BSOD - Não é possível verificar o timestamp para o ntoskrnl.exe

0

Recentemente, minha área de trabalho da Dell sofreu uma falha aleatória quando deixada em execução por um período prolongado. As seguintes informações foram gravadas no arquivo de despejo:

Unable to load image \SystemRoot\system32\ntoskrnl.exe, Win32 error 0n2
WARNING: Unable to verify timestamp for ntoskrnl.exe
ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Windows Server 2008/Windows Vista Kernel Version 6001 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Machine Name:
Kernel base = 0xfffff80001e5c000 PsLoadedModuleList = 0xfffff8000201edb0
Debug session time: Mon Aug 31 19:33:29.995 2009 (GMT-7)
System Uptime: 0 days 11:59:15.563

Alguém já experimentou esse problema com o ntoskrnl.exe causando falha no Windows Vista? Estou executando o prêmio inicial do Windows Vista de 64 bits

Atualizar

Esse comportamento começou a ocorrer na semana passada depois que o conjunto mais recente de atualizações do Windows Vista foi instalado automaticamente no meu computador (KB973879, KB973874, KB970653 e KB972036). Eu também desinstalei a versão antiga do McFee Security Center e instalei o AVS Anti-Virus Free Editon 8.5.

Além disso, o BSOD também ocorreria quando eu desconectasse meu iPhone do meu computador.

@Wil - Existe uma ferramenta sugerida para determinar se eu possuo um roolkit instalado na minha estação de trabalho.

Atualização 2

Aqui estão os códigos de falha do meu último BSOD. Além disso, tive que reinstalar meus drivers para o adaptador de rede USB sem fio Belkin G e ele limpou meu cache de cookies do IE8.

BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170

Atualização 3

@Wil - Eu tentei executar o Rootkit Revealer e ele escreveu o seguinte erro de aplicativo no log de eventos:

Faulting application RootkitRevealer.exe, version 1.71.0.0, time stamp 0x44e255aa, faulting module RootkitRevealer.exe, version 1.71.0.0, time stamp 0x44e255aa, exception code 0xc0000005, fault offset 0x000040cd, process id 0x11b0, application start time 0x01ca2ab8f0adc004.

    
por Michael Kniskern 01.09.2009 / 04:55

5 respostas

1

Parece que outros tiveram o mesmo problema , especificamente após as atualizações do Windows. Parece um problema de nível mais baixo e a pesquisa gerou algumas soluções possíveis:

  • substitua o ntoskrnl.exe do seu DVD do Windows.
  • Execute um chkdsk na sua unidade
  • Execute um Memtest

Pessoalmente, em vez de fazer o processo de eliminação e perder tempo, prefiro fazer uma nova instalação do Windows (depois de fazer o backup de todos os seus arquivos, é claro).

    
por 01.09.2009 / 05:20
1

Isso indica que o depurador (presumivelmente WinDbg) não pode carregar ntoskrnl.exe . Embora seja certamente possível que algum programa malicioso tenha substituído seu ntoskrnl.exe como Wil sugeriu, uma explicação mais provável é que você não tem o WinDbg configurado para baixar símbolos do servidor de símbolo público da Microsoft.

Tente executar os comandos .symfix e !sym noisy e tente executar !analyze -v novamente. Se isso não ajudar, poste toda a saída do depurador relevante (com !sym noisy ativado). (A publicação do minidump real também pode ajudar.) Por exemplo, algumas das saídas omitidas incluem o caminho do símbolo:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.

Loading Dump File [C:\temp\oops.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: srv*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Unable to load image \SystemRoot\system32\ntoskrnl.chk, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.chk
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk
Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64

Se o seu caminho de símbolo estiver configurado corretamente, a corrupção de memória devido a hardware defeituoso seria outra possível explicação não-malware. Tente executar o MemTest86 + por algumas horas.

Em relação às informações do código de verificação de erros: a verificação de erros 0x1000007e é SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M . A exceção associada é 0xC0000005, STATUS_ACCESS_VIOLATION . Os outros três parâmetros não oferecem muita percepção sem um exame mais aprofundado no depurador. Isso pode ser devido a um erro de driver, overclocking, memória defeituosa, um arquivo corrompido / substituído no disco, uma tentativa fracassada de explorar um estouro de buffer em um serviço do sistema, um raio cósmico atingindo um dos chips de RAM do seu PC, etc. p>     

por 01.09.2009 / 05:55
1

Não tenho certeza se isso ajuda você e não sou especialista, mas acabei de ter esse problema. Enviei o relatório e microsoft apareceu uma página que deu respostas a este problema. Eles disseram que era mais provável que um erro no disco rígido, o Windows não poderia ler a partir da unidade e deu algumas razões por que. Um motivo foi que eu tinha acabado de transferir um arquivo grande para minha unidade de mídia externa ou unidade. Eu tinha acabado de transferir meu cd para o meu hd. desculpe, mas eu esqueci quais eram as outras razões, mas elas também eram coisas simples. Eles disseram para executar o chkdsk.

    
por 07.02.2011 / 17:06
0
  • Você instalou algum software recentemente?
  • Qual é o código de parada da tela azul?
  • Já tentou restaurar o sistema antes de falhar?
  • Já experimentou a Recuperação do Sistema do Windows?

Concordo com Wil que você deve tomar precauções.

    
por 01.09.2009 / 05:16
-1

Sim.

Este não é um erro aleatório e geralmente é uma indecação de algo muito sério.

Geralmente é causada por um malware sério (como o rootkit), um antivírus ruim que pode danificar o Kernel ou alguns "hacks" que as pessoas processam para editar arquivos do sistema.

De qualquer forma, é muito sério.

Você pode ir para o console de recuperação / prompt de comando do CD do Vista e substituir esses arquivos pela parte superior, pois não é exclusivo de uma instalação.

Você pode copiá-lo da máquina de outra pessoa, desde que tenha o mesmo nível de service pack - não 100% de certeza se o nível geral de atualização o afeta, então copie-o para o mesmo local e você poderá inicializar.

Dito isso, Pessoalmente, gostaria apenas de obter meus arquivos importantes do sistema e reinstalar do zero. Mais uma vez, este erro não aparece aleatoriamente e geralmente é causado por outros problemas muito sérios, portanto, mesmo que você o conserte, pode haver outras surpresas em seu sistema que se revelem em uma data posterior.

Editar - Para rootkits, não há resposta definitiva real, daí a minha sugestão para reinstalar a partir do zero. A Microsoft / Sysinternals cria o "Revelador de Rootkit" , que é uma ferramenta para identificação, no entanto, não realmente removê-los. Sugiro que você leia a página do produto , pois isso explica muito sobre rootkits.

    
por 01.09.2009 / 05:08