windows-7 — Как узнать, что послужило причиной этой синей ошибки?
Я получил сообщение об ошибке «синий экран», и через 10 секунд мой Windows 7 64-битный ПК премиум-класса был перезагружен.
После перезапуска я получил эту причину для перезапуска. Я волнуюсь, если что-то не так с моим ПК. У меня есть McAfee Antivirus с автоматическим обновлением.
Подпись проблемы: Проблема Имя события: Версия ОС BlueScreen: 6.1.7601.2.1.0.768.3 Идентификатор локали: 16393
Дополнительная информация о проблеме: BCCode: 3b
BCP1: 00000000C0000005 BCP2: FFFFF880210EDAEF
BCP3: FFFFF880204DF500 BCP4: 0000000000000000 Версия ОС: 6_1_7601 Пакет обновления: 1_0 Продукт: 768_1Файлы, которые помогают описать проблему:
C:\Windows\Minidump\082311-26457-01.dmp
C:\Users\Jitendra \AppData \Local \Temp \WER-58718-0.sysdata.xmlПрочитайте наше заявление о конфиденциальности онлайн:
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0409Если заявление о конфиденциальности в Интернете недоступно, ознакомьтесь с нашим заявлением о конфиденциальности в автономном режиме: C:\Windows\system32 \en-US \erofflps.txt
Это было сообщение об ошибке Bluescreen
Обнаружена проблема, и Windows была закрыта для предотвращения повреждения вашего компьютера.
Кажется, проблема вызвана следующим файлом: mfehidk01.sys
SYSTEM_SERVICE_EXCEPTION
Если вы впервые видите этот экран с сообщением об ошибке остановки, перезагрузите компьютер. Если этот экран появляется снова, выполните следующие действия:
Убедитесь, что любое новое аппаратное или программное обеспечение установлено правильно. Если это новая установка, обратитесь к производителю оборудования или программного обеспечения за обновлениями Windows, которые могут вам понадобиться.
Если проблемы продолжаются, отключите или удалите все вновь установленное оборудование или программное обеспечение. Отключите параметры памяти BIOS, такие как кэширование или теневое копирование. Если вам нужно использовать безопасный режим для удаления или отключения компонентов, перезагрузите компьютер, нажмите F8, чтобы выбрать «Дополнительные параметры запуска», а затем выберите «Безопасный режим».
Техническая информация:
*** STOP: 0x0000003b (0x00000000c0000005, 0xfffff880210edaef, 0xfffff880204df500, 0x0000000000000000)
*** mfehidk01.sys — Адрес 0xfffff880210edaef base в 0xfffff880210de000 DateStamp 0x4e1ba40c
Ошибка 00000000c0000005 — yoursketch.ru
ошибка 00000000c00000050xc как исправить ошибку windows 7 и windows Что это за ошибка и как её исправить: множество вариантов решений проблемы кода ошибки 0xc Введение.
Данная статья создана для ознакомления с ошибкой “0хс” и методы её решения. Общие сведения. Довольно часто пользователи операционной системы Windows в последнее время начали. Error 0xc — ошибка, появляющаяся при запуске приложений на Windows. Проблема возникает на системном уровне и связана с некорректно работающими компонентами. Можно произвести устранение неполадки самостоятельно, без. Самая частая причина ошибки при запуске приложения 0xc заключается в установленных обновлениях Windows, но есть также и другие причины, о которых я расскажу.
Окно с ошибкой, в котором присутствует код 0xc, может появляться по различным причинам. Самая распространенная – это установка Вами или операционной системой в автоматическом режиме последних.
Введение. Данная статья создана для ознакомления с ошибкой “0хс” и методы её решения. Общие сведения. Довольно часто пользователи операционной системы Windows в последнее время начали. Самая частая причина ошибки при запуске приложения 0xc заключается в установленных обновлениях Windows, но есть также и другие причины, о которых я расскажу.
Здесь вы узнаете, 0xc как исправить ошибку Windows В этом нет ничего сложного, если четко следовать указаниям из этой статьи. Мы привели самые популярные методы решения проблемы.
Похожее:
КриптоПРО и VirtualBox = BSOD
Всем доброго времени!
Как оказалось VirtualBox при запуске виртуального хоста и установленном в системе КриптоПРО вызывает BSOD.
Дополнительные сведения об этой проблеме:
BCCode: 3b
BCP1: 00000000C0000005
BCP2: FFFFF80003E7776F
BCP3: FFFFF8800BC42BD0
BCP4: 0000000000000000
Поиск Yandex и Google дал понять, что я не одинок в данной проблеме. Поиск по форуму КриптоПРО помог найти решение.
Нужная нам ветка реестра:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude]
Добавляемые записи:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxHeadless] "FileName"="VBoxHeadless.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxNetDHCP] "FileName"="VBoxNetDHCP.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VirtualBox] "FileName"="VirtualBox.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxBalloonCtrl] "FileName"="VBoxBalloonCtrl.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxBugReport] "FileName"="VBoxBugReport.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxDTrace] "FileName"="VBoxDTrace.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxExtPackHelperApp] "FileName"="VBoxExtPackHelperApp.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\vbox-img] "FileName"="vbox-img.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxManage] "FileName"="VBoxManage.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxNetNAT] "FileName"="VBoxNetNAT.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxSDL] "FileName"="VBoxSDL.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxSDS] "FileName"="VBoxSDS.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxSVC] "FileName"="VBoxSVC.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxTestOGL] "FileName"="VBoxTestOGL.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VBoxWebSrv] "FileName"="VBoxWebSrv.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\VirtualBoxVM] "FileName"="VirtualBoxVM.exe"
Для удобства предлагаю скачать reg файл, который можно запустить для добавление в реестр вышеуказанных строк.
Обязательно после этого перезагружаем компьютер.
Опробовано на версиях программ:
Virtualbox 6.0.4 r128413
КриптоПРО 4.0.9963
Всем удачи!
Понравилась статья? Поделиться с друзьями:
Samsung NP300E5A, рябь на экране и 0x0000003b? — Хабр Q&A
Есть ноутбук Samsung NP300E5A S05RU:Intel® Core™ i5-2430M (2,40 ГГц, 3МБ L3 Cache)
NVIDIA® GeForce® GT 520MX Graphics, Optimus™ technology
1 ГБ gDDR3
Intel HM65
Windows 7 Ultimate x64
— все апдейты системы + по возможности (когда уследил) — апдейты драйверов. Аппарату год от покупки. Перегревом вроде не страдает (в отличие от ноутбука жены — Samsung Q210, больше 4-х лет, работает, как часы, но греется так, что касаться не желательно. Два раза полностью разбирал, продувал и чистил с заменой термопаст — помогало на максимум на месяц).
Уже не первый раз явления:
- Смотрим фильм через VLC, рябь на экране, вылет в 0x0000003b:
Система:
Сигнатура проблемы:
Имя события проблемы: BlueScreen
Версия ОС: 6.1.7601.2.1.0.256.1
Код языка: 1049Дополнительные сведения об этой проблеме:
BCCode: 3b
BCP1: 00000000C0000005
BCP2: FFFFF800020E7284
BCP3: FFFFF8800CA5FC80
BCP4: 0000000000000000
OS Version: 6_1_7601
Service Pack: 1_0
Product: 256_1BlueScreenView:
021813-31449-01.dmp 18.02.2013 22:56:22 SYSTEM_SERVICE_EXCEPTION 0x0000003b 00000000`c0000005 fffff800`020e7284 fffff880`0ca5fc80 00000000`00000000 ntoskrnl.exe ntoskrnl.exe+7efc0 NT Kernel & System Microsoft® Windows® Operating System Microsoft Corporation 6.1.7601.17944 (win7sp1_gdr.120830-0333) x64 C:\Windows\Minidump\021813-31449-01.dmp 4 15 7601 - Опять-таки видео, одновременно «щелк» и завис видео на несколько секунд, потом все в норме. HDD Scan показывает:
Model: SAMSUNG HN-M500MBB
Firmware: 2AR10001
Serial: S2RSJ9ABA22081
LBA: 976773168Num Attribute Name Value Worst Raw(hex) Threshold
001 Raw Read Error Rate 100 100 00000000-0007 051
010 Spin Retry Count 252 252 00000000-0000 051
002 Throughput performance 252 252 00000000-0000 000
003 Spin Up Time 091 091 00000000-0B29 025
004 Start/Stop Count 100 100 00000000-02B3 000
005 Reallocation Sector Count 252 252 00000000-0000 010
007 Seek Error Rate 252 252 00000000-0000 051
008 Seek time Perfomance 252 252 00000000-0000 015
009 PowerOn Hours Count 100 100 00000000-17B1 000
011 Recalibration Retries 100 100 00000000-02C8 000
012 Device Power Cycle Count 100 100 00000000-02A6 000
191 G-sense error rate 095 095 00000000-C930 000 // И здесь обращает на себя внимание. Я его не тряс и не бил, честно.
192 Power-off retract count 252 252 00000000-0000 000
194 HDA Temperature 047 038 53 C 000
195 Hardware ECC Recovered 100 100 00000000-0000 000
196 Reallocation Event Count 252 252 00000000-0000 000
197 Current Pending Sector Count 252 252 00000000-0000 000
198 Uncorrectable Sector Count 252 252 00000000-0000 000
199 UltraDMA CRC Error Count 200 200 00000000-0000 000
200 Write Error Rate 100 100 00000000-0577 000
223 Load retry count 100 100 00000000-02C8 000
225 Load cycle count 094 094 00000001-1273 000— такая штука была пару раз, отключил в электропите уход жесткого в сон — пока не наблюдаю.
В общем, в железках я не очень разбираюсь. Подскажите, пожалуйста, долго ли больной проживет, что за бсоды, стоит ли беспокоится за жесткий?
Случайные синие экраны, нужна помощь в анализе файла дампа!
SYSTEM_SERVICE_EXCEPTION (3b) Возникла исключительная ситуация при выполнении процедуры системного обслуживания. Аргументы: Arg1: 00000000c0000005, Код исключения, вызвавший проверку чека Arg2: fffff80616a07297, Адрес инструкции, вызвавшей проверку чека Arg3: ffff808c53f1db30, Адрес контекстной записи для исключения, вызвавшего проверку чека Arg4: 00000000000000, ноль.
Детали отладки:
KEY_VALUES_STRING: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 401
BUILD_VERSION_STRING: 17134.1.amd64fre.rs4_release.180410-1804
SYSTEM_MANUFACTURER: производитель системы
SYSTEM_PRODUCT_NAME: системный продукт
SYSTEM_SKU: SKU
SYSTEM_VERSION: версия системы
BIOS_VENDOR: американская Megatrends Inc.
BIOS_VERSION: 3402
BIOS_DATE: 05/07/2012
BASEBOARD_MANUFACTURER: ASUSTeK Computer INC.
BASEBOARD_PRODUCT: P8Z68-V
BASEBOARD_VERSION: Rev 1.xx
DUMP_TYPE: 1
BUGCHECK_P1: c0000005
BUGCHECK_P2: fffff80616a07297
BUGCHECK_P3: ffff808c53f1db30
BUGCHECK_P4: 0
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 — Инструкция в 0x% p ссылается на память в 0x% p. Память не может быть% s.
FAULTING_IP: dxgmms2! VidSchiInterlockedInsertTailList + 27 fffff806`16a07297 483930 cmp qword ptr [rax], rsi
КОНТЕКСТ: ffff808c53f1db30 — (.cxr 0xffff808c53f1db30) Ракс = fdffc98b30b42f10 RBX = ffffc98b34581018 RCX = ffffb98040340180 RDX = 0000000000000000 рши = ffffc98b30b42f10 RDI = ffffc98b30b42f20 отрываться = fffff80616a07297 RSP = ffff808c53f1e520 РБП = 00000000000003f8 r8 = ffffc98b34581018 г9 = ffffc98b30b42f20 r10 = r11 = ffff808c53f1e540 ffffc98b2e974778 r12 = 0000000000000000 r13 = 0000000000000000 r14 = ffffc98b2e974000 r15 = 0000000000000001 iopl = 0 nv up ei ng nz na po nc cs = 0010 сс = 0018 ds = 002b es = 002b fs = 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 0 16a07297 483930 cmp qword ptr [rax],rsi ds:002b:fdffc98b
30b42f10 = ???????????????????????? Сброс области по умолчанию
CPU_COUNT: 4
CPU_MHZ: ce4
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 2a
CPU_STEPPING: 7
CPU_MICROCODE: 6,2a, 7,0 (F, M, S, R) SIG: 29’00000000 (кэш) 29’00000000 (init)
BLACKBOXBSD: 1 (! Blackboxbsd)
BLACKBOXPNP: 1 (! Blackboxpnp)
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: 0x3B
PROCESS_NAME: firefox.exe
CURRENT_IRQL: 2
ANALYSIS_SESSION_HOST: DESKTOP-2FBVQN5
ANALYSIS_SESSION_TIME: 06-01-2018 17: 59: 31.0565
ANALYSIS_VERSION: 10.0.17134.12 x86fre
LAST_CONTROL_TRANSFER: от fffff80616a76414 до fffff80616a07297
STACK_TEXT:
ffff808c 53f1e520 fffff806
16a76414: ffffc98b 34581010 00000000
000003f8 ffffc98b 316b96e0 ffff808c
53f1e5f9: dxgmms2 VidSchiInterlockedInsertTailList + 0x27 ffff808c 53f1e570 fffff806
16a0633c: 00000000 00013c74 ffffc98b
00000001 ffffc98b 346db6c0 00000000
00013c74: dxgmms2 VidSchiAllocateQueuePacket + 0xd4 ffff808c 53f1e660 fffff806
1678cf51: 00000000 00013c74 ffffd988
00000000 ffffd988 f596ce50 00000000
00013c74: dxgmms2 VidSchWaitForSingleSyncObject + 0x6c ffff808c 53f1e720 fffff806
1678c874: 00000085 1271eb40 00000085
1271eb10 ffff808c 53f1eb80 ffff808c
53f1e901: dxgkrnl WaitForSynchronizationObjectFromGpu + 0x641 ffff808c! 53f1e970 fffff806
1678c516: 00000000 8000ff80 ffffc98b
30cc4700 00000085 1271eb10 00000000
00013c74: dxgkrnl DxgkWaitForSynchronizationObjectFromGpuInternal + 0x344 ffff808c! 53f1ea90 fffffcd0
46c13611: 00000085 1271ec28 ffffffff
f4143e00 ffffc98b 30cc4700 00000085
1271e054: dxgkrnl! DxgkWaitForSynchronizationObjectFromGpu + 0x16 ffff808c 53f1ead0 fffff800
a9e4322 3: ffffc98b 30cc4700 00000000
00000000 00000000 00000000 ffffc98b
3161fb10: win32kbase NtGdiDdDDIWaitForSynchronizationObjectFromGpu + 0x11 ffff808c! 53f1eb00 00007ff8
0d1f5b04: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: нт KiSystemServiceCopyEnd + 0x13 00000085 1271ea18 00000000
00000000: 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000: 0x00007ff8 `0d1f5b04
THREAD_SHA1_HASH_MOD_FUNC: eddfa5d36c71a8f2dba2e1b5f747e1fa401e601c
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 5d32c90e3e3259fd8767e8e3c385c95d9f687ddf
THREAD_SHA1_HASH_MOD: 9f57e6909d0fd5a2889a39f0e01fa4b078e892ce
FOLLOWUP_IP: dxgmms2! VidSchiInterlockedInsertTailList + 27 fffff806`16a07297 483930 cmp qword ptr [rax], rsi
FAULT_INSTR_CODE: f303948
SYMBOL_STACK_INDEX: 0
SYMBOL_NAME: dxgmms2! VidSchiInterlockedInsertTailList + 27
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: dxgmms2
IMAGE_NAME: dxgmms2.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 0
IMAGE_VERSION: 10.0.17134.1
STACK_COMMAND: .cxr 0xffff808c53f1db30; т.п.н.
BUCKET_ID_FUNC_OFFSET: 27
FAILURE_BUCKET_ID: 0x3B_dxgmms2! VidSchiInterlockedInsertTailList
BUCKET_ID: 0x3B_dxgmms2! VidSchiInterlockedInsertTailList
PRIMARY_PROBLEM_CLASS: 0x3B_dxgmms2! VidSchiInterlockedInsertTailList
TARGET_TIME: 2018-06-01T15: 57: 01.000Z
OSBUILD: 17134
OSSERVICEPACK: 0
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 10
OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2018-04-28 05:58:00
BUILDDATESTAMP_STR: 180410-1804
BUILDLAB_STR: rs4_release
BUILDOSVER_STR: 10.0.17134.1.amd64fre.rs4_release.180410-1804
ANALYSIS_SESSION_ELAPSED_TIME: 6 фб
ANALYSIS_SOURCE: КМ
FAILURE_ID_HASH_STRING: км: 0x3b_dxgmms2! Vidschiinterlockedinserttaillist
FAILURE_ID_HASH: {a5d18a36-166e-5d4f-135e-717b6d899ebc}
Продолжение: MachineOwner
Проверка ошибок 0x3B SYSTEM_SERVICE_EXCEPTION — драйверы Windows
- 4 минуты на чтение
В этой статье
Проверка ошибок SYSTEM_SERVICE_EXCEPTION имеет значение 0x0000003B. Это указывает на то, что во время выполнения подпрограммы, которая переходит от непривилегированного кода к привилегированному, произошло исключение.
Важно
Эта тема для программистов. Если вы являетесь клиентом, который получил код ошибки синего экрана при использовании компьютера, см. Раздел Устранение ошибок синего экрана.
Параметры SYSTEM_SERVICE_EXCEPTION
Параметр | Описание |
---|---|
1 | Исключение, вызвавшее проверку на ошибку. |
2 | Адрес инструкции, вызвавшей проверку на ошибку |
3 | Адрес контекстной записи для исключения, вызвавшего проверку на ошибку |
4 | 0 |
Причина
Этот код остановки указывает, что при выполнении кода возникла исключительная ситуация, и поток, который был ниже него, является системным потоком.
Информация об исключении, возвращаемая параметром 1, описана в значениях NTSTATUS. Коды исключений определены в ntstatus.h , файле заголовка, предоставляемом Windows Driver Kit. (Дополнительные сведения см. В разделе «Заголовочные файлы в комплекте драйверов для Windows»).
Общие коды исключений включают:
0x80000003: STATUS_BREAKPOINT
Точка останова или ASSERT обнаружена, когда к системе не был подключен отладчик ядра.
0xC0000005: STATUS_ACCESS_VIOLATION
Произошло нарушение доступа к памяти.(Параметр 4 проверки ошибок — это адрес, к которому драйвер пытался получить доступ.)
Разрешение
Для устранения этой проблемы используйте команду .cxr (запись контекста отображения) с параметром 3, а затем используйте kb (обратная трассировка стека отображения). Вы также можете установить точку останова в коде, который предшествует этому коду остановки, и попытаться перейти на один шаг вперед в код ошибки. Используйте команды u , ub , uu (unassemble), чтобы увидеть код ассемблерной программы.
Расширение отладчика ! Analysis отображает информацию о проверке ошибок и может помочь в определении основной причины. Следующий пример выводится из ! Анализировать .
SYSTEM_SERVICE_EXCEPTION (3b)
Исключение произошло при выполнении подпрограммы системного обслуживания.
Аргументы:
Arg1: 00000000c0000005, код исключения, вызвавший проверку ошибок
Arg2: fffff802328375b0, адрес инструкции, которая вызвала ошибку.
Arg3: ffff9c0a746c2330, адрес контекстной записи для исключения, вызвавшего проверку ошибок.
Arg4: 0000000000000000, ноль....
Дополнительные сведения о WinDbg и ! Анализировать см. В следующих разделах:
Определить водителя
Если драйвер, ответственный за ошибку, может быть идентифицирован, его имя печатается на синем экране и сохраняется в памяти по адресу (PUNICODE_STRING) KiBugCheckDriver . Вы можете использовать команду отладчика dx (отображение выражения объектной модели отладчика), чтобы отобразить это: dx KiBugCheckDriver
.
Используйте расширение ! Error для отображения информации о коде исключения в параметре 1.Ниже приведен пример вывода ошибки !. .
2: kd>! Ошибка 00000000c0000005
Код ошибки: (NTSTATUS) 0xc0000005 (3221225477) - инструкция по адресу 0x% p обратилась к памяти по адресу 0x% p. Память не может быть% s.
Посмотрите на вывод STACK TEXT WinDbg, чтобы понять, что выполнялось, когда произошел сбой. Если доступно несколько файлов дампа, сравните их информацию, чтобы найти общий код в стеке. Используйте команды отладчика, такие как kb (обратная трассировка стека дисплея), чтобы исследовать код ошибки.
Используйте следующую команду для вывода списка модулей, загруженных в память: lm t n
Используйте ! Memusage для проверки общего состояния системной памяти. Вы также можете использовать команды ! Pte и ! Pool для проверки определенных областей памяти.
В прошлом эта ошибка была связана с чрезмерным использованием выгружаемого пула, что могло произойти из-за перехода графических драйверов пользовательского режима и передачи неверных данных в код ядра.Если вы подозреваете, что это так, используйте параметры пула в Driver Verifier для сбора дополнительной информации.
Средство проверки драйверов
Driver Verifier — это инструмент, который работает в режиме реального времени для проверки поведения драйверов. Например, Driver Verifier проверяет использование ресурсов памяти, таких как пулы памяти. Если он выявляет ошибки в выполнении кода драйвера, он заранее создает исключение, позволяющее изучить эту часть кода драйвера. Диспетчер проверки драйверов встроен в Windows и доступен на всех ПК с Windows.
Чтобы запустить диспетчер проверки драйверов, введите в командной строке верификатор . Вы можете настроить, какие драйверы проверять. Код, проверяющий драйверы, добавляет накладные расходы при запуске, поэтому постарайтесь проверить как можно меньшее количество драйверов. Для получения дополнительной информации см. Driver Verifier.
Замечания
Для общего устранения неполадок, связанных с кодами проверки ошибок Windows, следуйте этим советам:
Если недавно были добавлены новые драйверы устройств или системные службы, попробуйте удалить или обновить их.Попытайтесь определить, что изменилось в системе, что привело к появлению нового кода проверки ошибок.
Посмотрите в диспетчере устройств, помечены ли какие-либо устройства восклицательным знаком (!), Который указывает на проблему. Просмотрите журнал событий, отображаемый в свойствах, на наличие неисправного драйвера устройства. Попробуйте обновить соответствующий драйвер.
Проверьте системный журнал в средстве просмотра событий на наличие дополнительных сообщений об ошибках, которые могут помочь определить устройство или драйвер, вызывающие ошибку.Ищите критические ошибки в системном журнале, которые произошли в том же временном окне, что и синий экран.
Если вы недавно добавляли оборудование в систему, попробуйте удалить или заменить его. Или обратитесь к производителю, чтобы узнать, доступны ли какие-либо исправления.
Дополнительные общие сведения об устранении неполадок см. В разделе «Данные синего экрана».
windows 7 — Как узнать, в чем причина этой ошибки синего экрана?
У меня ошибка синего экрана, и через 10 секунд мой 64-битный домашний премиум-ПК с Windows 7 перезапустился.
После перезапуска у меня появилась причина перезапустить. Я волнуюсь, если с моим компьютером что-то не так. У меня антивирус McAfee с включенным автоматическим обновлением.
Сигнатура проблемы: Проблема Имя события: ОС BlueScreen Версия: 6.1.7601.2.1.0.768.3 Идентификатор языка: 16393
Дополнительная информация о проблеме: BCCode: 3b
BCP1: 00000000C0000005 BCP2: FFFFF880210EDAEF
BCP3: FFFFF880204DF500 BCP4: 0000000000000000 Версия ОС: 6_1_7601 Пакет обновления: 1_0 Товар: 768_1Файлы, помогающие описать проблему:
C: \ Windows \ Minidump \ 082311-26457-01.dmp
C: \ Users \ jitendra \ AppData \ Local \ Temp \ WER-58718-0.sysdata.xmlПрочтите наше заявление о конфиденциальности на сайте:
http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0409Если заявление о конфиденциальности в Интернете недоступно, прочтите наш Заявление о конфиденциальности в автономном режиме: C: \ Windows \ system32 \ en-US \ erofflps.txt
Это сообщение об ошибке Bluescreen
Обнаружена проблема, и Windows была отключена для предотвращения повреждение вашего компьютера.
По всей видимости, причиной проблемы стал следующий файл: mfehidk01.sys
SYSTEM_SERVICE_EXCEPTION
Если вы впервые видите этот экран с ошибкой остановки, перезапустите твой компьютер. Если этот экран появляется снова, выполните следующие действия:
Убедитесь, что все новое оборудование или программное обеспечение установлено правильно. Если это новая установка, спросите свое оборудование или программное обеспечение. производителя для любых обновлений Windows, которые могут вам понадобиться.
Если проблемы не исчезнут, отключите или удалите все недавно установленное оборудование. или программное обеспечение.Отключите такие параметры памяти BIOS, как кэширование или теневое копирование. Если вам нужно использовать безопасный режим для удаления или отключения компонентов, перезапустите ваш компьютер, нажмите F8, чтобы выбрать Дополнительные параметры запуска, а затем выберите безопасный режим.
Техническая информация:
*** СТОП: 0x0000003b (0x00000000c0000005, 0xfffff880210edaef, 0xfffff880204df500, 0x0000000000000000)
*** mfehidk01.sys — Адрес базы 0xfffff880210edaef в 0xfffff880210de000 DateStamp 0x4e1ba40c
BlueScreen TerminalServer Windows 2016 — VMware Technology Network VMTN
Привет,
У нас возникли проблемы, и нам нужна помощь.
У нас есть некоторые виртуальные машины в качестве TerminalServer с Windows Server 2016 на ESXi 6.5.0, 11925212, Windows имеет актуальные обновления и обновленный
иногда приводит к сбою виртуальной машины с экраном Bluescreen.
В Memorydum указано:
Microsoft (R) Windows Debugger Version 10.0.17763.132 AMD64
Copyright (c) Microsoft Corporation. Все права защищены.
Загрузка файла дампа [C: \ Users \ muel77al \ Desktop \ MEMORY.DMP]
Файл дампа растрового изображения ядра: доступно адресное пространство ядра, адресное пространство пользователя может быть недоступно.
Путь поиска символов: srv *
Путь поиска исполняемых файлов:
Версия ядра Windows 10 14393 MP (4 процесса) Бесплатная x64
Продукт: Сервер, набор: TerminalServer
Создано: 14393.2828.amd64fre.rs1_release_inmarket. 1
-1457
Имя компьютера:
База ядра = 0xfffff801`d1c93000 PsLoadedModuleList = 0xfffff801`d1f95180
Время сеанса отладки: четверг, 4 апреля, 14: 18: 04.427 2019 (UTC + 2:00)
Время работы системы: 0 дней 10:54:24.090
Загрузка символов ядра
…………………………………… …………………
……………………… ……………………………….
……….. ………….
Загрузка пользовательских символов
PEB выгружается (Peb.Ldr = 000000d9`3b327018). Для получения подробной информации введите «.hh dbgerr001».
Загрузка списка выгруженных модулей
……
************************* ********************************************************************************************************************************************************************************************************************************************************** ***
* *
* Анализ ошибок *
* *
****************************** ***********************************************
Используйте! Analysis -v, чтобы получить подробную информацию об отладке.
BugCheck 3B, {c0000005, fffff9592560af59, ffffc301bf982c90, 0}
Вероятно, вызвано: win32kbase.sys (win32kbase! HMChangeOwnerThread + 49)
Followup: MachineOwner —-
— kd>! analysis -v
***************************************** ************************************
* *
* Анализ ошибок *
* *
********************************************** *******************************
SYSTEM_SERVICE_EXCEPTION (3b)
Исключительная ситуация при выполнении подпрограммы системного обслуживания.
Аргументы:
Arg1: 00000000c0000005, Код исключения, вызвавший проверку ошибок
Arg2: fffff9592560af59, Адрес инструкции, которая вызвала проверку ошибок
Arg3: ffffc301bf982c90, Адрес контекстной записи для исключения, вызвавшего проверку ошибок
Arg4: 0000000000000000, ноль.Сведения об отладке:
——————
KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 401
BUILD_VERSION_STRING: 14393.2828.amd64fre.rs1_release_inmarket.1
-1457
SYSTEM_MANUFACTURER: VMware, Inc.
ВИРТУАЛЬНАЯ_МАШИНА: VMware
SYSTEM_PRODUCT_NAME: VMware Virtual Platform
SYSTEM_VERSION: BIOS
LTD_DATE_VERSION
BIOS_VERSION
BIOS_VERSION: Нет
BIOS_END 04/05/2016
BASEBOARD_MANUFACTURER: Корпорация Intel
BASEBOARD_PRODUCT: 440BX Desktop Reference Platform
BASEBOARD_VERSION: Нет
DUMP_TYPE: 1
BUGCHECK_P1: c0000005
BUGCHECK_P2: fffff9592560af59
BUGCHECK_P3: ffffc301bf982c90
BUGCHECK_P4: 0
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 — Умирает сообщение в 0x% p verwies auf Arbeitsspeicher bei 0x% p.Der Vorgang% s konnte im Arbeitsspeicher nicht durchgef hrt werden.
FAULTING_IP:
win32kbase HMChangeOwnerThread + 49
fffff959`2560af59 488b8870010000 мов RCX, QWORD PTR [Ракс + 170H]
КОНТЕКСТ: ffffc301bf982c90 — (.cxr 0xffffc301bf982c90)
Ракс = 0000000000000000 RBX = fffff922c4074430 RCX = fffff922c4074430
RDX = 0000000000000000 рши = 0000000000000000 RDI = fffff922c0711b10
отрываться = fffff9592560af59 RSP = ffffc301bf983680 RBP = fffff95925692e4c
r8 = fffff922c0007010 г9 = fffff922c040c498 r10 = 7fffad0c16963080
r11 = 7ffffffffffffffc r12 = 0000000000000001 R13 = 0000000000000000
r14 = 000000d93b33c000 r15 = 0000000000000000
iopl = 0 nv up ei pl nz na pe nc
cs = 0010 ss = 0018 ds = 002b es = 002b fs = 0053 gs = 002b efl = 00010202
win32kbase! HMChangeOwnerThread + 0x49`14 fff:
Сброс области действия по умолчанию
CPU_COUNT: 4
CPU_MHZ: 898
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3a
CPU_STEPPING: 0
CPU_MICROCODE (F , S, R) SIG: B000033’00000000 (кеш) B000033’00000000 (инициализация)
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: 0x3B
ИМЯ ПРОЦЕССА: csrss.EXE
CURRENT_IRQL: 0
ANALYSIS_SESSION_HOST: PC023176
ANALYSIS_SESSION_TIME: 04-04-2019 14: 49: 40,0532
ANALYSIS_VERSION: 10.0.17763.132 amd64fre
LAST_CONTROL_TRANSFER: от fffff959255ce292 к fffff9592560af59
STACK_TEXT:
ffffc301`bf983680 fffff959`255ce292: fffff922`c040c498 fffff922`c0711b10 00000000`00000000 000000d9`3b33c000: win32kbase HMChangeOwnerThread + 0x49
ffffc301`bf9836b0 fffff959`255a68c6: ffffc301`bf983780 fffff959`256b03a0 fffff922`c0711b10 00000000`00000000: win32kbase MarkThreadsObjects + 0x82
ffffc301`bf9836e0 fffff959`255a73e6: 00000000`00000001 fffff922`c0711b10 00000000`00000000 fffff922`c0711b10: win32kbase xxxDestroyThreadInfo + 0x5ba
ffffc301`bf983850 fffff959`252f8b94: 00000000`00000000 00000000`00000001 ffff8a89`82f2e080 00000000`00000001: win32kbase! UserThreadCallout + 0x296
ffffc301`bf9838a0 fffff959`255b2397: ff ffc301`bf9839f8 fffff801`d1f8f400 ffffad0c`0be94fe0 ffffffff`80002514: win32kfull W32pThreadCallout + 0x54
ffffc301`bf9838d0 fffff801`d21725d7: ffffc301`bf9839f8 fffff801`d1f8f400 ffffc301`bf983980 00000000`00000000: win32kbase W32CalloutDispatch + 0x147
ffffc301`bf983910 fffff801`d21a0821: 00000000`00000000 ffffc301`bf983980 00000000`00000000 00000000`00000000: nt! ExCallCallBack + 0x37
ffffc301`bf983940 fffff801`d2092902: 00000000`00000000 ffff8a02f08000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
ffffc301`bf983a80 fffff801`d2092800: ffff8a89`82f2e080 00000000`00000000 ffff8a89`82f2e080 00000000`00000000: нт PspTerminateThreadByPointer + 0x96
ffffc301`bf983ac0 fffff801`d1dff403: ffff8a89`82f2e080 ffffc301`bf983b80 00000000`00000000 ffff8a89`7a6a74f0: нт! NtTerminateThread + 0x44
ffffc301`bf983b00 00007ffd`a63d6564: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: ! Нт KiSystemServiceCopyEnd + 0x13
000000d9`3b4ffd68 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffd`a63d6564
THREAD_SHA1_HASH_MOD_FUNC: 9c78c52b302a4ede55b99ec9ba9cad5b89900bdf
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 4d7c469b9c9432ce01d132b699944e3f2395581d
THREAD_SHA1_HASH_MOD: 5f674a06a6cc525acf0570b4c25dfcfdc237d3ac
FOLLOWUP_IP:
win32kbase! HMChangeOwnerThread + 49
fffff959`2560af59 488b8870010000 mov rcx, qword ptr [rax + 170h]
FAULT_INSTR_CODE: 70888b48
FAULT_INSTR_CODE: 70888b48
Machine15 SYMBOL_NAME_STACK_NAME_INDEXWINDEX: 0: 0 SYMBOL_NAME_STACK_NAME_IND14 SYMBOL win32kbaseIMAGE_NAME: win32kbase.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 5bd13431
IMAGE_VERSION: 10.0.14393.2608
STACK_COMMAND: .cxr 0xffffc301bf982c90;
кб BUCKET_ID_FUNC_OFFSET: 49
FAILURE_BUCKET_ID: 0x3B_win32kbase HMChangeOwnerThread
BUCKET_ID: 0x3B_win32kbase HMChangeOwnerThread
PRIMARY_PROBLEM_CLASS: 0x3B_win32kbase HMChangeOwnerThread
TARGET_TIME: 2019-04-04T12: 18: 04.000Z
OSBUILD: 14393
OSSERVICEPACK: 0
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 16
PRODUCT_TYPE: 3
OSPLATFORM_TYPE: x64
OSNAME: Windows 10
OSEDITION: Windows 10 Server TerminalServer
OSBUILD_TIMESTAMP: 2019-02-17 02:56:01
BUILDDATESTAMP_STR: 1
-1457
BUILDLAB_STR: rs1_release_inmarket
BUILDOSVER_STR: 10.0.14393.2828.amd64fre.rs1_release_inmarket.1
-1457
ANALYSIS_SESSION_ELAPSED_TIME: 4д1
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: км: 0x3b_win32kbase hmchangeownerthread
FAILURE_ID_HASH: {1eae2e18-8d71-cfb9-bae0-7ed3c0e1d54a}
Followup: MachineOwner
———
Как говорят люди. это потому, что графический драйвер вызывает эту проблему?
Надеюсь, вы мне поможете
Каждый раз, когда я играю в ковчег, я получаю BSOD.:: ARK: Survival Evolved Общие обсуждения
Каждый раз, когда я играю в ковчег, я получаю BSOD.
Ark — единственная игра, в которой это тоже есть. Я играю в кучу других игр и у меня нет проблем, кроме ark. Вот копия моего минидампа. SYSTEM_SERVICE_EXCEPTION (3b)
Исключительная ситуация при выполнении подпрограммы системного обслуживания.
Аргументы:
Arg1: 00000000c0000005, Код исключения, вызвавший проверку ошибок
Arg2: fffff802f7fb5357, Адрес инструкции, вызвавшей проверку ошибок
Arg3: ffffa109c897e1a0, Адрес контекстной записи для исключения, вызвавшего ошибку 1200000000,
000000: 0 .
Сведения об отладке:
——————
TRIAGER: не удалось открыть файл сортировки: e: \ dump_analysis \ program \ triage \ modclass.ini, ошибка 2
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 — Инструкция по адресу «0x% 08lx» ссылается на память по адресу «0x% 08lx». Память не может быть «% s».
FAULTING_IP:
нт ExpInterlockedPopEntrySListFault + 0
fffff802`f7fb5357 498b08 мы RCX, QWORD PTR [r8]
КОНТЕКСТ: ffffa109c897e1a0 — (.cxr 0xffffa109c897e1a0)
Ракс = 000003eeeaa
- RBX = 0000000000000000 RCX = ffff8f0dbba95aa0
- Раздражающая ошибка System Service Exception часто вызвана несовместимостью драйверов или программного обеспечения.
- Поскольку вы видите сообщение SYSTEM_SERVICE_EXCEPTION, выполните сканирование, используя следующие шаги.
- Вы также можете попробовать обновить драйверы с помощью специального инструмента, одобренного Microsoft.
- Не сомневайтесь, проверьте жесткий диск и навсегда решите эту проблему BSOD с исключениями системной службы.
- Загрузите Restoro PC Repair Tool , который поставляется с запатентованными технологиями (патент доступен здесь).
- Нажмите Начать сканирование , чтобы найти проблемы Windows, которые могут вызывать проблемы с ПК.
- Нажмите Восстановить все , чтобы исправить проблемы, влияющие на безопасность и производительность вашего компьютера.
- Restoro загрузили 0 читателей в этом месяце.
- SYSTEM_SERVICE_EXCEPTION Windows 10
- Эта ошибка обычно возникает в Windows 10
- SYSTEM_SERVICE_EXCEPTION Windows 7
- Однако BSOD, вызванные этой проблемой, также часто встречаются в Windows 7 .
- SYSTEM_SERVICE_EXCEPTION 00000000`c0000005
- Это только один из кодов ошибок, связанных с этой проблемой
- SYSTEM_SERVICE_EXCEPTION 0x0000003b
- Другой код ошибки, который сопровождает ошибку SYSTEM_SERVICE_EXCEPTION
- SYSTEM_SERVICE_EXCEPTION netio.sys Windows 10
- Другой код ошибки, который сопровождает ошибку SYSTEM_SERVICE_EXCEPTION
- SYSTEM_SERVICE_EXCEPTION Синий экран
- Как вы уже знаете, за этой ошибкой всегда следует синий экран смерти
- SYSTEM_SERVICE_EXCEPTION VirtualBox
- Эта проблема возникает и на виртуальных машинах
- Отключить веб-камеру
- Удаление антивирусного программного обеспечения McAfee
- Удалить Virtual CloneDrive
- Удалите Xsplit и удалите обновление MSI Live
- Удалить BitDefender и Cisco VPN
- Удаление службы Asus GameFirst
- Запустить сканирование SFC
- Обновите драйверы
- Отключить сторонний антивирус
- Запустить средство устранения неполадок
- Проверьте жесткий диск
- Запустите средство диагностики памяти Windows
- Обновить BIOS
- Нажмите Windows Key + X сочетание клавиш и выберите Диспетчер устройств из списка.
- Теперь в диспетчере устройств вам нужно найти свою веб-камеру, щелкнуть ее правой кнопкой мыши и выбрать из списка Отключить .
- Удалите McAfee с помощью приложения Settings .
- Загрузите этот специальный инструмент.
- Запустите инструмент, чтобы полностью удалить McAfee с вашего компьютера.
- Перейдите к Search , введите devicemngr и откройте Device Manager .
- Expand Дисплейные адаптеры .
- Щелкните правой кнопкой мыши свою видеокарту и перейдите к Обновить драйвер .
- Пусть ваш компьютер автоматически найдет новые драйверы для вашего графического процессора. Дождитесь завершения процесса.
- Перезагрузите компьютер.
- Загрузите и установите DriverFix .
- Запустите программное обеспечение.
- Подождите, пока DriverFix обнаружит все неисправные драйверы.
- Приложение теперь покажет вам все драйверы, у которых есть проблемы, и вам просто нужно выбрать те, которые вы хотели исправить.
- Подождите, пока приложение загрузит и установит новейшие драйверы.
- Перезагрузите компьютер, чтобы изменения вступили в силу.
- Перейдите к Search , введите cmd и откройте командную строку от имени администратора.
- Введите следующую строку и нажмите Введите на клавиатуре:
sfc / scannow
- Дождитесь завершения процесса.
- Перезагрузите компьютер.
- Перейдите в приложение Settings .
- Перейдите на страницу Обновление и безопасность , затем Устранение неполадок .
- Найдите BSOD и нажмите Запустить средство устранения неполадок .
- Следуйте дальнейшим инструкциям на экране.
- Перезагрузите компьютер.
- Перейдите в командную строку (как показано выше).
- Введите следующую строку и нажмите Введите на клавиатуре:
chkdsk / f C:
- Дождитесь завершения процесса.
- Перезагрузите компьютер.
- Перейдите к Найдите , введите диагностику памяти и откройте средство диагностики памяти .
- Когда появится всплывающее окно, выберите Перезагрузить сейчас и проверьте наличие проблем .
- Подождите, пока ваш компьютер перезагрузится.
- Загрузите этот PC Repair Tool с оценкой «Отлично» на TrustPilot.com (загрузка начинается с этой страницы).
- Нажмите Начать сканирование , чтобы найти проблемы Windows, которые могут вызывать проблемы с ПК.
- Нажмите Восстановить все , чтобы исправить проблемы с запатентованными технологиями (эксклюзивная скидка для наших читателей).
RDX = 31526d7302040038 рша = ffff8f0dbba95aa0 RDI = ffff8f0dbba99730
рип = fffff802f7fb5357 RSP = ffffa109c897eb90 RBP = ffffdb00d03ea180
r8 = 31526d7302040030 г9 = 0000000000000000 r10 = ffff8f0dbba95aa0
r11 = ffff8f0dc0c8e770 r12 = 0000000000000000 R13 = ffff8f0dc0d45000
r14 = 0000000000000000 r15 = ffffa109c897ecf0
IOPL = 0 пу до эи пл nz na po nc
cs = 0010 ss = 0018 ds = 002b es = 002b fs = 0053 gs = 002b efl = 00010206
nt! ExpInterlockedPopEntrySListFault:
fffff802`f7fb5357 498b08`mov dsrx26, rtrx26, rtrx 02040030 = ????????????????
Сброс области действия по умолчанию
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: 0x3B
PROCESS_NAME: ShooterGame.ех
CURRENT_IRQL: 0
LAST_CONTROL_TRANSFER: от fffff802f8388d57 до fffff802f7fb5357
STACK_TEXT:
ffffa109`c897eb90 fffff802`f8388d57: ffff8f0d`00000008 00000000`000000ff 00000000`00000000 ffff8f0d`c0ca98a0: нт ExpInterlockedPopEntrySListFault
ffffa109`c897eba0 fffff802`f8366d2d: 00000000`00000000 ffffa109`c897ed31 ffffa109`c897ede8 00000000`00000001: nt! ObCreateObjectEx + 0x47
ffffa109`c897ec10 fffff806`761ba6ec: 00000000`00000000 ffff8f0d`0000x300000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000b0c0c0c0c0cb0c0c08 761b5293: ffffc98a`175975c0 ffffc98a`177fe801 ffffa109`c897ee01 ffffc98a`2325be00: dxgmms2 VIDMM_GLOBAL :: WaitForFences + 0x21c
ffffa109`c897ed90 fffff806`761b608d: ffff8f0d`cdd87240 ffffc98a`2325be00 00000000`00000000 ffff8f0d`c0d45000: dxgmms2 VIDMM_GLOBAL :: QueueSystemCommandAndWaitInternal + 0x187
ffffa109`c897ee50 fffff806`761b829d: ffffc98a`2b8197e0 ffffc98a`00000000 000 00000`800426c0 ffff8f0d`cdd87240: dxgmms2 VIDMM_GLOBAL :: CloseOneAllocation + 0x1bd
ffffa109`c897ef90 fffff806`76153a9a: 00000000`00000000 ffffc98a`2b8197e0 ffffa109`c897f120 00000000`00000000: dxgmms2 VIDMM_GLOBAL :: CloseAllocation + 0xb1
ffffa109`c897efe0 fffff806` 746df820: 00000000`00000000 ffffa109`c897f120 00000000`00000000 00000000`4b677844: dxgmms2 VidMmCloseAllocation + 0x1a
ffffa109`c897f020 fffff806`746e2463: ffffc98a`20fd6300 fffff806`746e23c7 ffffc98a`20fd6300 00000000`00000000: dxgkrnl DXGDEVICE :: DestroyAllocations + 0x278
ffffa109`c897f1b0 fffff806`746e0fc4: ffffc98a`20fd6300 ffffc98a`20fd6300 00000000`00000000 fffff806`74615800: dxgkrnl DXGDEVICE :: DrainAllocations + 0x5f
ffffa109`c897f210 fffff806`746f1dc4: ffffffff`ffb3b4c0 ffffffff`ffb3b4c0 ffffc98a`20fd6300 ffffc98a`2bc27720: dxgkrnl ! DXGDEVICE :: DestroyAllDeviceState + 0x1b8
ffffa109`c897f290 fffff806`746e6ea0: 00000000`00000000 ffffa109`c897f399 ffffc98a`20fd6300 ffffc98a`20fd6300: d ! Xgkrnl ADAPTER_RENDER :: DestroyDevice + 0xE0
ffffa109`c897f2c0 fffff806`746bdeb0: ffffc98a`2b8101e0 ffffc98a`2b8197e0 00000000`00005300 00000000`00000000: dxgkrnl DXGPROCESS :: Destroy + 0x394
ffffa109`c897f400 fffff806`74604ef4: ffff8f0d`cb87b580 ffffc98a` 2b8197e0 00000000`00000007 ffff8f0d`cb87b580: dxgkrnl DXGPROCESS :: DestroyDxgProcess + 0xd4
ffffa109`c897f540 fffff802`f83945f2: 00000000`00000000 00000000`00000000 ffffa109`c897ff00 ffff8f0d`c1d73c80: dxgkrnl DxgkProcessNotify + 0x84
ffffa109`c897f580 fffff802`f83746b4: ffff8f0d`cb87b500 ffff8f0d`cb87b580 00000000`00000000 00000000`00000000: нт PspCallProcessNotifyRoutines + 0x206
ffffa109`c897f650 fffff802`f82a8ae0: ffff8f0d`ca626cf8 00000000`00000000 00000000`00000000 ffff8f0d`ca626700: нт PspExitProcess + 0x70
ffffa109`c897f680 fffff802` f82aace3: 00000000`40010004 00000000`00000001 0000009c`ac648000 00000000`00000000: nt! PspExitThread + 0x568
ffffa109`c897f780 fffff802`f7e3f810: 00000000`00000 000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSchedulerApcTerminate + 0x33
ffffa109`c897f7c0 fffff802`f7fb1740: 00000000`00000000 ffffa109`c897f850 00000000`000000000000`0000×300000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000`00000001 00007ff9`5b258ca8 ffff8f0d`ffffffff fffff802`00001cff: nt! KiInitiateUserApc + 0x70
ffffa109`c897f990 00007ff9`5c5196e4: 00000000`0000`000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 Ki0000 с Kiin-типом KiInit.exe 00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x7ff9`5c5196e4
FOLLOWUP_IP:
dxgmms2! VIDMM_GLOBAL :: WaitForFences + 21c
fffff806_NAME`761ba6ec14 dxmms_ 900, SYDAX2 900, SYDAX2 900, SYDAX, 900 ! VIDMM_GLOBAL :: WaitForFences + 21c
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: dxgmms2
IMAGE_NAME: dxgmms2.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 0
STACK_COMMAND: .cxr 0xffffa109c897e1a0; kb
FAILURE_BUCKET_ID: X64_0x3B_dxgmms2! VIDMM_GLOBAL :: WaitForFences + 21c
BUCKET_ID: X64_0x3B_dxgmms2! VIDMM_GLOBAL :: WaitFor BSFences
O — ошибка системы WindowsO — Ошибка системы WindowsO- 21c by Милан СтаноевичЗаместитель редактора
Милан с детства увлекался компьютерами, и это побудило его заинтересоваться всеми технологиями, связанными с ПК.До прихода в WindowsReport он работал интерфейсным веб-разработчиком. Читать далее Обновлено:Размещено: Январь 2021 г.,
Это программное обеспечение исправит распространенные компьютерные ошибки, защитит вас от потери файлов, вредоносных программ, сбоев оборудования и оптимизирует ваш компьютер для достижения максимальной производительности. Решите проблемы с ПК и удалите вирусы за 3 простых шага:
SYSTEM_SERVICE_EXCEPTION — это ошибка типа «синий экран смерти», которая присутствует во всех версиях Windows, и сегодня мы покажем вам, как исправить ее в Windows 10.
SYSTEM_SERVICE_EXCEPTION может быть вызвано несовместимостью драйверов или программным обеспечением, несовместимым с Windows 10.
Эта ошибка обычно содержит имя файла, вызвавшего сбой, поэтому мы воспользуемся этим именем, чтобы найти решение.
Вот еще несколько примеров этой ошибки:
Как исправить ошибку SYSTEM_SERVICE_EXCEPTION в Windows 10?
1.Отключите веб-камеру
Иногда определенное оборудование, такое как веб-камера, даже встроенная в ваш монитор, может вызывать раздражающую ошибку SYSTEM_SERVICE_EXCEPTION.
Если вы получаете эту SYSTEM_SERVICE_EXCEPTION (ks.sys), вы можете отключить веб-камеру, следуя приведенным выше инструкциям.
Мы должны упомянуть, что проблема может быть вызвана другим оборудованием, поэтому вам, возможно, придется немного изучить, прежде чем вы обнаружите, какое устройство вызывает эту ошибку.
2. Удалите антивирусное программное обеспечение McAfee.
Если вы получаете ошибку SYSTEM_SERVICE_EXCEPTION (ks.sys) «синий экран смерти», знайте, что причиной этой проблемы может быть ваше антивирусное программное обеспечение.
Сообщалось, что антивирусное программное обеспечение McAfee может привести к этой проблеме в Windows 10, поэтому рекомендуется удалить его.
Пользователи сообщили, что эта проблема была решена после избавления от антивируса McAfee, поэтому выполните указанные выше действия, чтобы сделать то же самое.
Если вы не используете McAfee, попробуйте временно удалить установленный антивирус и посмотрите, сохраняется ли проблема.Вот краткое руководство о том, как полностью удалить McAfee, чтобы помочь вам.
3. Обновите драйверы
Если драйвер вашей видеокарты устарел, есть вероятность, что вы столкнетесь с этой проблемой. Итак, очевидное решение в этом случае — обновить драйверы графического процессора.
Если вы не знаете, как это сделать, просто следуйте инструкциям выше. Знаете ли вы, что у большинства пользователей Windows 10 устаревшие драйверы? Ознакомьтесь с этим кратким руководством, посвященным обновлению драйверов Windows.
Обновление драйверов вручную очень утомительно и может привести к необратимому повреждению вашего ПК (из-за загрузки неправильных версий драйверов).
Поэтому мы рекомендуем вам загрузить работоспособный инструмент стороннего производителя (на 100% безопасный и протестированный нами), чтобы сделать это автоматически.
Если вы геймер, фото / видео продюсер или ежедневно занимаетесь какими-либо интенсивными визуальными процессами, то вы уже знаете, насколько важна ваша видеокарта (GPU). Чтобы все прошло гладко и избежать каких-либо проблем. Ошибки драйверов графического процессора, обязательно используйте полноценный помощник по обновлению драйверов, который решит ваши проблемы всего за пару кликов, и мы настоятельно рекомендуем DriverFix .Выполните следующие простые шаги, чтобы безопасно обновить драйверы:DriverFix
Держите свой графический процессор на пике своей производительности, не беспокоясь о его драйверах.
Заявление об ограничении ответственности: эту программу необходимо обновить с бесплатной версии для выполнения определенных действий.
4. Удалите Virtual CloneDrive
Этот раздражающий SYSTEM_SERVICE_EXCEPTION (ks.sys) иногда может быть вызван инструментом Virtual CloneDrive.
Поэтому, если вы также используете Virtual CloneDrive, обязательно удалите его, чтобы как можно скорее решить эту проблему.
5. Удалите Xsplit и удалите обновление MSI Live
.Если вы получаете сообщение об ошибке SYSTEM_SERVICE_EXCEPTION во время игры в видеоигры, вам следует удалить или обновить программное обеспечение XSplit.
Кроме того, было подтверждено, что обновление MSI Live использует драйверы, вызывающие эту ошибку, поэтому обязательно удалите и его.
6. Удалите BitDefender и Cisco VPN
.SYSTEM_SERVICE_EXCEPTION (ntfs.sys) может быть вызвано BitDefender или Cisco VPN, поэтому, если вы используете какой-либо из этих инструментов, обязательно удалите их.
После удаления этих программ вы можете переустановить последнюю версию, и проблема должна быть решена. Мы рекомендуем использовать стороннее программное обеспечение для удаления этих программ и любых оставшихся файлов с вашего устройства.
Запустите сканирование системы для обнаружения потенциальных ошибок
Нажмите Начать сканирование , чтобы найти проблемы с Windows.
Нажмите Восстановить все , чтобы исправить проблемы с запатентованными технологиями.
Запустите сканирование ПК с помощью Restoro Repair Tool, чтобы найти ошибки, вызывающие проблемы с безопасностью и замедление.После завершения сканирования в процессе восстановления поврежденные файлы заменяются новыми файлами и компонентами Windows.
⇒ Получить программу удаления IObit Pro
7. Удалите Asus GameFirst service
Asus GameFirst Service предназначена для оптимизации вашей сети для игр, и некоторые геймеры ее используют, но сообщалось, что этот инструмент может вызывать проблемы в Windows 10.
Как вы понимаете, это может дать вам SYSTEM_SERVICE_EXCEPTION (ntfs.sys) ошибка. Пока что единственное решение — удалить Asus GameFirst Service.
Как видите, эта ошибка обычно вызвана несовместимым оборудованием, драйвером или программным обеспечением, и в большинстве случаев лучшее решение — найти проблемное оборудование, драйвер или программное обеспечение и отключить его.
8. Запустите сканирование SFC
Следующее, что мы попробуем, — это запустить сканирование SFC. Это встроенный в Windows инструмент для решения различных проблем, включая проблему BSOD. Вот как запустить сканирование SFC в Windows 10:
Если у вас возникли проблемы с доступом к командной строке в качестве администратора, вам лучше ознакомиться с этим специальным руководством по запуску CMD с правами администратора.
9. Отключить сторонний антивирус
Есть несколько отчетов, предполагающих, что ваш сторонний антивирус на самом деле является виновником этой проблемы.Единственный способ узнать, так ли это на самом деле, — временно отключить антивирус.
Если вы перестанете получать эту ошибку после отключения антивируса, вы знаете, в чем дело. В этом случае попробуйте обновить антивирус до последней версии.
Если вы продолжаете сталкиваться с BSOD, подумайте о смене антивирусного решения или переключитесь на Защитник Windows.
Знаете ли вы, что ваш антивирус или брандмауэр может блокировать определенные приложения и вызывать ошибки? Ознакомьтесь с этим подробным руководством, посвященным программам, заблокированным брандмауэром, чтобы узнать больше.
10. Запустите средство устранения неполадок
Если вы используете Windows 10 Creators Update (или новее), вы можете использовать встроенный инструмент устранения неполадок Microsoft, который просто называется средством устранения неполадок.
Как и sfc / scannow, этот инструмент также решает различные системные проблемы, включая ошибки BSOD, такие как SYSTEM_SERVICE_EXCEPTION. Поэтому просто выполните описанные выше действия, чтобы запустить средство устранения неполадок в Windows 10.
Если у вас возникли проблемы с открытием приложения «Настройки», прочтите эту простую статью, посвященную устранению проблем с приложением «Настройки», чтобы решить эту проблему.
11. Проверьте жесткий диск
Теперь проверим, все ли в порядке с конфигурацией вашего жесткого диска. Потому что поврежденный системный диск также может вызвать эту проблему. Примените вышеуказанные шаги, чтобы проверить свой диск.
chkdsk вызывает у вас головную боль? Ознакомьтесь с этим кратким руководством, посвященным исправлению CMD, если он застрял, чтобы избавиться от проблемы.
12. Запустите средство диагностики памяти Windows
После проверки жесткого диска давайте также проверим оперативную память. Описанные выше шаги идеально подходят для этого.
Прочтите эту специальную статью об инструменте диагностики памяти, чтобы узнать больше о нем и о том, что он делает.
13. Обновление BIOS
Если у вас по-прежнему возникают проблемы с ошибкой SYSTEM_SERVICE_EXCEPTION, мы попробуем еще одну серьезную и «опасную» меру.И это обновление вашего BIOS.
Обновление BIOS может быть рискованным, потому что, если вы не знаете, что делаете, и что-то пойдет не так, вы можете вывести материнскую плату из строя.
Если вы хотите узнать больше о перепрошивке BIOS, прочтите статью ниже. Но все же не делайте этого в одиночку, если вы не уверены, что делаете.
Обновление BIOS должно быть приоритетом в вашем списке. Если это вас пугает, ознакомьтесь с нашим подробным руководством по безопасному обновлению BIOS.
Если вы знаете какие-либо другие способы исправить ошибку исключения системной службы в Windows 10, оставьте свой комментарий в поле ниже.
Проблемы все еще возникают?
Исправьте их с помощью этого инструмента:
Restoro загрузили 0 читателей в этом месяце.
Часто задаваемые вопросы
Была ли эта страница полезной? 273 Недостаточно подробностей Сложно понять Другой Связаться с экспертомПрисоединяйтесь к разговору
Bugcheck 03b перезапуск терминального сервера — 2012 R2 — Windows Server
Всем доброго дня,
У нас возникла серьезная проблема с нашим сервером удаленного рабочего стола (Server 2012 R2 работает как виртуальная машина на сервере Hyper-v 2012 R2 на HPE DL380 Gen9).Это дает ошибку проверки, и наш MSP не смог дать много советов. Мне удалось получить информацию ниже, но это НАМНОГО выше моего уровня знаний 🙁 Может ли кто-нибудь помочь?
Спасибо.
Текст
Отладчик Microsoft (R) Windows Версия 10.0.15063.468 AMD64 Авторское право (c) Корпорация Microsoft. Все права защищены. Загрузка файла дампа [\\ blah \ MEMORY.DMP] Файл дампа растрового изображения ядра: адресное пространство ядра доступно, адресное пространство пользователя может быть недоступно. Путь поиска символа: srv * Путь поиска исполняемого файла: Windows 8.1 Версия ядра 9600 MP (10 процессов) Бесплатно x64 Продукт: Сервер, комплект: TerminalServer Создал: 9600.18730.amd64fre.winblue_ltsb.170613-0600 Имя машины: База ядра = 0xfffff801`51e84000 PsLoadedModuleList = 0xfffff801`52156650 Время сеанса отладки: Вт 25 июля, 11: 09: 41.233 2017 (UTC + 1:00) Время работы системы: 0 дней 21: 51: 10.650 Загрузка символов ядра .................................................. ............. .................................................. .............. ................. Загрузка пользовательских символов PEB выгружается (Peb.Ldr = 00007ff6`8ae88018). Чтобы получить подробную информацию, введите ".hh dbgerr001". Загрузка списка выгруженных модулей .............. *************************************************************************************************************************************************************************************************************************************** ***************************** * * * Анализ ошибок * * * *************************************************************************************************************************************************************************************************************************************** ***************************** Используйте! Analysis -v, чтобы получить подробную информацию об отладке.BugCheck 3B, {c0000005, 0, ffffd00064d94090, 0} Страница 117379 отсутствует в файле дампа. Для получения подробной информации введите ".hh dbgerr004". Страница 11710d отсутствует в файле дампа. Для получения подробной информации введите ".hh dbgerr004". *** ОШИБКА: не удалось найти символьный файл. По умолчанию экспортируются символы для win32k.sys - Вероятно, вызвано: cdd.dll (cdd! RmtAssociateSharedSurface + 5f) Продолжение: MachineOwner --------- 2: kd>! Анализировать -v *************************************************************************************************************************************************************************************************************************************** ***************************** * * * Анализ ошибок * * * *************************************************************************************************************************************************************************************************************************************** ***************************** SYSTEM_SERVICE_EXCEPTION (3b) Исключение произошло при выполнении подпрограммы системного обслуживания.Аргументы: Arg1: 00000000c0000005, код исключения, вызвавший проверку ошибок Arg2: 0000000000000000, адрес инструкции, которая вызвала ошибку. Arg3: ffffd00064d94090, адрес контекстной записи для исключения, вызвавшего проверку ошибок. Arg4: 0000000000000000, ноль. Детали отладки: ------------------ DUMP_CLASS: 1 DUMP_QUALIFIER: 401 BUILD_VERSION_STRING: 9600.18730.amd64fre.winblue_ltsb.170613-0600 SYSTEM_MANUFACTURER: Microsoft Corporation VIRTUAL_MACHINE: HyperV SYSTEM_PRODUCT_NAME: виртуальная машина SYSTEM_SKU: Нет SYSTEM_VERSION: Hyper-V UEFI Release v1.0 BIOS_VENDOR: корпорация Microsoft BIOS_VERSION: Hyper-V UEFI Release v1.0 BIOS_DATE: 26.11.2012 BASEBOARD_MANUFACTURER: Microsoft Corporation BASEBOARD_PRODUCT: виртуальная машина BASEBOARD_VERSION: Hyper-V UEFI Release v1.0 DUMP_TYPE: 1 BUGCHECK_P1: c0000005 BUGCHECK_P2: 0 BUGCHECK_P3: ffffd00064d94090 BUGCHECK_P4: 0 EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Инструкция по адресу 0x% p ссылается на память по адресу 0x% p. Память не может быть% s. FAULTING_IP: +0 00000000`00000000 ?? ??? КОНТЕКСТ: ffffd00064d94090 - (.cxr 0xffffd00064d94090) rax = 0000000000000000 rbx = 0000000041120dbb rcx = fffff81fca8 rdx = 0000000080008e02 rsi = fffff81fca8 rdi = 0000000080008e02 rip = 0000000000000000 rsp = ffffd00064d94ac8 rbp = 0000000080008e02 r8 = 0000000041120dbb r9 = 000000ce00000640 r10 = fffff960009bfaa0 r11 = ffffd00064d94a40 r12 = fffff96000217810 r13 = 000000cc260ba324 r14 = fffff160010 r15 = 0000000000000001 iopl = 0 nv up ei pl zr na po nc cs = 0010 ss = 0018 ds = 002b es = 002b fs = 0053 gs = 002b efl = 00010246 00000000`00000000 ?? ??? Сброс объема по умолчанию CPU_COUNT: а CPU_MHZ: a25 CPU_VENDOR: GenuineIntel CPU_FAMILY: 6 CPU_MODEL: 3f CPU_STEPPING: 2 CPU_MICROCODE: 6,3f, 2,0 (F, M, S, R) SIG: FFFFFFFF'00000000 (кеш) FFFFFFFF'00000000 (инициализация) DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT BUGCHECK_STR: 0x3B PROCESS_NAME: dwm.EXE CURRENT_IRQL: 0 ANALYSIS_SESSION_HOST: HP-WIN10-001 ANALYSIS_SESSION_TIME: 07-25-2017 12: 05: 04.0114 АНАЛИЗ_ВЕРСИЯ: 10.0.15063.468 amd64fre LAST_CONTROL_TRANSFER: с fffff960009b5da3 на 0000000000000000 IP_IN_FREE_BLOCK: 0 STACK_TEXT: ffffd000`64d94ac8 fffff960`009b5da3: 00000000`41120dbb 00000000`80008e02 fffff901`40befc80 fffff960`002228c4: 0x0 ffffd000`64d94ad0 fffff960`004c85bc: fffff901`40befc80 00000000`41120dbb 00000dbb`41120dbb 000000ce`00000640: cdd! RmtAssociateSharedSurface + 0x5f ffffd000`64d94b20 fffff960`002fe574: 00000000`41120dbb fffff901`40befc80 00000000`80008e02 00000000`00000000: win32k! XLATEOBJ_piVector + 0x18fdc ffffd000`64d94b50 fffff960`002fcfb3: 00000000`c000000d ffffd000`64d94cc0 000000cc`2497f1f0 00000000`0001aab1: win32k! EngSetRectRgn + 0xf3b4 ffffd000`64d94bc0 fffff801`51fdd5b3: ffffe001`9ffe0780 000000cc`00000000 000000cc`00000000 ffffe401`98e38e60: win32k! EngSetRectRgn + 0xddf3 ffffd000`64d94c40 00007ffc`305627ca: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! KiSystemServiceCopyEnd + 0x13 000000cc`2497f128 00000000`00000000: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: 0x00007ffc`305627ca THREAD_SHA1_HASH_MOD_FUNC: 5eb04dea759f2a3f5cf3386eada59738db2ffae5 THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 33deee4d5cf1b6edc1175874a7acbf121c57c8dd THREAD_SHA1_HASH_MOD: 851fa269944785f2572caa6232a251ecd53e037a FOLLOWUP_IP: cdd! RmtAssociateSharedSurface + 5f fffff960`009b5da3 488d4c2420 lea rcx, [rsp + 20h] FAULT_INSTR_CODE: 244c8d48 SYMBOL_STACK_INDEX: 1 SYMBOL_NAME: cdd! RmtAssociateSharedSurface + 5f FOLLOWUP_NAME: MachineOwner MODULE_NAME: cdd IMAGE_NAME: cdd.dll DEBUG_FLR_IMAGE_TIMESTAMP: 54506444 СТЕК_КОМАНДА: .cxr 0xffffd00064d94090; kb BUCKET_ID_FUNC_OFFSET: 5f FAILURE_BUCKET_ID: 0x3B_cdd! RmtAssociateSharedSurface BUCKET_ID: 0x3B_cdd! RmtAssociateSharedSurface PRIMARY_PROBLEM_CLASS: 0x3B_cdd! RmtAssociateSharedSurface TARGET_TIME: 2017-07-25T10: 09: 41.000Z OSBUILD: 9600 ОССЕРВИСУПАК: 0 SERVICEPACK_NUMBER: 0 OS_REVISION: 0 ЛЮКС_МАСКА: 16 PRODUCT_TYPE: 3 OSPLATFORM_TYPE: x64 ИМЯ ОС: Windows 8.1 ИЗДАНИЕ: Терминальный сервер Windows 8.1 Server OS_LOCALE: USER_LCID: 0 OSBUILD_TIMESTAMP: 2017-06-13 15:17:02 BUILDDATESTAMP_STR: 170613-0600 BUILDLAB_STR: winblue_ltsb BUILDOSVER_STR: 6.3.9600.18730.amd64fre.winblue_ltsb.170613-0600 ANALYSIS_SESSION_ELAPSED_TIME: 3ba АНАЛИЗ_ИСТОЧНИК: КМ FAILURE_ID_HASH_STRING: km: 0x3b_cdd! Rmtassociatesharedsurface FAILURE_ID_HASH: {40106ce9-8147-7985-9ee9-c812f65600b2} Продолжение: MachineOwner --------- 2: kd> lmvm cdd Просмотреть полный список модулей начало конечное имя модуля fffff960`0098d000 fffff960`009c7000 cdd (символы PDB) C: \ ProgramData \ dbg \ sym \ cdd.pdb \ 0C334A8832E0448FA402C516320CF12A1 \ cdd.PDB Загруженный файл изображения символа: cdd.dll Путь к изображению: \ SystemRoot \ System32 \ cdd.dll Название изображения: cdd.dll Просмотр всех данных функций глобальных символов Отметка времени: среда, 29 октября, 03:51:32 2014 г. (54506444) Контрольная сумма: 00034ABD Размер изображения: 0003A000 Переводы: 0000.04b0 0000.04e4 0409.04b0 0409.04e4 2: kd> .cxr 0xffffd00064d94090 rax = 0000000000000000 rbx = 0000000041120dbb rcx = fffff81fca8 rdx = 0000000080008e02 rsi = fffff81fca8 rdi = 0000000080008e02 rip = 0000000000000000 rsp = ffffd00064d94ac8 rbp = 0000000080008e02 r8 = 0000000041120dbb r9 = 000000ce00000640 r10 = fffff960009bfaa0 r11 = ffffd00064d94a40 r12 = fffff96000217810 r13 = 000000cc260ba324 r14 = fffff
160010 r15 = 0000000000000001 iopl = 0 nv up ei pl zr na po nc cs = 0010 ss = 0018 ds = 002b es = 002b fs = 0053 gs = 002b efl = 00010246 00000000`00000000 ??
Ядро Microsoft Windows — разыменование нулевого указателя в nt! MiOffsetToProtos при анализе искаженного PE-файла
Мы обнаружили сбой ядра Windows в nt! MiOffsetToProtos при попытке загрузить искаженный PE-образ в адресное пространство процесса в виде файла данных (т.е.е. LoadLibraryEx (LOAD_LIBRARY_AS_DATAFILE | LOAD_LIBRARY_AS_IMAGE_RESOURCE)). Ниже приведен пример журнала сбоев, созданный после срабатывания ошибки:
--- резать ---
*** Неустранимая системная ошибка: 0x0000003b
(0x00000000C0000005,0xFFFFF8006F0860C4,0xFFFFD20AD8E1E290,0x0000000000000000)
Исключение инструкции прерывания - код 80000003 (первый шанс)
Произошла фатальная системная ошибка.
Отладчик введен с первой попытки; Обратные вызовы Bugcheck не были вызваны.Произошла фатальная системная ошибка.
Для анализа этого файла запустите! Анализировать -v
nt! DbgBreakPointWithStatus:
fffff800`6f1c46a0 cc int 3
1: kd>! Анализировать -v
*************************************************************************************************************************************************************************************************************************************** *****************************
* *
* Анализ ошибок *
* *
*************************************************************************************************************************************************************************************************************************************** *****************************
SYSTEM_SERVICE_EXCEPTION (3b)
Исключение произошло при выполнении подпрограммы системного обслуживания.Аргументы:
Arg1: 00000000c0000005, код исключения, вызвавший проверку ошибок
Arg2: fffff8006f0860c4, адрес инструкции, которая вызвала проверку ошибок.
Arg3: ffffd20ad8e1e290, адрес контекстной записи для исключения, вызвавшего проверку ошибок.
Arg4: 0000000000000000, ноль.
[...]
КОНТЕКСТ: ffffd20ad8e1e290 - (.cxr 0xffffd20ad8e1e290)
rax = 00000000000000a2 rbx = ffffab829154f420 rcx = 0000000000000000
rdx = 0000000000000002 RSI = 0000000000000000 rdi = ffffab828fb6f690
rip = fffff8006f0860c4 rsp = ffffd20ad8e1ec80 rbp = 000000000000000b
r8 = ffffd20ad8e1ed90 r9 = ffffab828fb6f690 r10 = ffffab828fb6f690
r11 = ffffe601c2e7f7b0 r12 = 0000000001000000 r13 = 0000000000000002
r14 = 000000000000a008 r15 = ffffd20ad8e1ed90
iopl = 0 nv up ei pl zr na po nc
cs = 0010 ss = 0018 ds = 002b es = 002b fs = 0053 gs = 002b efl = 00050246
nt! MiOffsetToProtos + 0x324:
fffff800`6f0860c4 8b562c mov edx, dword ptr [rsi + 2Ch] ds: 002b: 00000000`0000002c = ????????
Сброс объема по умолчанию
[...]
STACK_TEXT:
ffffd20a`d8e1ec80 fffff800`6f62a3f9: ffffab82`8fb6f6d0 ffffab82`9154f420 00000000`00000048 ffffab82`8fb6f690: nt! MiOffsetToProtos + 0x324
ffffd20a`d8e1ed60 fffff800`6f6d6105: ffffab82`9154f420 ffffd20a`d8e1efb0 ffffd20a`d8e1ef50 00000000`0000b000: nt! MiLogRelocationRva + 0x29
ffffd20a`d8e1edb0 fffff800`6f5fc56a: ffffd20a`d8e1f180 ffffd20a`d8e1f180 ffffd20a`d8e1efb0 ffffd20a`d8e1f180: nt! MiParseComdImage + 0x
ffffd20a`d8e1eeb0 fffff800`6f5dca20: ffffab82`9154f420 ffffd20a`d8e1f180 ffffd20a`d8e1f180 ffffab82`9154f3f0: nt! MiCreateNewSection + 0x2b
ffffd20a`d8e1f010 fffff800`6f5dcd24: ffffd20a`d8e1f040 ffffe601`c3b87f40 ffffab82`9154f420 00000000`00000000: nt! MiCreateImageOrDataSection + 0x2d0
ffffd20a`d8e1f100 fffff800`6f5dc37f: 00000000`11000000 ffffd20a`d8e1f4c0 00000000`00000001 00000000`00000002: nt! MiCreateSection + 0xf4
ffffd20a`d8e1f280 fffff800`6f5dc110: 00000005`e1478f48 00000000`00000005 00000000`00000000 00000000`00000001: nt! MiCreateSectionCommon + 0x1ff
ffffd20a`d8e1f360 fffff800`6f1ce115: 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000: nt! NtCreateSection + 0x60
ffffd20a`d8e1f3d0 00007ffb`2815c9a4: 00007ffb`25251ae7 00000000`00000000 00000000`00000001 40b28496`f324e4f9: nt! KiSystemServiceCopyEnd + 0x25
00000005`e1478ed8 00007ffb`25251ae7: 00000000`00000000 00000000`00000001 40b28496`f324e4f9 feafc9c1`1796ffa1: ntdll! NtCreateSection + 0x14
00000005`e1478ee0 00007ffb`25255640: 0000019b`db947d00 00000024`00000000 00007ffb`26202770 00000000`00000022: KERNELBASE! BasepLoadLibraryAsDataFileInternal + 0x2e7
00000005`e1479110 00007ffb`2523c41d: 0000019b`00000000 00000000`00000000 00000000`00000000 00000000`00000000: KERNELBASE! LoadLibraryExW + 0xe0
00000005`e1479180 00007ffb`272503d1: 0000019b`db9497c0 00000000`00000000 0000019b`db948c30 00007ffb`27266d85: KERNELBASE! GetFileVersionInfoSizeExW + 0x3d
00000005`e14791e0 00007ffb`2725035c: 00000000`00000000 00007ffb`257610ff 0000019b`db9497c0 00000005`e1479530: shell32! _LoadVersionInfo + 0x39
00000005`e1479250 00007ffb`257dc1c1: 00000000`00000000 00000000`00000000 ffffffff`fffffffe 00000000`00000000: shell32! CVersionPropertyStore :: Initialize + 0x2c
[...]
--- резать ---
Непосредственная причина сбоя - попытка чтения с адреса, близкого к нулю. Поскольку кажется, что адрес не контролируется, а отображение NULL страниц запрещено в современных системах (за исключением случаев, когда NTVDM включен на 32-битных платформах), мы классифицируем его как уязвимость типа «отказ в обслуживании».
Мы не определили конкретную основную причину проблемы, но обнаружили, что она связана с обработкой исполняемых файлов .NET. Мы минимизировали один из образцов сбоя до двухбайтовой разницы по отношению к исходному файлу: один, который увеличивает значение поля SizeOfImage с 0xa000 до 0xa100, и другой, который изменяет адрес каталога данных заголовка среды выполнения CLR с 0x2008 на 0xa008.Проблема воспроизводится в Windows 10 и Windows Server 2019 (32- и 64-разрядные версии, специальные пулы не требуются). Сбой происходит, когда какой-либо системный компонент вызывает LoadLibraryEx (LOAD_LIBRARY_AS_DATAFILE | LOAD_LIBRARY_AS_IMAGE_RESOURCE) для файла либо напрямую, либо через другой API, такой как GetFileVersionInfoSizeExW () или GetFileVersionInfoW (). На практике это означает, что как только файл отображается в проводнике, или пользователь наводит на него курсор, или пытается открыть свойства файла, или пытается переименовать его или выполнить любое другое аналогичное действие, система запаникует.Другими словами, простая загрузка такого файла может навсегда заблокировать компьютер пользователя до тех пор, пока он не удалит его в режиме восстановления и т. Д. Сценарий атаки аналогичен описанному в https://www.fortinet.com/blog/threat-research/ microsoft-windows-remote-kernel-crash-уязвимость.html.
Прилагается архив с минимизированным PE-образом для подтверждения концепции, исходным файлом, использованным для его создания, и тремя дополнительными несвернутыми образцами. Будьте осторожны при распаковке ZIP-архива, так как Windows может сразу же дать сбой, как только увидит поврежденные файлы на диске.Подтверждение концепции:
https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/47485.zip
.