BSOD - Невозможно проверить временную метку для ntoskrnl.exe

15001
Michael Kniskern

Недавно мой настольный компьютер Dell случайно зависал при длительной работе. В файл дампа была записана следующая информация:

Невозможно загрузить image \ SystemRoot \ system32 \ ntoskrnl.exe, ошибка Win32 0n2.
ПРЕДУПРЕЖДЕНИЕ. Невозможно проверить временную метку для ntoskrnl.exe.
ОШИБКА: загрузка модуля завершена, но не удалось загрузить символы для ntoskrnl.exe. Windows Server 2008 / ядро ​​Windows Vista, версия 6001 (Пакет обновления 1) MP (4 процесса) Бесплатный x64
Продукт: WinNt, комплект: TerminalServer SingleUserTS Персональный
компьютер Имя:
Ядро базы = 0xfffff800 01e5c000 PsLoadedModuleList = 0xfffff8000201edb0 Время сеанса
отладки: Пн 31 августа 19: 33: 29.995 2009 (GMT-7)
Время работы системы: 0 дней 11: 59: 15,563

Кто-нибудь испытывал эту проблему с ntoskrnl.exe, вызывая сбой Windows Vista? Я использую Windows Vista 64-bit home premium

Обновить

Это поведение начинает проявляться на прошлой неделе после того, как последний набор обновлений Windows Vista был автоматически установлен на моем компьютере (KB973879, KB973874, KB970653 и KB972036). Я также удалил и старую версию McFee Security Center и установил AVS Anti-Virus Free Editon 8.5.

Кроме того, BSOD также может произойти, когда я отключил свой iPhone от компьютера.

@Wil - есть ли предложенный инструмент для определения, установлен ли на моей рабочей станции руткит?

Обновление 2

Вот коды сбоев из моего последнего BSOD. Кроме того, мне пришлось переустановить драйверы для моего беспроводного сетевого адаптера USB Belkin G, и он очистил мой кеш cookie от IE8.

BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170

Обновление 3

@Wil - я попытался запустить Rootkit Revealer, и он записал следующую ошибку приложения в журнал событий:

Сбой приложения RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, сбойный модуль RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, код исключения 0xc0000005, смещение ошибки 0x000040cd, идентификатор процесса 0x11b0, время начала приложения 0xfcab2 0a 0 0 0 0022a2.

0

5 ответов на вопрос

1
John T

Похоже, у других была такая же проблема, особенно после обновлений Windows. Это звучит как проблема более низкого уровня, и поиск дал несколько возможных решений:

  • замените ntoskrnl.exe с вашего Windows DVD.
  • Запустите chkdsk на вашем диске
  • Запустите Memtest

Лично, вместо того, чтобы выполнять процесс исключения и тратить время, я бы предпочел сделать новую установку Windows (конечно, после резервного копирования всех ваших файлов).

Он разместил всю необходимую информацию: критические файлы Windows «подписаны» цифровым ключом, может быть, отметка времени, но это в основном означает, что само ядро ​​больше не имеет действительного сертификата против него / оно было отредактировано и провал CRC / проверка целостности .... Это может быть исправлено, как я уже сказал, однако это гораздо более вероятно, указание на более серьезную ошибку. William Hilsum 14 лет назад 0
@Wil: Вы можете легко получить ту же ошибку с ядром, имеющим действительную подпись Microsoft. Кроме того, WinDbg не смотрит на цифровые подписи. bk1e 14 лет назад 0
@John T - я запустил chkdsk и все вернулось. Michael Kniskern 14 лет назад 0
1
bk1e

Это указывает на то, что отладчик (предположительно WinDbg) не может загружаться ntoskrnl.exe. Хотя вполне возможно, что какая-то вредоносная программа заменила вашу, ntoskrnl.exeкак предложил Виль, более вероятным объяснением является то, что у вас не настроен WinDbg для загрузки символов с общедоступного сервера символов Microsoft.

Попробуйте запустить .symfixи !sym noisyкоманды, а затем попробуйте запустить !analyze -vснова. Если это не поможет, пожалуйста, опубликуйте все соответствующие выходные данные отладчика (с !sym noisyвключенным). (Также может помочь публикация фактического минидампа.) Например, некоторые из пропущенных выходных данных включают путь символа:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86 Copyright (c) Microsoft Corporation. All rights reserved.  Loading Dump File [C:\temp\oops.dmp] Mini Kernel Dump File: Only registers and stack trace are available  Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols Executable search path is:  Unable to load image \SystemRoot\system32\ntoskrnl.chk, Win32 error 0n2 *** WARNING: Unable to verify timestamp for ntoskrnl.chk *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64

Если ваш путь к символам установлен правильно, повреждение памяти из-за плохого оборудования будет другим возможным объяснением, не связанным с вредоносным ПО. Попробуйте запустить MemTest86 + на несколько часов.

Относительно информации о проверке ошибок: проверка ошибок 0x1000007e SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M. Связанное исключение 0xC0000005, STATUS_ACCESS_VIOLATION. Остальные три параметра не дают особого понимания без дальнейшего изучения в отладчике. Это может быть связано с ошибкой драйвера, разгоном, неисправной памятью, поврежденным / замененным файлом на диске, неудачной попыткой использования переполнения буфера в системной службе, попаданием космического луча в один из чипов памяти вашего ПК и т. Д.

1
markk

Не уверен, поможет ли это вам, и я не эксперт, но у меня только была эта проблема. Я отправил отчет, и Microsoft выскочил на страницу, которая дала ответы на эту проблему. они сказали, что это, скорее всего, ошибка жесткого диска, окна не могли прочитать с диска и дали несколько причин, почему. Одной из причин было то, что я только что перенес большой файл на свой диск с внешнего носителя или диска. Я только что перевел свой win cd на мой HD. извините, но я забыл, каковы были другие причины, но они тоже были просто вещами. Сказали запустить чкдск.

0
hanleyp
  • Вы недавно установили какое-либо программное обеспечение?
  • Что такое синий код остановки экрана?
  • Вы пытались восстановить систему до того, как она перестала работать?
  • Вы пробовали восстановление системы Windows?

Я согласен с Уилом, что вы должны принять меры предосторожности.

Я обновил свой вопрос на основе вашего ответа Michael Kniskern 14 лет назад 0
-1
William Hilsum

Да.

Это не случайная ошибка и обычно неясность чего-то очень серьезного.

Обычно это происходит из-за серьезного вредоносного ПО (такого как руткит), плохого антивируса, который может повредить ядро, или из-за некоторых «взломов», которые люди используют для редактирования системных файлов.

Во всяком случае, это очень серьезно.

Вы можете перейти в консоль восстановления / командную строку с компакт-диска Vista и заменить эти файлы поверх, поскольку они не являются уникальными для одной установки.

Вы можете скопировать его с чужого компьютера, если он имеет тот же уровень пакета обновления - не уверен на 100%, влияет ли на него общий уровень обновления, затем скопируйте его в то же место, и вы сможете загрузиться.

При этом, лично я бы просто удалил важные файлы из системы и переустановил с нуля. Опять же, эта ошибка не появляется случайно и, как правило, вызвана очень серьезными другими проблемами, поэтому даже если вы ее исправите, в вашей системе могут быть другие сюрпризы, которые обнаружатся позже.

Редактировать - для руткитов нет однозначного ответа, поэтому я предлагаю переустановить с нуля. Microsoft / Sysinternals делают «Rootkit Revealer», который является инструментом для идентификации, однако он на самом деле не удаляет их. Я предлагаю вам прочитать страницу продукта, так как она многое объясняет о руткитах.

Я обновил свой вопрос на основе вашего ответа Michael Kniskern 14 лет назад 0
обновил мой ответ на основе вашего обновленного вопроса! :) William Hilsum 14 лет назад 1
Я попытался запустить Rootkit Revealer exe, и в окне появилось диалоговое окно «Утилита обнаружения руткитов перестала работать». Michael Kniskern 14 лет назад 0

Похожие вопросы