Reboots intempestifs

Bonjour,
depuis que j'ai changé d'antivirus (abandon de Viruscan de McAfee pour Avast), mon ordi reboot de façon intempestives lorsque j'utilise un navigateur (mêmes problèmes avec Internet Explorer ou avec Firefox). L'analyse du Dump par Windebug me donne Look'n stop responsable du reboot.
J'ai essayé de désinstaller puis de réinstaller Look'n stop mais rien n'y fait.
Merci de votre aide.

Ma config: Windows XP SP2, Look 'n Stop 2.05p2 et Avast 4.6 Edition Familiale.

ci joint 1 fichier Minidump.

 

Bonjour,

Utilisez-vous bien la version 2.05p2 de Look 'n' Stop ?

Si oui, avez-vous mis le driver beta (dispo en sticky post) ou obtenez-vous ce crash avec le driver officiel ?

Le minidump est effectivement exploitable pour comprendre ce qui se passe, mais j'aimerais avoir la version du driver que vous utilisez.

Merci,

Frédéric

 

Bonjour et merci de votre aide.
J'ai d'abord eu le problème avec le driver officiel de la version 2.05p2 et j'ai essayé avec le driver beta (dispo en sticky post) pendant une quinzaine de jour mais cela n'a rien changé.
depuis la désinstallation et réinstallation de LN'S, je suis de nouveau avec le driver officiel 2.05p2.

NB: Les dump (WinDbg 6.4) ont tjs donné le même résultat final quelque soit le driver.

"Unable to load image lnsfw.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for lnsfw.sys
*** ERROR: Module load completed but symbols could not be loaded for lnsfw.sys
*** ERROR: Module load completed but symbols could not be loaded for ndiswan.sys
Unable to load image alcan5wn.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for alcan5wn.sys
*** ERROR: Module load completed but symbols could not be loaded for alcan5wn.sys
Probably caused by : lnsfw.sys ( lnsfw+31a7 )"

 

rebonjour à Frédéric,
je relance car je suis resté sans réponse suite à ta question auquelle j'ai répondu dans le message précédent. Tu disais que le dump était exploitable.
Je suis tjs ennuyé avec ce problème.
Merci de ta réponse.

 

Bonjour,

Et désolé de ne pas avoir donné de réponse.
Malheureusement, l'investigation initiale rapide et simple ne donne rien, il va falloir regarder plus en détail (toujours à partir du .dmp) ce qui se passe exactement, ce qui prend du temps...

J'essaye de vous donner des infos dès que possible.

Avez-vous activé des fonctions spéciales du filtrage internet: TCP SPI, Filtrage des protocoles ? si oui, pourriez-vous essayez sans, pour voir si cela change quelque chose ? Merci.

Frédéric

 

Merci de ta réponse,
non le filtrage des protocoles est désactivé, idem pour TCP Stateful Packet Inspection.

 

Bonjour,

Pourriez-vous me renvoyer un Minidump montrant ce problème en précisant la version de Look 'n' Stop utilisée ainsi qu'éventuellement les versions béta des drivers utilisés ?

Merci,

Frédéric

 

Bonjour,
Je n'utilise pas de version beta pour le moment.
la version de LN'S utilisée pour le moment est 2.05 p2 (Oct 5 2004).
ci-joint un minidump tout frais
Dans l'attente, merci.

 

Ok, merci.
Le problème pourrait être la conséquence d'un grand nombre d'alertes soudaines dans le sens PC>>Internet.
Du coup les réponses aux questions suivantes seraient utiles:
Avez-vous des règles spéciales qui alertes sur des paquets dans ce sens UL ?
Constatez-vous effectivement souvent des alertes UL dans le journal ?
Quand le problème survient est-ce effectivement lors d'un traffic plus important que d'habitude ?

Pourriez-vous installer l'utilitaire suivant:
http://www.sysinternals.com/ntw2k/freeware/debugview.shtml et le lancer en tache de fond de manière systématique (il s'inscrit dans le Tray).
Il permet de récupérer les logs internes du drivers, il faut que dans le menu Capture, l'option "Capture Kernel" soit cochée. Ensuite il faut réobtenir un MiniDump alors que cet utilitaire était actif au momen du crash.

Merci,

Frédéric

 

Merci de votre réponse,
je mets tout cela en place et je vous recontacte.
NB: j'utilise le jeu classique de règles évoluées avec une autorisation du port 123 pour la mise à jour automatique de l'horloge.
Voulez-vous que je vous envoie un journal LN'S et le jeu de règles utilisées.
Ce qui est sur c'est que cela survient quand je sollicite beaucoup mon navigateur (le plus souvent juste après le clic sur un lien).
Pourriez-vous me préciser ce que vous entendez par paquets UL?

 

UL signifie UpLink c'est à dire le sens PC=>Internet (par opposition à DL pour DownLink qui indique le sens Internet => PC).

Frédéric

 

J'ai la même config (sans reboot) !!

Tu n'aurais pas validé des options avancées par hazard ?

 

Bonjour,
1. Pour Frédéric voici un un fichier .dmp avec DebugView en tache de fond.
2. Oui j'utilise le mode avancé, je vais le décocher pour voir si absence de Reboot.

 

Bonjour,

J'ai regardé de plus près les dumps , et il semble que Look 'n' Stop soit configuré pour Avertir (attribut ! sur une règle) sur des paquets standards (genre http). Est-ce normal ?
J'ai l'impression que le problème est du à un trop grand nombre d'alertes à être remontées.
Quelles sont les règles qui ont le ! de coché ?

Frédéric

 

Bonjour,
et merci de ta réponse, toutes mes règles ont le !. Je n'ai jamais touché à cela depuis que j'utilise LN'S
Ci-joint une capture d'écran.
Si c'est le problème merci de me faire savoir lesquelles je dois décocher.
Merci.

 

Attention si tu as la fonction avancée "Contrôler l'injection de thread" avec la fonction "prévention de l'exécution des données" (DEP, Data Execution Prevention) introduite avec le SP2 de Windows-XP, alors c'est peut être là ton problème...

Solution: esaie de desactiver "Contrôler l'injection de thread" dans LnS

 

Bonjour,

Ce ne sont pas les mêmes problèmes, car ici c'est le driver lnsfw.sys qui est en cause alors que dans le cas du NX Bit/DEP c'est lnsfw1.sys.

Vu la configuration des règles, je confirme que le problème doit venir d'un trop grand nombre de paquets à traiter et à remonter à Look 'n' Stop. Tous les paquets sont remontés en fait, ce qui génère un flux très important.

En général seules les règles qui bloquent sont intéressantes à suivre, donc je vous conseille déjà de décocher le ! pour toutes les règles qui n'ont pas le sens interdit.
Ensuite selon l'activité du journal peut être qu'il sera aussi intéressant de bloquer de manière silencieuse d'autres paquets.

Les jeux de règles fournis en standard avec Look 'n' Stop ne cochent pas le ! pour les règles qui autorisent, je ne sais donc pas comment vous êtes arrivé à ce jeux de règles

Frédéric

 

Bonjour,
merci beaucoup à Frédéric pour son aide, je ne sais pas non plus ce qui est arrivé ( mes enfants, ados, ont aussi accès à l'ordinateur familial?).
J'ai décoché tout ce qui n'est pas "sens interdit" et je vous tiens au courant.