BSOD - Невозможно проверить временную метку для ntoskrnl.exe

Question

BSOD - Невозможно проверить временную метку для ntoskrnl.exe

Недавно мой настольный компьютер Dell случайно зависал при длительной работе. В файл дампа была записана следующая информация:

Невозможно загрузить образ \SystemRoot\system32\ntoskrnl.exe, ошибка Win32 0n2
ВНИМАНИЕ: Невозможно проверить метку времени для ntoskrnl.exe
ОШИБКА: загрузка модуля завершена, но символы не могут быть загружены для ntoskrnl.exe. Windows Server 2008/ ядро Windows Vista, версия 6001 (пакет обновления 1), MP (4 процесса), бесплатная x64
Продукт: WinNt, пакет: TerminalServer SingleUserTS Personal
Имя машины:
Ядро базы = 0xfffff80001e5c000 PsLoadedModuleList = 0xfffff8000201edb0
Время сеанса отладки: пн 31 августа 19:33:29.995 2009 (GMT-7)
Время работы системы: 0 дней 11:59:15,563

Кто-нибудь испытывал эту проблему с ntoskrnl.exe, вызывая сбой Windows Vista? Я использую Windows Vista 64-bit home premium

Обновить

Это поведение начинает проявляться на прошлой неделе после того, как последний набор обновлений Windows Vista был автоматически установлен на моем компьютере (KB973879, KB973874, KB970653 и KB972036). Я также удалил и старую версию McFee Security Center и установил AVS Anti-Virus Free Editon 8.5.

Кроме того, BSOD также может произойти, когда я отключил свой iPhone от компьютера.

@Wil - есть ли предлагаемый инструмент для определения, установлен ли на моей рабочей станции руткит?

Обновление 2

Вот коды сбоев из моего последнего BSOD. Кроме того, мне пришлось переустановить драйверы для беспроводного сетевого адаптера USB Belkin G, и он очистил мой кеш cookie от IE8.

BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170

Обновление 3

@Wil - я попытался запустить Rootkit Revealer, и он записал следующую ошибку приложения в журнал событий:

Сбой приложения RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, сбойный модуль RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, код исключения 0xc0000005, смещение ошибки 0x000040cd, идентификатор процесса 0x11b0, время запуска приложения 0x01cab2 0 0 0 0 002c2.

0

windows-vista 64-bit bsod ntoskrnl.exe

Источник

Michael Kniskern 01 сен '09 в 02:55

5 ответов

Другие вопросы по тегам windows-vista 64-bit bsod ntoskrnl.exe

John T 01 сен '09 в 03:20 2009-09-01 03:20 · Answer 1 · 2009-09-01 03:20

Похоже, у других была такая же проблема, особенно после обновлений Windows. Это звучит как проблема более низкого уровня, и поиск дал несколько возможных решений:

замените ntoskrnl.exe с вашего Windows DVD.
Запустите chkdsk на вашем диске
Запустите Memtest

Лично, вместо того, чтобы выполнять процесс исключения и тратить время, я бы предпочел сделать новую установку Windows (конечно, после резервного копирования всех ваших файлов).

markk 07 фев '11 в 16:06 2011-02-07 16:06 · Answer 2 · 2011-02-07 16:06

Не уверен, поможет ли это вам, и я не эксперт, но у меня была эта проблема. Я отправил отчет, и Microsoft открыла страницу с ответами на эту проблему. они сказали, что это, скорее всего, ошибка жесткого диска, окна не могли прочитать с диска и дали несколько причин, почему. Одной из причин было то, что я только что перенес большой файл на свой диск с внешнего носителя или диска. Я только что передал мой win cd моему hd. извините, но я забыл, каковы были другие причины, но они тоже были просто вещами. Сказали запустить чкдск.

bk1e 01 сен '09 в 03:55 2009-09-01 03:55 · Answer 3 · 2009-09-01 03:55

Это указывает на то, что отладчик (предположительно WinDbg) не может загрузить ntoskrnl.exe, Хотя вполне возможно, что какая-то вредоносная программа заменила вашу ntoskrnl.exe Как предположил Уил, более вероятное объяснение состоит в том, что у вас нет WinDbg, настроенного на загрузку символов с общедоступного сервера символов Microsoft.

Попробуйте запустить .symfix а также !sym noisy команды, а затем попробуйте запустить !analyze -v снова. Если это не поможет, пожалуйста, опубликуйте все соответствующие выходные данные отладчика (с !sym noisy включенный). (Также может помочь публикация фактического минидампа.) Например, некоторые из пропущенных выходных данных включают путь символа:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Loading Dump File [C:\temp\oops.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Unable to load image \SystemRoot\system32\ntoskrnl.chk, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.chk
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk
Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64

Если ваш путь к символам установлен правильно, повреждение памяти из-за плохого оборудования будет другим возможным объяснением, не связанным с вредоносным ПО. Попробуйте запустить MemTest86+ на несколько часов.

Относительно информации кода проверки на наличие ошибок: проверка на ошибки 0x1000007e SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M, Связанное исключение 0xC0000005, STATUS_ACCESS_VIOLATION, Остальные три параметра не дают особого понимания без дальнейшего изучения в отладчике. Это может быть связано с ошибкой драйвера, разгоном, неисправной памятью, поврежденным / замененным файлом на диске, неудачной попыткой использования переполнения буфера в системной службе, попаданием космического луча в один из чипов памяти вашего ПК и т. Д.

hanleyp 01 сен '09 в 03:16 2009-09-01 03:16 · Answer 4 · 2009-09-01 03:16

Вы недавно установили какое-либо программное обеспечение?
Что такое синий код остановки экрана?
Вы пытались восстановить систему до того, как она перестала работать?
Вы пробовали восстановление системы Windows?

Я согласен с Уилом, что вы должны принять меры предосторожности.

William Hilsum 01 сен '09 в 03:08 2009-09-01 03:08 · Answer 5 · 2009-09-01 03:08

Да.

Это не случайная ошибка и обычно неясность чего-то очень серьезного.

Обычно это происходит из-за серьезных вредоносных программ (таких как руткит), плохого антивируса, который может нарушить работу ядра, или из-за некоторых "взломов", которые люди предъявляют для редактирования системных файлов.

Во всяком случае, это очень серьезно.

Вы можете перейти в консоль восстановления / командную строку с компакт-диска Vista и заменить эти файлы поверх, так как они не уникальны для одной установки.

Вы можете скопировать его с чужого компьютера, если он имеет тот же уровень пакета обновления - не уверен на 100%, влияет ли на него общий уровень обновления, затем скопируйте его в то же место, и вы сможете загрузиться.

При этом, лично я бы просто удалил важные файлы из системы и переустановил с нуля. Опять же, эта ошибка не появляется случайно и, как правило, вызвана очень серьезными другими проблемами, поэтому даже если вы ее исправите, в вашей системе могут быть другие сюрпризы, которые обнаружатся позже.

Редактировать - для руткитов нет однозначного ответа, поэтому я предлагаю переустановить с нуля. Microsoft / Sysinternals делают "Rootkit Revealer", который является инструментом для идентификации, однако он на самом деле не удаляет их. Я предлагаю вам прочитать страницу продукта, так как она многое объясняет о руткитах.