BSOD - Не мог проверить метку времени для ntoskrnl.exe
Недавно, мой рабочий стол Dell случайным образом отказывал, когда оставлено работая в течение длительного промежутка времени. Следующая информация была записана в файл дампа:
Не мог загрузить изображение \SystemRoot\system32\ntoskrnl.exe, ошибка Win32 0n2
ПРЕДУПРЕЖДЕНИЕ: Не мог проверить метку времени для ntoskrnl.exe
ОШИБКА: завершенная загрузка Модуля, но символы не могла быть загружена для Версии 6001 Ядра Windows Server 2008/Windows Vista ntoskrnl.exe (Пакет обновления 1) MP (4 procs) Свободный x64
Продукт: WinNt, комплект: Персональный TerminalServer SingleUserTS
Название машины:
Основа ядра = 0xfffff80001e5c000 PsLoadedModuleList = 0xfffff8000201edb0
Время сеанса отладки: понедельник 31 августа 19:33:29.995 2009 (GMT-7)
Системное Время работы: 11:59:15 0 дней.563
Кто-либо испытал эту проблему с ntoskrnl.exe, заставляющим Windows Vista отказать? Я выполняю Windows Vista 64-разрядная домашняя премия
Обновление
Этот запуск поведения, происходящий на прошлой неделе после последнего набора обновлений Windows Vista, был автоматически установлен на моем компьютере (KB973879, KB973874, KB970653 и KB972036). Я также удалил и старая версия Центра обеспечения безопасности McFee и установил Антивирус AVS Свободный Editon 8.5.
Кроме того, BSOD также произошел бы, когда я разъединил свой iPhone от моего компьютера.
@Wil - Есть ли предложенный инструмент для определения, если мне установили roolkit на моей рабочей станции.
Обновление 2
Вот коды катастрофического отказа от моего последнего BSOD. Кроме того, я должен был переустановить свои драйверы для моей Беспроводной связи Belkin G Сетевой адаптер USB, и это очистило мой кэш cookie от IE8.
BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170
Обновление 3
@Wil - Я пытался запустить Руткит Revealer, и он записал следующую ошибку приложения в журнал событий:
Дающее сбой приложение RootkitRevealer.exe, версия 1.71.0.0, метка времени 0x44e255aa, дающий сбой модуль RootkitRevealer.exe, версия 1.71.0.0, метка времени 0x44e255aa, код исключения 0xc0000005, отказ сместил 0x000040cd, обрабатывает идентификатор 0x11b0, время начала приложения 0x01ca2ab8f0adc004.
5 ответов
Кажется, что у других была та же проблема, конкретно после обновлений Windows также. Это походит на более низкую проблему уровня, и поиск привел к нескольким возможным решениям:
- замените ntoskrnl.exe из своего Windows DVD.
- Выполните chkdsk на своем диске
- Выполните Memtest
Лично, вместо того, чтобы делать процесс устранения и напрасно тратить время, идентификатор предпочитает делать новую установку Windows (после резервного копирования всех Ваших файлов, конечно).
-
1Он разместил всю необходимую информацию - критические файлы Windows "подписываются" с цифровым ключом, она может сказать, что метка времени, но это в основном означает, что само ядро больше не имеет действительный сертификат против нее / она была отредактирована и приводит CRC к сбою / проверка целостности.... Это может быть закрепляемым, как я сказал, однако это намного более вероятно признак более серьезной ошибки прибыть. – William Hilsum 01.09.2009, 06:24
-
2@Wil: можно легко получить ту же ошибку с ядром, которое имеет допустимую подпись Microsoft. Кроме того, WinDbg не смотрит на цифровые подписи. – bk1e 01.09.2009, 09:30
Это указывает, что отладчик (по-видимому, WinDbg) не может загрузиться ntoskrnl.exe. В то время как, конечно, возможно, что некоторая вредоносная программа заменила Ваш ntoskrnl.exe как предложенный Wil, более вероятное объяснение состоит в том, что Вам не настроили WinDbg для загрузки символов с общедоступного сервера символов Microsoft.
Попытайтесь работать .symfix и !sym noisy команды и затем пытаются работать !analyze -v снова. Если это не помогает, отправьте весь соответствующий вывод отладчика (с !sym noisy включенный). (Регистрация фактического мини-дампа могла также помочь.), Например, часть вывода, который Вы опустили, включает путь символа:
Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:\temp\oops.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Unable to load image \SystemRoot\system32\ntoskrnl.chk, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.chk
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk
Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64
Если бы Ваш путь символа создан правильно, повреждение памяти из-за неисправного оборудования было бы другим возможным невредоносным объяснением. Попытайтесь выполнить MemTest86 + в течение нескольких часов.
Относительно информации о контрольном коде ошибки: проверка ошибки 0x1000007e SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M. Связанным исключением является 0xC0000005, STATUS_ACCESS_VIOLATION. Другие три параметра не предлагают большого понимания без дальнейшего исследования в отладчике. Это могло произойти из-за ошибки драйвера, разгона, дефектная память, повредила/заменила файл на диске, неудачной попытке при использовании переполнения буфера в системной службе, космический луч, ударяющий одни из микросхем RAM Вашего ПК, и т.д.
- Разве Вы недавно установили какое-либо программное обеспечение?
- Каков код остановки "синего" экрана?
- Вы попробовали восстановление системы назад к тому, прежде чем оно перестало работать?
- Вы попробовали Windows System Recovery?
Я соглашаюсь с Wil, что необходимо принять меры предосторожности.
-
1
Да.
Это не случайная ошибка и обычно является признаком чего-то очень серьезного.
Это обычно вызывается любым серьезным вредоносным программным обеспечением (таким как руткит), плохой Анти-Вирус, который может currupt Ядро или некоторые "взломы", которым люди предъявляют иск для редактирования системных файлов.
Так или иначе это очень серьезно.
Вы могли перейти к консоли восстановления / командная строка от CD Vista и заменить это файлы чрезмерно, поскольку это не уникально для одной установки.
Вы могли скопировать его с чужой машины, пока это - тот же уровень пакета обновления - не 100%, уверенных, если общий уровень обновления влияет на него, то скопируйте его в то же место, и необходимо смочь загрузиться.
Однако Лично, я просто получил бы свои важные файлы от системы и переустановил бы с нуля. Снова, Эта ошибка не появляется наугад и обычно вызывается очень серьезными другими проблемами, поэтому даже при фиксации ее могут быть другие неожиданности в системе, которые показывают себя позднее.
Редактирование - Для руткитов, нет никакого реального категорического ответа, следовательно мое предложение для переустановки с нуля. Microsoft / Sysinternals делают "Руткит Revealer", который является инструментом для идентификации, однако это действительно не удаляет их. Я предполагаю, что Вы читаете страницу продукта, поскольку она объясняет много о руткитах.
-
1
-
2
-
3я пытался запустить Руткит Revealer exe и окна, открылся диалоговое окно "Rootkit detection utility has stopped working". – Michael Kniskern 01.09.2009, 07:06
Не уверенный, если это помогает Вам и я не эксперт, но у меня просто была эта проблема. я представил отчет, и Microsoft открылась страница, которая дала ответы на эту проблему. они сказали, что это было наиболее вероятно ошибка жесткого диска, окна не могли читать из диска и привели несколько причин почему. Одна причина состояла в том, что я только что передал большой файл своему диску из внешних медиа или диску. Я только что передал свой CD победы моему HD. извините, но я забыл то, чем другие причины были всего лишь, они также были просто простыми вещами. Они сказали для выполнения chkdsk.