.
Inutile formattare se poi, il problema si ripete.
Deve essere qualcosa che và in conflitto, con Windows.
Potresti anche, seguire il suggerimento di uomodeighiacci, per capire da dove provengono quei Crash.
Se poi, vuoi formattare, perchè sei stufa.......ti capirei.

[agatina]

non demordo! provo a seguire il suggerimentodi uomodeighiacci, senonaltro per curiosità... scarico queste cose e poi vi faccio sapere. intanto grazie!

[agatina]

ecco qua. questo è il risultato dopo il controllo fatto come indicato da uomodeighiacci. però...capirci! mi rimetto al vostro sapere!

Microsoft (R) Windows Debugger Version 6.11.0001.402 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini030810-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: c:\windows\symbols
Executable search path is:
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720
Debug session time: Mon Mar 8 17:39:19.703 2010 (GMT+1)
System Uptime: 0 days 21:30:12.464
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
Loading Kernel Symbols
...............................................................
................................................................
..........
Loading User Symbols
Loading unloaded module list
......................
Unable to load image viahduaa.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for viahduaa.sys
*** ERROR: Module load completed but symbols could not be loaded for viahduaa.sys
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 100000D1, {ad96a000, 2, 0, b0e830d8}

*** WARNING: Unable to verify timestamp for portcls.sys
*** WARNING: Unable to verify timestamp for ks.sys
*** WARNING: Unable to verify timestamp for monfilt.sys
*** ERROR: Module load completed but symbols could not be loaded for monfilt.sys
Probably caused by : viahduaa.sys ( viahduaa+280d8 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: ad96a000, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: b0e830d8, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: ad96a000

CURRENT_IRQL: 2

FAULTING_IP:
viahduaa+280d8
b0e830d8 3b0f cmp ecx,dword ptr [edi]

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xD1

PROCESS_NAME: System

LAST_CONTROL_TRANSFER: from b0e8634c to b0e830d8

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
af9109a0 b0e8634c ad969fe0 00000020 ad969fe0 viahduaa+0x280d8
af9109c4 b0e3e676 84483ae8 ad969fe0 ae6be000 viahduaa+0x2b34c
af9109ec b0e3e945 af910a01 00000020 af910a1c portcls!CPortPinWaveCyclic::Copy+0x56
af910a2c b0e3e11b 00025dc0 86294bc8 847ffb88 portcls!CPortPinWaveCyclic::RequestService+0x298
af910a44 b0e4d51f 844bce64 860aec78 00000000 portcls!CPortPinWaveCyclic::IrpSubmitted+0x32
af910a7c b0e5461a 00000000 860aec78 00000000 portcls!CIrpStream::TransferKsIrp+0x315
af910ab0 b0e4774d 00000000 896cce18 860aec78 portcls!CPortPinWaveCyclic::DeviceIoControl+0xf1
af910acc b32c7f1f 896cce18 860aec78 af910af4 portcls!DispatchDeviceIoControl+0x49
af910adc b0e478c0 896cce18 860aec78 896cced0 ks!KsDispatchIrp+0x126
af910af4 b0e47881 896cce18 860aec78 af910b34 portcls!KsoDispatchIrp+0x43
af910b04 b0fa1501 896cce18 860aec78 895f8000 portcls!PcDispatchIrp+0x5f
af910b34 804ef19f 896cce18 860aec78 c0000120 viahduaa+0x146501
af910bf8 af910ccc ad9a144d badb0d00 00000000 nt!MiFlushSectionInternal+0x256
af910c14 860aec78 895f8000 b0d9312b b0d9323d 0xaf910ccc
af910c18 895f8000 b0d9312b b0d9323d 860aec78 0x860aec78
af910c1c b0d9312b b0d9323d 860aec78 00000000 0x895f8000
af910c20 b0d9323d 860aec78 00000000 89436000 monfilt+0xb012b
af910c24 860aec78 00000000 89436000 89cdeac8 monfilt+0xb023d
af910c28 00000000 89436000 89cdeac8 804ef19f 0x860aec78


STACK_COMMAND: kb

FOLLOWUP_IP:
viahduaa+280d8
b0e830d8 3b0f cmp ecx,dword ptr [edi]

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: viahduaa+280d8

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: viahduaa

IMAGE_NAME: viahduaa.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4a24e854

FAILURE_BUCKET_ID: 0xD1_viahduaa+280d8

BUCKET_ID: 0xD1_viahduaa+280d8

Followup: MachineOwner
---------

[uomodeighiacci]

Io veramente non ci capisco molto, ma qui è scritto:

[agatina]

ehm... non sono proprio una cima..
immagino che dovrei rintracciare il cd originario, e se non lo trovassi?
mi potreste anche indicare come risalire a che scheda ho ?

[R16]

Ciao agatina.
Devi fare il possibile per trovare il CD d'installazione.
Perchè a mio avviso, oltre al driver segnalato da uomodeighiacci, (viahduaa.sys ) che si riferisce alla scheda audio, c'è anche un problema con il file ntoskrnl.exe. (che serve all'avvio (boot-up) di Microsoft Windows.)
Per cui, per eventualmente, ripristinarlo, c'è bisogno del CD di Installazione.
Oppure della Console di ripristino di emergenza .
In ogni caso, prima, bisogna cercare di aggiornare, i driver della scheda audio.
Per vedere la marca e il modello di scheda audio che è installata nel tuo pc, puoi usare questo software: Everest
link