Reboots intempestifs

Discussion in 'LnS French Forum' started by forgetms, Apr 2, 2005.

Thread Status:
Not open for further replies.
  1. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour,
    depuis que j'ai changé d'antivirus (abandon de Viruscan de McAfee pour Avast), mon ordi reboot de façon intempestives lorsque j'utilise un navigateur (mêmes problèmes avec Internet Explorer ou avec Firefox). L'analyse du Dump par Windebug me donne Look'n stop responsable du reboot.
    J'ai essayé de désinstaller puis de réinstaller Look'n stop mais rien n'y fait.
    Merci de votre aide.

    Ma config: Windows XP SP2, Look 'n Stop 2.05p2 et Avast 4.6 Edition Familiale.

    ci joint 1 fichier Minidump.
     

    Attached Files:

  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Utilisez-vous bien la version 2.05p2 de Look 'n' Stop ?

    Si oui, avez-vous mis le driver beta (dispo en sticky post) ou obtenez-vous ce crash avec le driver officiel ?

    Le minidump est effectivement exploitable pour comprendre ce qui se passe, mais j'aimerais avoir la version du driver que vous utilisez.

    Merci,

    Frédéric
     
  3. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour et merci de votre aide.
    J'ai d'abord eu le problème avec le driver officiel de la version 2.05p2 et j'ai essayé avec le driver beta (dispo en sticky post) pendant une quinzaine de jour mais cela n'a rien changé.
    depuis la désinstallation et réinstallation de LN'S, je suis de nouveau avec le driver officiel 2.05p2.

    NB: Les dump (WinDbg 6.4) ont tjs donné le même résultat final quelque soit le driver.

    "Unable to load image lnsfw.sys, Win32 error 2
    *** WARNING: Unable to verify timestamp for lnsfw.sys
    *** ERROR: Module load completed but symbols could not be loaded for lnsfw.sys
    *** ERROR: Module load completed but symbols could not be loaded for ndiswan.sys
    Unable to load image alcan5wn.sys, Win32 error 2
    *** WARNING: Unable to verify timestamp for alcan5wn.sys
    *** ERROR: Module load completed but symbols could not be loaded for alcan5wn.sys
    Probably caused by : lnsfw.sys ( lnsfw+31a7 )"
     
  4. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    rebonjour à Frédéric,
    je relance car je suis resté sans réponse suite à ta question auquelle j'ai répondu dans le message précédent. Tu disais que le dump était exploitable.
    Je suis tjs ennuyé avec ce problème.
    Merci de ta réponse.
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Et désolé de ne pas avoir donné de réponse.
    Malheureusement, l'investigation initiale rapide et simple ne donne rien, il va falloir regarder plus en détail (toujours à partir du .dmp) ce qui se passe exactement, ce qui prend du temps...

    J'essaye de vous donner des infos dès que possible.

    Avez-vous activé des fonctions spéciales du filtrage internet: TCP SPI, Filtrage des protocoles ? si oui, pourriez-vous essayez sans, pour voir si cela change quelque chose ? Merci.

    Frédéric
     
  6. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Merci de ta réponse,
    non le filtrage des protocoles est désactivé, idem pour TCP Stateful Packet Inspection.
     
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Pourriez-vous me renvoyer un Minidump montrant ce problème en précisant la version de Look 'n' Stop utilisée ainsi qu'éventuellement les versions béta des drivers utilisés ?

    Merci,

    Frédéric
     
  8. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour,
    Je n'utilise pas de version beta pour le moment.
    la version de LN'S utilisée pour le moment est 2.05 p2 (Oct 5 2004).
    ci-joint un minidump tout frais
    Dans l'attente, merci.
     

    Attached Files:

  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ok, merci.
    Le problème pourrait être la conséquence d'un grand nombre d'alertes soudaines dans le sens PC>>Internet.
    Du coup les réponses aux questions suivantes seraient utiles:
    Avez-vous des règles spéciales qui alertes sur des paquets dans ce sens UL ?
    Constatez-vous effectivement souvent des alertes UL dans le journal ?
    Quand le problème survient est-ce effectivement lors d'un traffic plus important que d'habitude ?

    Pourriez-vous installer l'utilitaire suivant:
    http://www.sysinternals.com/ntw2k/freeware/debugview.shtml et le lancer en tache de fond de manière systématique (il s'inscrit dans le Tray).
    Il permet de récupérer les logs internes du drivers, il faut que dans le menu Capture, l'option "Capture Kernel" soit cochée. Ensuite il faut réobtenir un MiniDump alors que cet utilitaire était actif au momen du crash.

    Merci,

    Frédéric
     
  10. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Merci de votre réponse,
    je mets tout cela en place et je vous recontacte.
    NB: j'utilise le jeu classique de règles évoluées avec une autorisation du port 123 pour la mise à jour automatique de l'horloge.
    Voulez-vous que je vous envoie un journal LN'S et le jeu de règles utilisées.
    Ce qui est sur c'est que cela survient quand je sollicite beaucoup mon navigateur (le plus souvent juste après le clic sur un lien).
    Pourriez-vous me préciser ce que vous entendez par paquets ULo_O?
     
  11. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    UL signifie UpLink c'est à dire le sens PC=>Internet (par opposition à DL pour DownLink qui indique le sens Internet => PC).

    Frédéric
     
  12. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68

    J'ai la même config (sans reboot) !!

    Tu n'aurais pas validé des options avancées par hazard ?
     
  13. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour,
    1. Pour Frédéric voici un un fichier .dmp avec DebugView en tache de fond.
    2. Oui j'utilise le mode avancé, je vais le décocher pour voir si absence de Reboot.
     

    Attached Files:

  14. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    J'ai regardé de plus près les dumps , et il semble que Look 'n' Stop soit configuré pour Avertir (attribut ! sur une règle) sur des paquets standards (genre http). Est-ce normal ?
    J'ai l'impression que le problème est du à un trop grand nombre d'alertes à être remontées.
    Quelles sont les règles qui ont le ! de coché ?

    Frédéric
     
  15. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour,
    et merci de ta réponse, toutes mes règles ont le !. Je n'ai jamais touché à cela depuis que j'utilise LN'S
    Ci-joint une capture d'écran.
    Si c'est le problème merci de me faire savoir lesquelles je dois décocher.
    Merci.
     

    Attached Files:

  16. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
    Attention si tu as la fonction avancée "Contrôler l'injection de thread" avec la fonction "prévention de l'exécution des données" (DEP, Data Execution Prevention) introduite avec le SP2 de Windows-XP, alors c'est peut être là ton problème...

    Solution: esaie de desactiver "Contrôler l'injection de thread" dans LnS
     
  17. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Ce ne sont pas les mêmes problèmes, car ici c'est le driver lnsfw.sys qui est en cause alors que dans le cas du NX Bit/DEP c'est lnsfw1.sys.

    Vu la configuration des règles, je confirme que le problème doit venir d'un trop grand nombre de paquets à traiter et à remonter à Look 'n' Stop. Tous les paquets sont remontés en fait, ce qui génère un flux très important.

    En général seules les règles qui bloquent sont intéressantes à suivre, donc je vous conseille déjà de décocher le ! pour toutes les règles qui n'ont pas le sens interdit.
    Ensuite selon l'activité du journal peut être qu'il sera aussi intéressant de bloquer de manière silencieuse d'autres paquets.

    Les jeux de règles fournis en standard avec Look 'n' Stop ne cochent pas le ! pour les règles qui autorisent, je ne sais donc pas comment vous êtes arrivé à ce jeux de règles o_O

    Frédéric
     
  18. forgetms

    forgetms Registered Member

    Joined:
    Aug 2, 2003
    Posts:
    33
    Bonjour,
    merci beaucoup à Frédéric pour son aide, je ne sais pas non plus ce qui est arrivé ( mes enfants, ados, ont aussi accès à l'ordinateur familialo_O?).
    J'ai décoché tout ce qui n'est pas "sens interdit" et je vous tiens au courant.
    :)
     
Thread Status:
Not open for further replies.