Modrá smrt po odhlášení uživatele (vyřešeno)

[bunak]

Mám takovýhle problém. Mám WinXPSP2CZ se čtyřmi uživateli (členy rodiny) pokud se uživatel přihlásí vše funguje bezchybně. Pokud se ale uživatel odhlásí (aby uvolnil místo dalšímu členu rodiny) nebo se po spuštění PC nepřihlásí, pak za cca 10 - 15 minut pokud není nikdo přihlášen, skončí systém v modré smrti s hláškou driver_irql_less .... kod D1. Upresnujici popis je ruzny jednou je to driver pro usb, jednou tcpip ... . PC je Sempron 2,8/512M/80G IDE. Memtest ani po 10 pruchodech nehlasi zadnou chybu. Viry ani spyware ne. Mam Avast home, Spybot, Kerio. Kerio to take nedela, odinstaloval jsem.
Poradíte? Díky za každý návrh.

[Reklama]

[bunak]

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:20:50, on 6.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\HIJACK\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.atlas.cz/?from=icqhp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk.disabled
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2964660000
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4193 bytes

[mikel]

Nic škodlivého jsem v logu nenaše, ale napadlo mě, jestli tvůj problém nemá něco společného s přechodem do úsporného režimu.
Jestli máš nastavený přechod do úsporného režimu po cca 10-15 min nečinosti, tak při pokusu o přechod může dojít k problému. Zkus ho vypnout pravým myšítkem na Ploše/Vlastnosti/Spořič obrazovky/Napájení.../přepni úsporný režim na Nikdy.
Vyzkoušej, jestli se to stane znova a dej vědět.

[bunak]

ve windozich mam nastaven sporic obrazovky po 1 minute a nastaveno nevypinat napajeni nikdy. Po odlogovani nabehne sporic (uplne jiny nez mam nastaveny po prilogovani) po cca 10 minutach. S nim to jeste chvili bezi a pak se to najednou hryzne. Taky jsem o tom uvazoval ze to dela vypnuti disku nebo synchra videa, ale nevim kde nastavit sporic a napajeni pro odlogovany system. Uzivatele jsou 4 dva admin 2 power user. Problem je ze to neni muj PC jinak by uz davno byl preinstalovanej.

[bunak]

Dela to opravdu cca pul minuty po spusteni screensaveru. Ale jak ho nastavit pro odlogovaná windows jsem nikde nenaašel

[bunak]

vypadá to že jsem to vyřešil. nějaká hra asi potřebovala ke svému běhu emulaci CD (nenašel jsem která asi už ji majitel smazal takovým tím typickým uživatelským způsobem, a to že smazal adresář), nebo spatně odinstalovaný DaemonTools. A po té hře (nebo DT) zbyl bezprizorní ovladač SPTD.sys, který zůstal zaregistrovaný ve windozech ačkoliv soubor už neexistoval. No a něco se ho snažilo spustit při spuštění screen saveru. Stačilo dát zobrazit ve správci zařízení skrytá zařízení a tam ho korektně odinstalovat. PC už běží s odhlášeným uživatelem asi 3/4 hodiny a tváří se že je vš v pořádku. Budu pozorovat déle a dám vědět. Díky fšem za pomoc.

[bunak]

taxem to zakřik modrá smrt je tu zas, ale až skoro po hodině provozu. jdu hledat dál

[Pic]

Jestli uživatelé odstraňují nepotřebné programy smazáním, asi bude vhodné udělat důkladnou očistu PCccleanerem a regcleanerem a ani to možná nebude stačit.

[bunak]

pccleaner nasel par veci ale vetsinou susenky a neco v temp, neco malo pak v registrech. pokusil se to odstranit, regcleaner nenasel nic, asi to bude tim ze jsem predtim poustel cisteni registru ze spybotu Uzivatele se po telefonu dusujou ze nic nesmazali Takze dalsi spusteni. Pokud se nepovede tak bude osobni pohovor s uzivatelem.

[bunak]

Zkousel jsem nabootovat z CD a chtel jsem zkusit opravu. Bohuzel strart woken z CD konci ve chvili kdy se prepina system do modu windozu, resp. pred tim nez se me zepta co chci udelat (po natazeni vsech souboru ovladacu) a to modrou smrti s kodem 71

[mikel]

Jestliže je kód opravdu 71, tak máš problém s inicializací Woken. Může to být chyba NTDLL.dll, NTOSKRNL.exe
A jestliže je problém tady, věstí to možné větší problémy s celým OS.

A protože se ti nepovedlo ani najet opravnou konzoli, jsou Wokna zralé na kompletní reinstal. Pochopil jsem, že to děláš pro někoho, tak to bude docela kláda. Takže můžeš zkusit:

1. Rozjet opravnou konzoli a zkopírovat soubory z instalačního CD pomocí:
copy d:\i386\ntdll.dll c:\windows\system32
expand d:\i386\ntoskrnl.ex_ c:\windows\system32
d: je označení CD/DVD mechaniky

2. Asi nejlepší bude domluvit se s dotyčným(i) a provést kompletní zálohu a reinstal (samozřejmě s formátem).

[bunak]

Wokna porad bezej, neni problem. Jen ta konzole nechce nastartovat, coz je divny. Ale to bych ted neresil. Zjistoval jsem kde je problem s tou modrou smrti a narazil jsem na to, ze kdyz prihlasenemu uzivateli ve sprave napajeni dam po urcite dobe vypnout disky, tak jsou wokna do kopru, teda modra smrt. To same se asi deje pri odhlasenem uzivateli. Problem ale je, ze nevim jak to nastavit pro odhlaseny system. Kdyby se mi podarilo nastavit ze pri odhlasenem systemu se disk nevypina, mel bych vyhrano. Myslel sem ze to prebira nastaveni z administratorskyho uctu, ale neni tomu tak. A strycek Guuuuuugl o tom taktne mlci Kdybyste nekdo vedel kde to v registrech nastavit, tak by to byla boooooooomba.