Microsoftが先月末に出したMicrosoft Office File Validation Add-in
これインストールすると、
Excel 2003でネットワーク上のファイル共有からXLS ファイルを開く時に時間がかかる。
なーんていうバグがあってね。
この間見事に自社がこれにハマってさあ大変。
みたいになったんだ。
最初からバグフィックスしとけよって思うんだけど、
いざというとき有償でMicrosoftに「助けてお願い」っていうと
こんな感じで助けてくれるんだ。
以下H氏がMicrosoftから送られてきたというメールの転載
-----Original Message-----
Cc: c****il@microsoft.com; jp***gr@microsoft.com; Kei**** Yam****o; M****to A****a; T****ri ****
Subject: [REG:111032908368230] イベントID 1003(エラーコード 0x0000003b)について
*** 様
いつも大変お世話になっております。
マイクロソフト Windows プラットフォーム サポート 担当エンジニア** ** (**** ****) で御座います。
お問い合わせ頂きました以下の件について、回答致します。
[お問い合わせ番号]
111032908368230
[タイトル]
イベントID 1003(エラーコード 0x0000003b)について
[お問い合わせの概要]
- 環境
Windows Server 2003 x64 SP2
- 現象/問い合わせ内容
イベントID 1003(エラーコード 0x0000003b)が発生し自動的に再起動を繰り返す。
現在月に2回から3回ほど強制的に再起動を繰り返している状態である。
また、インストールされているアプリケーションは、以下の通りとなる。
SQL Server 2005
NOD32
[回答]
お問い合わせいただきました現象について、ダンプ解析の結果を報告いたします。
- 概要
====================================================================================
サードパーティ製品のセキュリティソフトをコンピュータ上で実行すると、今回ご質問いただいた現象が発生することがございます。
この問題は、同製品のカーネル モード ドライバーの不正動作が生じた場合に発生いたします。
今回の現象は上記問題に該当していると考えられます。
- 原因
====================================================================================
お寄せ頂きましたお客様の情報より、2011/03/25 10:46:18. に STOP エラーがコンピュータ名:"AIK_KP_SERVER" にて発生しておりました。
バグチェックのコードは、0x0000003B (0x00000000c0000005, 0xfffff800012876c5, 0xfffffadf23c4ff40, 0x0000000000000000) SYSTEM_SERVICE_EXCEPTION (3b) でした。
このコードは、プログラム動作中の異常を示すものでした。
ダンプ取得時のスタックトレースの状況より、CPU#0 の Adobe reader 8.0 起動時において異常が検知されておりました。
ダンプ取得時のメモリ情報より、アドレス 0xfffffadf`35ddd400 の Adobe reader 8.0 用のメモリ情報の一部が不正な状態にされており、この不
正となった情報を元に動作した為、STOP エラーが発生したことを確認しました。
解析の結果、上記メモリ情報に対して CPU#3 で動作するサードパーティ製品プロセス ekrn.exe が不正な状態でアクセスを複数回に渡って行われ
ていることを確認しました。
この現象につきましては、プログラム動作時の問題を無くすことが現象の回避策となります。
なぜ、ekrn.exe をお使いの環境にて異常が発生するのかという点につきましては、ekrn.exe の動作が不明な為、弊社ではお伝えすることができま
ません。
この ekrn.exe につきましては、「eset nod32 antivirus」のプロセスと考えられます。
不正動作の原因につきましては、処理の流れから ekrn.exe 内部の動作について確認を行う必要がご座います。
Windows OS では、プログラムの実行時に問題を検出すると、Windows の処理を中断してバグチェックを行うことで、エラーの原因がどのドライ
バーに問題があるか検出することができます。
このバグチェックを基に作成されるメモリダンプはプログラムの製造元が解析することで、プログラムの問題点を改修する上で、重要な判断材料と
なります。
※Windows OS では、コンピュータが予期せず停止したときに、デバッグ情報書き込みを 3種類から選べます。
「完全メモリダンプ」は、システム メモリの内容をすべて記録します。一方、「カーネル メモリ ダンプ」はカーネル メモリのみを記録する為、
記録にかかる時間が短縮されます。
既定の設定では、ブルー スクリーンが表示された後、C:\Windows の直下に「メモリーダンプファイル」(memory.dmp)が保存されます。
お客様問題解決の一助となりましたら、幸いでございます。
- 回避方法
====================================================================================
現状ベースで、お客様環境およびダンプ取得時の情報からできる対処策につきましては次が考えられます。
1. セキュリティソフト更新状況の確認
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
対処方法につきましては、まず ekrn.exe が最新版のモジュールであるかをご確認の上、該当する製品のアップデート等で解決するかどうかを含
め、提供元にご確認いただきたく存じます。
※サードパーティ製品(マイクロソフトと関連のない他社の製品)のお取り扱いに関しましては、提供元に問い合わせ下さいますようお願い申し上
げます。
- 以下は、システム情報の抜粋です。
[実行中のタスク]
名前 パス プロセス_ID 優先度 最小ワーキング_セット 最大ワーキング_セット 開始時刻 バージョン サイズ ファ
イル日付
ekrn.exe c:\program files\eset\eset nod32 antivirus\x86\ekrn.exe 1312 8 200 1380 2011/03/27
5:15 4.0.474.9 718.71 KB (735,960 バイト) 2009/12/09 18:55
[読み込まれているモジュール]
名前 バージョン サイズ ファイル日付 製造元 パス
ekrn 4.0.474.9 718.71 KB (735,960 バイト) 2009/12/09 18:55 ESET c:\program files\eset\eset nod32
antivirus\x86\ekrn.exe
[サービス]
表示名 名前 状態 起動モード サービスの種類 パス エラー制御 開始名 タグ_ID
ESET Service ekrn 実行中 自動 独自プロセス "c:\program files\eset\eset nod32 antivirus\x86\ekrn.exe" 標準
LocalSystem 0
[システム ドライバ]
名前 説明 ファイル 種類 開始 起動モード 状態 状態 エラー制御 一時停止を認める 停止を認める
ehdrv ehdrv c:\windows\system32\drivers\ehdrv.sys カーネル ドライバ はい システム 実行中 OK 標準 いい
え はい
eamon eamon c:\windows\system32\drivers\eamon.sys ファイル システム ドライバ はい 自動 実行中 OK 標準 いい
え はい
2. セキュリティソフトの無効化/設定確認
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
仮に、今回の問題がドライバーの問題であると仮定した場合、ウイルス対策ソフトの製品部分の停止(サービス・スタートアップ含む)等によって
回避される可能性もございます。
まず、この点を切り分ける上でも、該当する製品の停止で解決するかどうかご確認いただきたく存じます。
※対策リスク:当対処を行いますとウイルス対策ソフトに関する常駐プログラムも停止いたします。STOP エラーは発生しなくなる半面、リアルタ
イムスキャンを含め定義ファイルのアップデートも行われなくなることが想定されます。
そのため、古い定義ファイル使用によるウイルス感染のリスクが高くなる弊害がございますので、特にネットワークに接続され外部にアクセス可能
な環境(新しいファイルを取り込むような)の場合にはご注意ください。
- ご参考
次のベンダーサイトに関連する情報がご座いました。
No.ETLC40005
タイトル:サーバーOSにESET NOD32アンチウイルスをインストールする場合の推奨設定は?
URL:http://canon-its.jp/supp/eset/etlc40005.html
- 詳細(技術的な情報です、サードベンダー殿へのご確認に際してご利用下さい。)
以下は、メモリダンプの解析結果となります。
Kernel Summary Dump File: Only kernel address space is available
Windows Server 2003 Kernel Version 3790 (Service Pack 2) MP (4 procs) Free x64
Product: Server, suite: TerminalServer SingleUserTS Built by: 3790.srv03_sp2_gdr.100216-1301 Machine Name:
Kernel base = 0xfffff800`01000000 PsLoadedModuleList = 0xfffff800`011d4140 Debug session time: Fri Mar 25 10:46:18.946 2011 (UTC +
9:00) Bugcheck code 0000003B Arguments 00000000`c0000005 fffff800`012876c5 fffffadf`23c4ff40 00000000`00000000
上記は、発生時刻と STOP コードです。コード 0x0000003B にて STOP エラーが発生しました。
0: kd> !process 0xfffffadf35ddd430 0
PROCESS fffffadf35ddd430
SessionId: 1 Cid: 01c8 Peb: 7efdf000 ParentCid: 0fc4
DirBase: 8d33e000 ObjectTable: fffffa800425cc90 HandleCount: 0.
Image: reader_sl.exe
///この処理で起動させようとしていたプロセスです。Adobe reader 8.0(reader_sl.exe)であることがわかります。
0: kd> !process -1 0
PROCESS fffffadf35c7a040
SessionId: 1 Cid: 0fc4 Peb: 7efdf000 ParentCid: 0868
DirBase: 88c44000 ObjectTable: fffffa8004eb7540 HandleCount: 131.
Image: runonce.exe
CONTEXT: fffffadf23c4ff40 -- (.cxr 0xfffffadf23c4ff40) rax=fffffadf35c7a780 rbx=0000000000000000 rcx=0000000000000000
rdx=0000000000000001 rsi=0000000000000001 rdi=00000000001f0fff
rip=fffff800012876c5 rsp=fffffadf23c50750 rbp=fffffadf23c50cf0 r8=fffffadf38a046c0 r9=0000000000000001 r10=fffffadf35ddf240 r11=fffffa8004e24060 r12=fffffadf23c50ac0 r13=fffffadf35ddd430 r14=0000000000000000 r15=000000007efdf000
iopl=0 nv up ei ng nz na po nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00010286
nt!ObInsertObject+0x3bd:
fffff800`012876c5 488b4628 mov rax,qword ptr [rsi+28h] ds:002b:00000000`00000029=????????????????
0: kd> !pool 0xfffffadf`35ddd400 2
Pool page fffffadf35ddd400 region is Nonpaged pool *fffffadf35ddd3f0 size: 420 previous size: 110 (Allocated) *Proc (Protected)
Pooltag Proc : Process objects, Binary : nt!ps
0: kd> ? 0xfffffadf`35ddd6f0-2F0
Evaluate expression: -5638388329472 = fffffadf`35ddd400
0: kd> dt nt!_OBJECT_HEADER 0xfffffadf`35ddd400
+0x000 PointerCount : 0n2
+0x008 HandleCount : 0n0
+0x008 NextToFree : (null)
+0x010 Type : 0xfffffadf`38a046c0 _OBJECT_TYPE
+0x018 NameInfoOffset : 0 ''
+0x019 HandleInfoOffset : 0 ''
+0x01a QuotaInfoOffset : 0 ''
+0x01b Flags : 0 ''
+0x020 ObjectCreateInfo : 0x00000000`00000001 _OBJECT_CREATE_INFORMATION ;; <--- 直接的にはここの異常を検知した。
+0x020 QuotaBlockCharged : 0x00000000`00000001 Void
+0x028 SecurityDescriptor : (null)
+0x030 Body : _QUAD
/// 上記は、CPU#0 のスタックトレースです。プロセス reader_sl.exe を起動させようとして異常が検知されておりました。
/// また、nt!_OBJECT_HEADER.ObjectCreateInfo のメモリ情報が不正な状態です。
3: kd> r
rax=000000000000005c rbx=0000000000000052 rcx=00000000014fee64 rdx=fffffadf365f3570 rsi=0000000000000167 rdi=00000000014fee64
rip=fffffadf365f0a23 rsp=fffffadf243b3858 rbp=0000000000000001
r8=fffffadf35d3c9e8 r9=00000000014fee64 r10=fffffadf365f3570 r11=fffffadf35d3c7d0 r12=fffffadf35ddd430 r13=00000000014fee2c
r14=0000000000000014 r15=00000000014fed80
iopl=0 nv up ei pl nz na po nc
cs=0010 ss=0018 ds=0000 es=0000 fs=0000 gs=0000 efl=00000206
fffffadf`365f0a23 6685c0 test ax,ax
3: kd> !THREAD 0xfffffadf35d3c7d0 7
THREAD fffffadf35d3c7d0 Cid 0528.1148 Teb: 000000007ef8c000 Win32Thread: 0000000000000000 RUNNING on processor 3 Not impersonating
DeviceMap fffffa8000002760
Owning Process fffffadf36be25c0 Image: ekrn.exe
Attached Process N/A Image: N/A
Wait Start TickCount 1947080 Ticks: 0
Context Switch Count 273
UserTime 00:00:00.015
KernelTime 00:00:00.031
Win32 Start Address 0x0000000000fdfdf8
Start Address 0x000000007d4e1504
Stack Init fffffadf243b3e00 Current fffffadf243b3570 Base fffffadf243b4000 Limit fffffadf243ae000 Call 0 Priority 10 BasePriority 6 PriorityDecrement 4
Child-SP RetAddr : Args to Child : Call Site
fffffadf`243b3858 fffffadf`365ddc8d : ffffffff`000000b4 00000000`00000052 00000000`00000167 00000000`014fee64 : 0xfffffadf`365f0a23 fffffadf`243b3860 ffffffff`000000b4 : 00000000`00000052 00000000`00000167 00000000`014fee64 fffffadf`35ddd430 : 0xfffffadf`365ddc8d
^^ここでアクセス^^
fffffadf`243b3868 00000000`00000052 : 00000000`00000167 00000000`014fee64 fffffadf`35ddd430 fffffadf`365f021c : 0xffffffff`000000b4 fffffadf`243b3870 00000000`00000167 : 00000000`014fee64 fffffadf`35ddd430 fffffadf`365f021c fffffadf`35ddd430 : 0x52
fffffadf`243b3878 00000000`014fee64 : fffffadf`35ddd430 fffffadf`365f021c fffffadf`35ddd430 00000000`00000167 : 0x167
^^ここでアクセス^^
fffffadf`243b3880 fffffadf`35ddd430 : fffffadf`365f021c fffffadf`35ddd430 00000000`00000167 00000000`00000014 : 0x14fee64
fffffadf`243b3888 fffffadf`365f021c : fffffadf`35ddd430 00000000`00000167 00000000`00000014 00000000`014fee64 : 0xfffffadf`35ddd430
^^ここでアクセス^^
fffffadf`243b3890 fffffadf`35ddd430 : 00000000`00000167 00000000`00000014 00000000`014fee64 fffffadf`35ddd430 : 0xfffffadf`365f021c
^^ここでアクセス^^
fffffadf`243b3898 00000000`00000167 : 00000000`00000014 00000000`014fee64 fffffadf`35ddd430 fffffadf`365ddf22 : 0xfffffadf`35ddd430
^^ここでアクセス^^
fffffadf`243b38a0 00000000`00000014 : 00000000`014fee64 fffffadf`35ddd430 fffffadf`365ddf22 00000000`00000167 : 0x167
^^ここでアクセス^^
fffffadf`243b38a8 00000000`014fee64 : fffffadf`35ddd430 fffffadf`365ddf22 00000000`00000167 00000000`00000000 : 0x14
^^ここでアクセス^^
fffffadf`243b38b0 fffffadf`35ddd430 : fffffadf`365ddf22 00000000`00000167 00000000`00000000 00000000`00000000 : 0x14fee64
fffffadf`243b38b8 fffffadf`365ddf22 : 00000000`00000167 00000000`00000000 00000000`00000000 00000000`014fee64 : 0xfffffadf`35ddd430 fffffadf`243b38c0 00000000`00000167 : 00000000`00000000 00000000`00000000 00000000`014fee64 00000000`00000000 : 0xfffffadf`365ddf22
fffffadf`243b38c8 00000000`00000000 : 00000000`00000000 00000000`014fee64 00000000`00000000 fffffadf`365d9605 : 0x167
/// 上記は、CPU#3 のスタックトレースです。プロセス ekrn.exe の情報です。
/// Adobe reader のメモリ情報(nt!_OBJECT_HEADER.Body)へ頻繁アクセスが行われております。不正な動作です。
0: kd> !drvobj fffffadf38296e70
Driver object (fffffadf38296e70) is for:
\Driver\ehdrv
Driver Extension List: (id , addr)
Device Object list:
fffffadf36aa0060
0: kd> !devobj fffffadf36aa0060
Device object (fffffadf36aa0060) is for:
ehdrv \Driver\ehdrv DriverObject fffffadf38296e70 Current Irp 00000000 RefCount 6 Type 00000022 Flags 00000040 Dacl fffffb8100e0121f DevExt fffffadf36aa01b0 DevObjExt fffffadf36aa0230 ExtensionFlags (0000000000) Device queue is not busy.
[C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS]
Company Name: ESET
File Description: ESET Helper driver
Product Version: 4.0.474.9
File Version: 4.0.474.9
File Size (bytes): 136584
File Date: ? 12 09 18:55:28 2009
Module TimeDateStamp = 0x4b1fe328 - Thu Dec 10 02:49:28 2009
Module Checksum = 0x00028e7d
Module SizeOfImage = 0x00023000
Module Pointer to PDB = [d:\installbuild\kalab\ess_rc_4_0_474\build\apps\work\src\apps\ehdrv\src\objfre_wlh_amd64\amd64\ehdrv.pdb]
Module PDB Guid = {2976463D-7020-4797-ADF9-8D5C5845A637}
Module PDB Age = 0x1
0: kd> lmvm ehdrv
start end module name
fffffadf`26c1c000 fffffadf`26c3f000 ehdrv (deferred)
Image path: \SystemRoot\system32\DRIVERS\ehdrv.sys
Image name: ehdrv.sys
Timestamp: Thu Dec 10 02:49:28 2009 (4B1FE328)
CheckSum: 00028E7D
ImageSize: 00023000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
[C:\WINDOWS\SYSTEM32\DRIVERS\EAMON.SYS]
Company Name: ESET
File Description: Amon monitor
Product Version: 4.0.474.9
File Version: 4.0.474.9
File Size (bytes): 145336
File Date: ? 12 09 18:52:58 2009
Module TimeDateStamp = 0x4b1fe30b - Thu Dec 10 02:48:59 2009
Module Checksum = 0x00023bfa
Module SizeOfImage = 0x000d2000
Module Pointer to PDB =
[d:\installbuild\kalab\ess_rc_4_0_474\build\apps\work\src\apps\amon\amonnt\objfre_wlh_amd64\amd64\eamon.pdb]
Module PDB Guid = {B7004DBB-9C4F-4431-AE84-E04764806024}
Module PDB Age = 0x1
3: kd> lmvm eamon
start end module name
fffffadf`25a81000 fffffadf`25b53000 eamon (deferred)
Image path: \SystemRoot\system32\DRIVERS\eamon.sys
Image name: eamon.sys
Timestamp: Thu Dec 10 02:48:59 2009 (4B1FE30B)
CheckSum: 00023BFA
ImageSize: 000D2000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
/// 上記は、ドライバーの情報です。
- 担当
※弊社から連絡差し上げる際、お客様に表示されます電話番号は非通知、または発信専用電話番号となっております。
大変お手数ですが、折り返しご連絡を頂く際は、下記担当の番号若しくは当サービスの代表番号までご連絡をお願い致します。
今回のお問い合わせの担当、およびマネージャは以下の通りです。
主担当: ** *** (**** ****) 03-****-4400 *****oso@mssupport.microsoft.com
副担当: *** *** (*** ****) 03-****-9869 v-23:****@mssupport.microsoft.com
リーダー: ** ***** (*** ****) 03-****-9859 v-*******@mssupport.microsoft.com
コンタクトマネージャ: *** *** (**** ***) 03-6436-**** v******@mssupport.microsoft.com
チームマネージャ: *** ** (**** ***) 03-6436-4415 j*****@microsoft.com
Windows プラットフォーム サポート担当
日本マイクロソフト株式会社
EMail: *****r@microsoft.com
TEL: 0120-**-**** (契約者専用回線)
上述の内容に関してご不明な点などが御座いましたら、お手数ですが「お問い合わせ番号」をご記載頂き、お問い合わせくださいます様お願い申し
上げます。
[ご意見/ご感想]
私どものサポート内容に関するご意見、ご感想は、上の欄に記載されているマネージャまでご連絡ください。
マネージャあるいは窓口担当者から折り返しご連絡致します。
[サービス内容ご案内]
MSDN サブスクリプション テクニカル サポートの内容はこちらでご確認頂けます。
http://msdn.microsoft.com/ja-jp/subscriptions/dd197365.aspx
インシデント ガイドラインについてはこちらでご確認頂けます。
http://support.microsoft.com/gp/incidentguide/ja
________________________________________
[個人情報保護の取り扱いについて]
お客様の個人情報を保護する対策の一環として、お客様の社名、氏名の併記や、返信時お客様の署名などを含む本文を削除させていただく場合が御
座いますので、ご理解くださいますようお願いいたします。
サポートでの個人情報の取り扱いについては、次の URL をご覧ください。
http://privacy.microsoft.com/ja-jp/default.aspx
また、お預かりする情報の取扱いについては、次の URL をご覧ください。
http://support.microsoft.com/gp/CustomerAttachments/
このメールはマイクロソフト サポートからのメールとなります。
返信の内容をお問い合わせに追加したい場合には、全員に返信を選択するか、もしくは casemail@microsoft.com を入れる様お願い申し上げます。
さすがに恐れ入るわ。