BSOD - Невозможно проверить временную метку для ntoskrnl.exe

Question

Недавно мой настольный компьютер Dell случайно зависал при длительной работе. В файл дампа была записана следующая информация:

Невозможно загрузить образ \SystemRoot \system32 \ntoskrnl.exe, ошибка Win32 0n2
ВНИМАНИЕ: Невозможно проверить отметку времени для ntoskrnl.exe
ОШИБКА: загрузка модуля завершена, но символы не могут быть загружены для ntoskrnl.exe. Windows Server 2008/ ядро Windows Vista, версия 6001 (пакет обновления 1), MP (4 процесса), бесплатная x64
Продукт: WinNt, пакет: TerminalServer SingleUserTS Personal
Имя машины:
Основа ядра = 0xfffff800 01e5c000 PsLoadedModuleList = 0xfffff800 0201edb0
Время сеанса отладки: пн 31 августа 19: 33: 29.995 2009 (GMT-7)
Время работы системы: 0 дней 11: 59: 15,563

Кто-нибудь испытывал эту проблему с ntoskrnl.exe, вызывая сбой Windows Vista? Я использую Windows Vista 64-bit home premium

Обновить

Это поведение начинает проявляться на прошлой неделе после того, как последний набор обновлений Windows Vista был автоматически установлен на моем компьютере (KB973879, KB973874, KB970653 и KB972036). Я также удалил и старую версию McFee Security Center и установил AVS Anti-Virus Free Editon 8.5.

Кроме того, BSOD также может произойти, когда я отключил свой iPhone от компьютера.

@Wil - есть ли предложенный инструмент для определения, установлен ли на моей рабочей станции руткит?

Обновление 2

Вот коды сбоев из моего последнего BSOD. Кроме того, мне пришлось переустановить драйверы для беспроводного сетевого адаптера USB Belkin G, и он очистил мой кеш cookie от IE8.

BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170

Обновление 3

@Wil - я попытался запустить Rootkit Revealer, и он записал следующую ошибку приложения в журнал событий:

Сбой приложения RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, сбойный модуль RootkitRevealer.exe, версия 1.71.0.0, отметка времени 0x44e255aa, код исключения 0xc0000005, смещение ошибки 0x000040cd, идентификатор процесса 0x11b0, время начала приложения 0xfcab2 0a 0 0 0 0022a2.

Answer 1

Не уверен, поможет ли это вам, и я не эксперт, но у меня только была эта проблема. Я отправил отчет, и Microsoft выскочил на страницу, которая дала ответы на эту проблему. они сказали, что это, скорее всего, ошибка жесткого диска, окна не могли прочитать с диска и дали несколько причин, почему. Одной из причин было то, что я только что перенес большой файл на свой диск с внешнего носителя или диска. Я только что перевел свой win cd на мой HD. извините, но я забыл, каковы были другие причины, но они тоже были просто вещами. Сказали запустить чкдск.

Answer 2

Похоже, у других была такая же проблема, особенно после обновлений Windows. Это звучит как проблема более низкого уровня, и поиск дал несколько возможных решений:

• замените ntoskrnl.exe с вашего Windows DVD.
• Запустите chkdsk на вашем диске
• Запустите Memtest

Лично, вместо того, чтобы выполнять процесс устранения и тратить время, я бы предпочел сделать новую установку Windows (конечно, после резервного копирования всех ваших файлов).

Answer 3

Это указывает на то, что отладчик (предположительно WinDbg) не может загрузить ntoskrnl.exe . Хотя вполне возможно, что какая-то вредоносная программа заменила ваш ntoskrnl.exe как предложил Виль, более вероятным объяснением является то, что у вас не настроен WinDbg для загрузки символов с общедоступного сервера символов Microsoft.

Попробуйте запустить .symfix и !sym noisy команды, а затем попробуйте запустить !analyze -v снова. Если это не поможет, пожалуйста, опубликуйте все соответствующие выходные данные отладчика (с помощью !sym noisy ). (Размещение фактического мини-дамп также может помочь.) Например, некоторые выходные данные, которые вы пропустили, включают путь символа:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Loading Dump File [C:\temp\oops.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Unable to load image \SystemRoot\system32\ntoskrnl.chk, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.chk
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk
Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64

Если ваш путь к символам установлен правильно, повреждение памяти из-за плохого оборудования будет другим возможным объяснением, не связанным с вредоносным ПО. Попробуйте запустить MemTest86+ на несколько часов.

Относительно информации кода проверки ошибки: проверка ошибки 0x1000007e - SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M . Связанное исключение 0xC0000005, STATUS_ACCESS_VIOLATION . Остальные три параметра не дают особого понимания без дальнейшего изучения в отладчике. Это может быть связано с ошибкой драйвера, разгоном, неисправной памятью, поврежденным / замененным файлом на диске, неудачной попыткой использования переполнения буфера в системной службе, попаданием космического луча в один из чипов памяти вашего ПК и т.д.

Answer 4

• Вы недавно установили какое-либо программное обеспечение?
• Что такое синий код остановки экрана?
• Вы пытались восстановить систему до того, как она перестала работать?
• Вы пробовали восстановление системы Windows?

Я согласен с Уилом, что вы должны принять меры предосторожности.

Answer 5

Да.

Это не случайная ошибка и обычно неясность чего-то очень серьезного.

Обычно это происходит из-за серьезного вредоносного ПО (такого как руткит), плохого антивируса, который может повредить ядро, или из-за некоторых "взломов", которые люди используют для редактирования системных файлов.

Во всяком случае, это очень серьезно.

Вы можете перейти в консоль восстановления / командную строку с компакт-диска Vista и заменить эти файлы поверх, поскольку они не являются уникальными для одной установки.

Вы можете скопировать его с чужого компьютера, если он имеет тот же уровень пакета обновления - не уверен на 100%, влияет ли на него общий уровень обновления, затем скопируйте его в то же место, и вы сможете загрузиться.

При этом, лично я бы просто удалил важные файлы из системы и переустановил с нуля. Опять же, эта ошибка не появляется случайно и, как правило, вызвана очень серьезными другими проблемами, поэтому, даже если вы ее исправите, в вашей системе могут быть другие сюрпризы, которые обнаружатся позже.

Редактировать - для руткитов нет однозначного ответа, поэтому я предлагаю переустановить с нуля. Microsoft / Sysinternals делают "Rootkit Revealer", который является инструментом для идентификации, однако он на самом деле не удаляет их. Я предлагаю вам прочитать страницу продукта, так как она многое объясняет о руткитах.