Anzeige
[gelöst] BSOD Pointer REFERENCE BY POINTER
- Ersteller batcop
- Erstellt am
Anzeige
Silver Server
gehört zum Inventar
BUGCHECK_STR: 0x18
PROCESS_NAME: TmCCSF.exe
CURRENT_IRQL: 2
ANALYSIS_SESSION_HOST: DESKTOP-86JL115
ANALYSIS_SESSION_TIME: 09-28-2017 11:40:07.0761
ANALYSIS_VERSION: 10.0.16365.1002 amd64fre
Da ist das Programm TmCCCF.exe von Trend Micro abgestürzt.
PROCESS_NAME: TmCCSF.exe
CURRENT_IRQL: 2
ANALYSIS_SESSION_HOST: DESKTOP-86JL115
ANALYSIS_SESSION_TIME: 09-28-2017 11:40:07.0761
ANALYSIS_VERSION: 10.0.16365.1002 amd64fre
Da ist das Programm TmCCCF.exe von Trend Micro abgestürzt.
Ari45
gehört zum Inventar
Hallo batcop! 
Zuerst gleich das Debug-Ergebnis: den Absturz verursachte deine Sicherheitssoftwar von TrendMicro.
Der Debuggerlauf zeigt, dass der Besitzer des letzten Thread die Sicherheitssoftware von TrendMicro war. Diese Software hat beim Verringern des Referenzzählers einen Fehler gemacht.
Bitte die Software von TrendMicro deinstallieren. Schau auch nach, ob es ein spezielles Tool zum Deinstallieren gibt. Wenn nicht, die Software normal über die Systemsteuerung deinstallieren.
Zuerst gleich das Debug-Ergebnis: den Absturz verursachte deine Sicherheitssoftwar von TrendMicro.
REFERENCE_BY_POINTER (18)
Arguments:
Arg1: 0000000000000000, Object type of the object whose reference count is being lowered
Arg2: ffffa98321e0b920, Object whose reference count is being lowered
Arg3: 0000000000000006, Reserved
Arg4: ffffffffffffffff, Reserved
....
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: 0x18
PROCESS_NAME: TmCCSF.exe
....
Der letzte aktive Thread
3: kd> !thread
THREAD ffffa983237e27c0 Cid 0e8c.13f4 Teb: 0000000334956000 Win32Thread: 0000000000000000 RUNNING on processor 3
Not impersonating
GetUlongFromAddress: unable to read from fffff800e99c02d4
Owning Process ffffa983274b1080 Image: TmCCSF.exe
Besitzer ist TrendMicro TmCCSF.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 16146482
Context Switch Count 860 IdealProcessor: 3
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffd760876d0
Stack Init ffffcc0022e7ac90 Current ffffcc0022e798e0
Base ffffcc0022e7b000 Limit ffffcc0022e75000 Call 0000000000000000
Priority 9 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Auszug aus den Stack
nt!KeBugCheckEx
nt!IopDecrementDeviceObjectRef + 0x12f2e6
nt!IopDeleteFile + 0x1b9
Die referenzierte Datei wurde gelöscht. Der Referenzzähler soll verringert werden.
Da aeber das Object nicht mehr existiert und auch schon aus dem Referenzzähler entfernt wurde,
kommt es zum Stoppfehler
nt!ObpRemoveObjectRoutine + 0x7e
Das zugehörige Objekt wird entfernt
nt!ObfDereferenceObjectWithTag + 0xc6
nt!ObCloseHandleTableEntry + 0x272
Ein Prozess wird geschlossen
nt!NtClose + 0xcb
nt!KiSystemServiceCopyEnd + 0x13
0x7ffd76c55584
Gelesen von unten nach oben
Arguments:
Arg1: 0000000000000000, Object type of the object whose reference count is being lowered
Arg2: ffffa98321e0b920, Object whose reference count is being lowered
Arg3: 0000000000000006, Reserved
Arg4: ffffffffffffffff, Reserved
....
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: 0x18
PROCESS_NAME: TmCCSF.exe
....
Der letzte aktive Thread
3: kd> !thread
THREAD ffffa983237e27c0 Cid 0e8c.13f4 Teb: 0000000334956000 Win32Thread: 0000000000000000 RUNNING on processor 3
Not impersonating
GetUlongFromAddress: unable to read from fffff800e99c02d4
Owning Process ffffa983274b1080 Image: TmCCSF.exe
Besitzer ist TrendMicro TmCCSF.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 16146482
Context Switch Count 860 IdealProcessor: 3
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffd760876d0
Stack Init ffffcc0022e7ac90 Current ffffcc0022e798e0
Base ffffcc0022e7b000 Limit ffffcc0022e75000 Call 0000000000000000
Priority 9 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Auszug aus den Stack
nt!KeBugCheckEx
nt!IopDecrementDeviceObjectRef + 0x12f2e6
nt!IopDeleteFile + 0x1b9
Die referenzierte Datei wurde gelöscht. Der Referenzzähler soll verringert werden.
Da aeber das Object nicht mehr existiert und auch schon aus dem Referenzzähler entfernt wurde,
kommt es zum Stoppfehler
nt!ObpRemoveObjectRoutine + 0x7e
Das zugehörige Objekt wird entfernt
nt!ObfDereferenceObjectWithTag + 0xc6
nt!ObCloseHandleTableEntry + 0x272
Ein Prozess wird geschlossen
nt!NtClose + 0xcb
nt!KiSystemServiceCopyEnd + 0x13
0x7ffd76c55584
Gelesen von unten nach oben
Bitte die Software von TrendMicro deinstallieren. Schau auch nach, ob es ein spezielles Tool zum Deinstallieren gibt. Wenn nicht, die Software normal über die Systemsteuerung deinstallieren.
Michael_Bo
gehört zum Inventar
Moin,
Das Problem mit dem Trend Micro sehe ich auch als gelöst.
Sich nur auf den aktiven Process zu stützen kann gelegentlich nach hinten losgehen.
WinDbg gibt einen Hinweis welches Objekt abhanden gekommen ist
Das hätte durchaus ein NTFS Filtertreiber sein können, LAN/WLAN Treiber usw.
Geht man dem Argument nach da im Stack so nichts zu sehen ist, stolpert man hierüber:
Der negative Referenzcount bestätigt uns das hier auch.
Das Driverobjekt wird ebenfalls ausgewiesen
Übeltäter eindeutig dingfest gemacht, das Trend Micro Common Modul & damit shame on Trend Micro
Ob es möglich ist sich einen Stacktrace zu bauen um den dort auch mal zu sehen wäre aufwändiger und nicht zwingend von Erfolg gekrönt; man hat ja ein belastbares Ergebnis..
Problem gelöst
Das Problem mit dem Trend Micro sehe ich auch als gelöst.
Sich nur auf den aktiven Process zu stützen kann gelegentlich nach hinten losgehen.
WinDbg gibt einen Hinweis welches Objekt abhanden gekommen ist
Code:
REFERENCE_BY_POINTER (18)
Arguments:
Arg1: 0000000000000000, Object type of the object whose reference count is being lowered
Arg2:[COLOR="#0000FF"] ffffa98321e0b920[/COLOR], Object whose reference count is being lowered
Arg3: 0000000000000006, Reserved
Arg4: ffffffffffffffff, ReservedDas hätte durchaus ein NTFS Filtertreiber sein können, LAN/WLAN Treiber usw.
Geht man dem Argument nach da im Stack so nichts zu sehen ist, stolpert man hierüber:
Code:
Device object (ffffa98321e0b920) is for:
Cannot read info offset from nt!ObpInfoMaskToOffset
Unable to load image \SystemRoot\system32\DRIVERS\tmcomm.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for tmcomm.sys
*** ERROR: Module load completed but symbols could not be loaded for tmcomm.sys
[COLOR="#FF0000"]\Driver\tmcomm[/COLOR] DriverObject [COLOR="#00FF00"]ffffa98320af6820[/COLOR]
Current Irp 00000000 [COLOR="#FF0000"]RefCount -1[/COLOR] Type 00000022 Flags 00000040
SecurityDescriptor ffff968de05e10b0 DevExt 00000000 DevObjExt ffffa98321e0ba70
ExtensionFlags (0000000000)
Characteristics (0x00000100) FILE_DEVICE_SECURE_OPEN
Device queue is not busy.Der negative Referenzcount bestätigt uns das hier auch.
Das Driverobjekt wird ebenfalls ausgewiesen
Code:
Driver object (ffffa98320af6820) is for:
\Driver\tmcomm
Driver Extension List: (id , addr)Übeltäter eindeutig dingfest gemacht, das Trend Micro Common Modul & damit shame on Trend Micro
Ob es möglich ist sich einen Stacktrace zu bauen um den dort auch mal zu sehen wäre aufwändiger und nicht zwingend von Erfolg gekrönt; man hat ja ein belastbares Ergebnis..
Problem gelöst
Anzeige