Что может вызвать повреждение файла системного файла windows (ntdll.dll)?

432
Jey DWork

Я наблюдаю странное поведение установки Windows 10 и пытаюсь выяснить причину, чтобы оценить возможный ущерб:

Windows начала вести себя странно, так как программы, выполняющие проверку системных файлов (например, VirtualBox при попытке запустить виртуальную машину), потерпели неудачу с подсказкой в ​​файле журнала \\Windows\System32\ntdll.dllи несоответствием подписи. Когда я щелкнул правой кнопкой мыши по этому файлу и проверил детали подписи Microsoft Windows, она действительно сказала, что подпись недействительна.

Затем я выполнил проверку с помощью Windows Resource Checker ( sfc \scannow), и она также оказалась ntdll.dllповрежденной. В его журнале это выглядело как несколько попыток восстановления, но в конечном итоге файл был восстановлен правильно. Это, однако, оказалось неверным, так как у меня была та же недопустимая подпись и проблемы после перезапуска.

Наконец, я вступил во владение ntdll.dll(изначально он принадлежит TrustedInstallerи поэтому не может быть изменен), переименовал его ntdll.dll.oldи скопировал версию из резервной копии, созданной 3 дня назад, в папку. На этом этапе хэш копировался ntdll.dllи ntdll.dll.oldотличался тем, что имел одинаковый размер, и подпись скопированного ntdll.dllфайла была действительной, в то время как «старый» файл все еще имел недействительную подпись. После перезагрузки все работает как раньше. Однако по какой-то действительно странной причине теперь хэши ntdll.dllи ntdll.dll.oldсовпадают, и подпись также ntdll.dll.oldдействительна?

Есть идеи, с какой проблемой / причиной коррупции я сталкиваюсь? Значения SSD SMART выглядят идеально (SSD был бы моим первым виновником). Если возможно, я бы хотел предотвратить больше повреждений и переключить, возможно, неисправное оборудование или принять другие контрмеры ...

0
какой SSD у вас есть? Вы обновились до последней версии прошивки SSD? Пакет AV или другие драйверы фильтров могут привести к повреждению данных. magicandre1981 6 лет назад 0
Samsung SSD 840 (я обновил прошивку после всего этого, так что все это произошло с оригинальной прошивкой), и я использую только встроенную защиту от вирусов Windows, так что я не думаю, что она повредит свои собственные системные файлы, но кто знает ... Jey DWork 6 лет назад 0
какое другое программное обеспечение вы используете (программы резервного копирования)? magicandre1981 6 лет назад 0
В этой установке Windows есть клиент Acronis Backup 12.5 ... и последнее резервное копирование не удалось («заморожено на 3 дня» на 94%). До сих пор я не мог понять, почему он был заморожен, но если он каким-то образом изменил файл, он мог быть виновником, поскольку я прервал его, когда переименовал поврежденный файл `ntdll.dll`. Прекращение завершилось неудачно, но перезапуск помог, и это был тот же самый перезапуск, при котором на `ntdll.dll` и` ntdll.dll.old` снова были найдены соответствующие контрольные суммы. Но, возможно, это был только другой симптом, а не проблема, я посмотрю, найду ли я больше журналов acronis ... Спасибо за ваш вклад до сих пор! Jey DWork 6 лет назад 0

0 ответов на вопрос

Похожие вопросы