I have solve this problem as follows:
1.Create a sub directory named “45D69A89490000” in C:symbolFilePathntoskrnl.exe;
2.Copy ntoskrnl.exe from dump machine (%windir%/system32) to C:symbolFilePathntoskrnl.exe45D69A89490000
ntoskrnl.exe symbol can load
accurately now.
0: kd> !analyze -v
*******************************************************************************
*
*
* Bugcheck Analysis *
*
*
*******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffffadf52a90526, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffffadf2798f290, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000000, (reserved)
Debugging Details:
——————
Could not read faulting driver name
READ_ADDRESS: fffffadf52a90526
FAULTING_IP:
disk!memmove+60
fffffadf`2798f290 488b040a mov rax,qword ptr [rdx+rcx]
MM_INTERNAL_CODE: 0
CUSTOMER_CRASH_COUNT: 7
DEFAULT_BUCKET_ID: DRIVER_FAULT_SERVER_MINIDUMP
BUGCHECK_STR: 0x50
PROCESS_NAME: clienteng.exe
CURRENT_IRQL: 1
TRAP_FRAME: fffffadf257d2520 — (.trap 0xfffffadf257d2520)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffffadf3288b010 rbx=0000000000000000 rcx=fffffadf329e0e00
rdx=00000000200af726 rsi=0000000000000000 rdi=0000000000000000
rip=fffffadf2798f290 rsp=fffffadf257d26b8 rbp=fffffadf39a8e1b0
r8=0000000000000018 r9=0000000000000003 r10=5be72d2eea34000b
r11=fffffadf329e0e00 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl nz na po nc
disk!memmove+0x60:
fffffadf`2798f290 488b040a mov rax,qword ptr [rdx+rcx] ds:0004:fffffadf`52a90526=????????????????
Resetting default scope
LAST_CONTROL_TRANSFER: from fffff800010a58f2 to fffff8000102e950
STACK_TEXT:
fffffadf`257d2448 fffff800`010a58f2 : 00000000`00000050 fffffadf`52a90526 00000000`00000000 fffffadf`257d2520 : nt!KeBugCheckEx
fffffadf`257d2450 fffff800`0102d519 : fffffadf`39697750 00000000`00000000 fffffadf`00000000 fffffadf`32aaef40 : nt!MmAccessFault+0xa1f
fffffadf`257d2520 fffffadf`2798f290 : fffffadf`2798c8dd 00000000`00000000 fffffadf`39697750 00000000`00000000 : nt!KiPageFault+0x119
fffffadf`257d26b8 fffffadf`2798c8dd : 00000000`00000000 fffffadf`39697750 00000000`00000000 fffffadf`39a8e670 : disk!memmove+0x60
fffffadf`257d26c0 fffffadf`29a5637a : fffff800`c0100080 fffffadf`257d2950 fffffadf`32aa8440 fffffadf`257d2cf0 : disk!DiskDeviceControl+0x7ed
fffffadf`257d2930 fffff800`01379339 : fffffadf`32aa8440 fffffadf`257d2cf0 00000000`00000000 fffffadf`32aa8440 : PartMgr!PmDeviceControl+0x4aa
fffffadf`257d29c0 fffffadf`27937922 : ffffffff`ffffffff 00000000`20206f49 fffffadf`32aa8440 fffffadf`38e6c620 : nt!RawDispatch+0x159
fffffadf`257d2a10 fffff800`01280111 : 00000000`00000000 fffffadf`257d2cf0 00000000`00000001 fffffadf`32aaef40 : fltMgr!FltpDispatch+0x1c2
fffffadf`257d2a70 fffff800`0127fc16 : 00000000`000003f8 00000000`00000000 00000000`00000000 00000000`00000000 : nt!IopXxxControlFile+0xa79
fffffadf`257d2b90 fffff800`0102e3fd : fffffadf`32911c20 fffffadf`32acd840 fffffadf`32911f00 00000000`00000000 : nt!NtDeviceIoControlFile+0x56
fffffadf`257d2c00 00000000`78ee0a5a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x3
00000000`02aed1f8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x78ee0a5a
-
Edited by
bendsha
Tuesday, October 21, 2014 9:27 AM -
Marked as answer by
bendsha
Tuesday, October 21, 2014 10:45 AM
Hi, I have a few computers that have started to BSOD
No new applications software have been installed, ive run a full memory check (memtest86) and chkdsk’d the disks all come back with no errors, the BSOD’s seem to happen randomly. (Win7 64bit)
Here is the dump file if anyboady can help it would be greatly appreciated!
—————————————————————————————————-
Microsoft (R) Windows Debugger Version 6.2.8400.0 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [F:\070612-19921-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: C:Symbols
Executable search path is:
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.17835.amd64fre.win7sp1_gdr.120503-2030
Machine Name:
Kernel base = 0xfffff800`02c02000 PsLoadedModuleList = 0xfffff800`02e46670
Debug session time: Thu Jul 5 17:06:55.001 2012 (UTC + 1:00)
System Uptime: 0 days 0:01:23.007
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
………………………………………………………
……………………………………………………….
……………………………
Loading User Symbols
Loading unloaded module list
….
*******************************************************************************
*
*
* Bugcheck Analysis
*
*
*
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck C4, {91, 1, fffffa8006b8bb50, 0}
***** Kernel symbols are WRONG. Please fix symbols to do analysis.
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
*************************************************************************
***
***
***
***
*** Either you specified an unqualified symbol, or your debugger ***
*** doesn’t have full symbol information. Unqualified symbol ***
*** resolution is turned off by default. Please either specify a ***
*** fully qualified symbol module!symbolname, or enable resolution ***
*** of unqualified symbols by typing «.symopt- 100». Note that ***
*** enabling unqualified symbol resolution with network symbol ***
*** server shares in the symbol path may cause the debugger to ***
*** appear to hang for long periods of time when an incorrect ***
*** symbol name is typed or the network symbol server is down. ***
***
***
*** For some commands to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
***
***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work.
***
***
***
*** Type referenced: nt!_KPRCB
***
***
***
*************************************************************************
Probably caused by : ntoskrnl.exe ( nt+7f1c0 )
Followup: MachineOwner
———
#26 |
|||
---|---|---|---|
Posts: 17
|
|
||
|
|||
The administrator has disabled public write access. |
#28 |
|||
---|---|---|---|
Moderator Posts: 39
|
|
||
Thinking debugging? Think www.windbg.info. |
|||
|
|||
The administrator has disabled public write access. |
#30 |
|||
---|---|---|---|
Posts: 17
|
|
||
|
|||
The administrator has disabled public write access. |
#59 |
|||
---|---|---|---|
Posts: 3
|
|
||
|
|||
The administrator has disabled public write access. |
#60 |
|||
---|---|---|---|
Moderator Posts: 39
|
|
||
Thinking debugging? Think www.windbg.info. |
|||
|
|||
The administrator has disabled public write access. |
#61 |
|||
---|---|---|---|
Posts: 3
|
|
||
|
|||
The administrator has disabled public write access. |
#65 |
|||
---|---|---|---|
Moderator Posts: 39
|
|
||
Thinking debugging? Think www.windbg.info. |
|||
|
|||
The administrator has disabled public write access. |
#69 |
|||
---|---|---|---|
Posts: 3
|
|
||
|
|||
The administrator has disabled public write access. |
Microsoft (R) Windows Debugger Version 6.12.0002.633 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:UsersOneDesktopMinidump42912-20202-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7600 MP (6 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7600.16385.amd64fre.win7_rtm.090713-1255
Machine Name:
Kernel base = 0xfffff800`0324e000 PsLoadedModuleList = 0xfffff800`0348be50
Debug session time: Sun Apr 29 20:12:35.842 2012 (UTC + 4:00)
System Uptime: 0 days 6:09:40.216
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
………………………………………..Unable to load image Unknown_Module_00000000`00000000, Win32 error 0n2
*** WARNING: Unable to verify timestamp for Unknown_Module_00000000`00000000
Unable to add module at 00000000`00000000
Loading User Symbols
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 1A, {41287, a00000018, 0, 0}
***** Kernel symbols are WRONG. Please fix symbols to do analysis.
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
Probably caused by : ntoskrnl.exe ( nt+7fa3a )
Followup: MachineOwner
———[/spoiler]
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:UsersOneDesktopMinidump43012-19812-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7600 MP (6 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7600.16385.amd64fre.win7_rtm.090713-1255
Machine Name:
Kernel base = 0xfffff800`0320f000 PsLoadedModuleList = 0xfffff800`0344ce50
Debug session time: Mon Apr 30 16:43:37.186 2012 (UTC + 4:00)
System Uptime: 0 days 0:20:57.684
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
………………………………………………………
……………………………………………………….
……………….
Loading User Symbols
Loading unloaded module list
….
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 1E, {ffffffffc0000005, 1, 8, 1}
***** Kernel symbols are WRONG. Please fix symbols to do analysis.
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
Probably caused by : ntoskrnl.exe ( nt+71f00 )
Followup: MachineOwner
———
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:UsersOneDesktopMinidump43012-20358-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows 7 Kernel Version 7600 MP (6 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7600.16385.amd64fre.win7_rtm.090713-1255
Machine Name:
Kernel base = 0xfffff800`03264000 PsLoadedModuleList = 0xfffff800`034a1e50
Debug session time: Mon Apr 30 05:55:12.393 2012 (UTC + 4:00)
System Uptime: 0 days 0:22:15.767
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y argument when starting the debugger. *
* using .sympath and .sympath+ *
*********************************************************************
Unable to load image SystemRootsystem32ntoskrnl.exe, Win32 error 0n2
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
………………………………………………………
……………………………………………………….
……………….
Loading User Symbols
Loading unloaded module list
….
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 3B, {c0000005, fffff96000164b88, fffff8800a2df140, 0}
Unable to load image SystemRootSystem32win32k.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for win32k.sys
*** ERROR: Module load completed but symbols could not be loaded for win32k.sys
***** Kernel symbols are WRONG. Please fix symbols to do analysis.
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
*************************************************************************
Probably caused by : win32k.sys ( win32k+c4b88 )
Followup: MachineOwner
———
Все началось 2-3 три дня назад, скрин BSODa приложил, дампы тоже, подскажите в чем может быть дело, компьютер выключается сам через некоторое время с BSODom
Во время работы или при включении компьютера внезапно может появиться так называемый «синий экран смерти». Если вчитаться в текст, написанный поверх, то там будет указана причина сбоя – некорректная работа файла Ntoskrnl.exe. Этот элемент очень важен для функционирования ОС, и когда с ним что-то происходит, пользоваться ПК становится невозможно.
Что такое Ntoskrnl.exe
Когда вы включаете компьютер, запускается целый ряд служб, в том числе, Ntoskrnl.exe, который подготавливает к работе драйверы и визуализирует изображение на экране. При этом может произойти ошибка, что влечет за собой остановку процесса. Данная служба обычно располагается на диске «С» вместе с другими компонентами системы и занимает несколько папок: System32, Driver Cache и т. п.
Причины неисправности
Ошибка ntoskrnl.ехе может возникать по целому ряду причин:
- Некорректный оверклокинг и андервольтинг, приведший к перегреву.
- Физическое удаление файла (вообще-то это достаточно трудно сделать, но возможно, если использовать ПО, влияющее на системные элементы).
- Повреждение/замена файла вирусом.
- Повреждение записей в реестре.
- Наличие проблемных или старых драйверов.
- Внутренний системный сбой.
- Сбой в работе винчестера.
- ОС не обновлена до актуальной версии.
- Повреждение или сбой в работе ОЗУ.
Возможные решения
Ошибка ntoskrnl.exe – это серьёзно, но не всегда фатально, и сейчас мы расскажем, как её исправить.
- Для начала нужно добраться до «Десктопа» и получить доступ к функциям ПК, так как, синий экран закрывает собой все пространство.
- Для этого выполните перезагрузку, и нажимайте клавишу F2 или Del (иногда бывают и другие варианты, это зависит от внутренней структуры системы ввода-вывода).
- Перед вами развернутся опции БСВВ.
- Выберите пункт Load setup defaults («Загрузить настройки по умолчанию»).
- Кликните по F10, чтобы подтвердить выбор.
- Снова перезапустите ПК – синий экран исчезнет, и можно будет переходить к исправлению ошибки.
Очистка реестра
Пока не вернулась ошибка ntoskrnl.exe с синим экраном (кстати, чаще всего она возникает на windows 7), нужно начать действовать. Первым делом попробуйте почистить реестр от неправильно выполненных и устаревших записей. Удобнее и безопаснее всего делать это с помощью специальных утилит, например, небезызвестной CCleaner.
- Скачайте программу и установите её.
- Откройте окно и слева в списке найдите главу «Очистка реестра».
- Нажмите «Анализ» и дождитесь обнаружения всех проблемных записей.
- Вверху укажите «Выделить все» и «Исправить выделенное».
- Программа предложит сделать копию реестра – соглашайтесь, только сохраняйте ее не в «Документы» на диске «С», как указано по умолчанию, а в отдельную папку на диске «D».
- После очистки запустите «Анализ» ещё раз – и так до тех пор, пока список повреждённых элементов не останется пустым.
Исправление диска
Далее нужно проверить системный диск и исправить кое-какие ошибки, если они будут обнаружены. Для этого:
- Найдите значок «Компьютер» и разверните содержимое.
- Дважды щелкните ПКМ по диску «С» (у вас он может называться как-нибудь еще – главное, помните, что нам нужен раздел, где хранится ОС);
- Выберите последний пункт «Свойства», а затем подпункт «Сервис» и запустите проверку.
- Компьютер может несколько раз перезагрузиться в процессе – это нормально, не волнуйтесь.
Для этих же целей проверяем внутренние системные файлы и исправляем неполадки следующим образом:
- Нажмите Win+R и дождитесь появления небольшого окошка со строкой ввода.
- Впишите в нее «cmd».
- Теперь появится окно с черным полем, куда нужно ввести: «sfc/scannow» и нажать «Интер».
- Также можно задать команду «chkdsk».
Подождите, пока не появится сообщение об успешном выполнении операции, а потом перезагрузите ПК.
Проверка на вирусы
Нередко причиной остановки запуска Windows бывают вирусы, которые удаляют файл Ntoskrnl.exe из корневой папки Winnt_rootSystem32. Не сбрасывайте со счетов такую возможность и обязательно проверьте систему:
- Установите какой-нибудь хороший антивирус: Касперского, «Доктор веб», «Эсет» и т. п.
- Запустите полную проверку всех дисков.
- Дождитесь окончания процедуры (это может занять много времени, можно оставить на ночь).
- Удалите все вредоносные файлы или переместите в карантин – лучше поступить так, как рекомендует антивирус.
- Проверьте файловую систему на ошибки и восстановите все поврежденное, как это было описано выше.
Если вирус занесен какой-то программой, ее необходимо деинсталлировать. Скорее всего, добровольно удаляться она не захочет – тогда вам поможет деинсталлятор (например, Uninstall Tool) и опция «принудительное удаление».
Обновление ОС и драйверов
Иногда проблемы с ntoskrnl.exe и синий экран возникают из-за того, что система давно не обновлялась: в Windows 10 сложно отключить автоматическую установку пакетов, но в седьмой версии такое часто происходит – просто зайдите в Update Center и запустите обновления, а для драйверов оборудования скачайте их отдельно (только обращайте внимание на разрядность: x64 или х86 для 64-bit систем). Удалите все драйвера старого, не используемого оборудования: принтеров, графических планшетов, сканеров, МФУ и т.п. («Панель управления» — «Диспетчер устройств» — клик правой кнопкой по устаревшему устройству – команда «Удалить»).
Восстановление системы
И, наконец, если все предыдущие шаги не увенчались успехом, можно восстановить систему до того состояния, когда все нормально работало. Чтобы сделать это, нужно:
- На Windows 7 последовательно открываем: «Пуск» – «Все программы» – «Стандартные» – «Служебные» – «Восстановление системы», на Windows 10 в «Поиск» наберите «Создание точки восстановления» и откройте соответствующий значок.
- Нажмите «Далее» в появившемся окне и выбираем «Показать точки восстановления».
- Выберите дату, когда компьютер стабильно работал.
- Нажмите «Готово».
Дождитесь окончания процесса – ни в коем случае не выключайте компьютер из сети и позаботьтесь о том, чтоб у ноутбука не села батарея.
в последнее время мой рабочий стол Dell был случайным образом сбой при работе в течение длительного периода времени. В файл дампа была записана следующая информация:
невозможно загрузить изображение
SystemRootsystem32ntoskrnl.исполняемый,
Win32 ошибка 0n2Предупреждение: не удается проверить метку времени для ntoskrnl.exe
Ошибка: загрузка модуля завершена, но не удалось загрузить символы для
ntoskrnl.exe Windows Server
2008 / Версия Ядра Windows Vista Шесть тысяч один
(Service Pack 1) MP (4 procs) бесплатно x64Продукт: WinNt, suite: TerminalServer
SingleUserTS ЛичныеИмя Компьютера:
Ядро base = 0xfffff800
01e5c000
0201edb0
PsLoadedModuleList =
0xfffff800сеанс отладки
время: Пн, 31 авг 19:33:29.995 2009
(GMT-7)время работы системы: 0 дн.
11:59:15.563
кто-нибудь испытывал эту проблему с ntoskrnl.exe вызывая Windows Vista, чтобы врезаться? Я использую 64-разрядную версию Windows Vista home premium
обновление
это поведение, начиная с прошлой недели после последнего набора обновлений Windows Vista были автоматически установлены на моем компьютере (KB973879, KB973874, KB970653 и KB972036). Я также удалил и старую версию McFee Security Center и установил AVS Anti-Virus Free Editon 8.5.
кроме того, синий экран также будет происходить, когда я отключил свой iPhone от компьютера.
@Wil — есть ли предлагаемый инструмент для определения, если у меня есть рулкит установлен на моей рабочей станции.
обновление 2
вот аварийные коды из моего последнего BSOD. Кроме того, мне пришлось переустановить драйверы для беспроводного USB-адаптера Belkin G, и он очистил кэш cookie от IE8.
BCCode: 1000007e
BCP1: FFFFFFFFC0000005
BCP2: FFFFF800021D3B81
BCP3: FFFFFA60017B4798
BCP4: FFFFFA60017B4170
обновление 3
@Wil-я попытался запустить Rootkit Revealer, и он написал в журнал событий следующую ошибку приложения:
ошибка приложения
RootkitRevealer.exe, версия 1.71.0.0,
отметка времени 0x44e255aa, модуль разломов
RootkitRevealer.exe, версия 1.71.0.0,
отметка времени 0x44e255aa, код исключения
0xc0000005, смещение 0x000040cd недостатка,
идентификатор процесса 0x11b0, запуск приложения
время 0x01ca2ab8f0adc004.
источник
кажется у других была такая же проблема в частности, после обновления Windows, а также. Это звучит как проблема более низкого уровня, и поиск дал несколько возможных решений:
- заменить ntoskrnl.exe с DVD-диска Windows.
- запустите chkdsk на диске
- запустить Memtest
лично, вместо того, чтобы делать процесс ликвидации и тратить время, Id предпочитают делать новую установку Windows (после резервного копирования всех ваших файлов, конечно).
отвечен John T 2009-09-01 03:50:50
источник
это означает, что отладчик (предположительно WinDbg) не может загрузить ntoskrnl.exe
. Хотя это, безусловно, возможно, что некоторые вредоносные программы заменил ntoskrnl.exe
как Wil предложил, более вероятным объяснением является то, что у вас нет WinDbg настроен для загрузки символов с сервера общедоступных символов Microsoft.
попробуйте запустить .symfix
и !sym noisy
команды, а затем попробуйте запустить !analyze -v
снова. Если это не помогает, пожалуйста, опубликуйте все соответствующие выходные данные отладчика (с !sym noisy
включил). (Размещение фактического мини-дампа также может помочь.) Например, некоторые опущенные выходные данные включают путь к символу:
Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.
Loading Dump File [C:tempoops.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: srv*C:symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Unable to load image SystemRootsystem32ntoskrnl.chk, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.chk
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.chk
Windows Server 2008/Windows Vista Kernel Version 6002 MP (2 procs) Checked x64
если ваш путь символов настроен правильно, повреждение памяти из-за плохого оборудования будет еще одним возможным объяснением не вредоносных программ. Попробуйте запустить MemTest86+ в течение нескольких часов.
относительно информации о коде проверки ошибок: проверка ошибок 0x1000007e SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M
. Соответствующее исключение-0xC0000005,STATUS_ACCESS_VIOLATION
. Остальные три параметры не дают много информации без дальнейшего изучения в отладчике. Это может быть связано с ошибкой драйвера, разгоном, неисправной памятью, поврежденным/замененным файлом на диске, неудачной попыткой использовать переполнение буфера в системной службе, космическим лучом, поражающим один из чипов ОЗУ вашего ПК и т. д.
отвечен bk1e 2009-09-01 06:41:27
источник
Не уверен, если это поможет вам, и я не эксперт, но у меня просто была эта проблема . я отправил отчет, и microsoft выскочила страница, которая дала ответы на эту проблему . они сказали, что это скорее всего ошибка жесткого диска , Windows не может прочитать с диска и дал несколько причин . Одной из причин было то, что я только что сохранили файл на мой диск с внешнего носителя или диска . Я только что перевел свой win cd на свой hd .
извините, но я забыл, что другие причины были, но они тоже были простые вещи . Они сказали запустить chkdsk .
отвечен markk 2011-02-07 16:06:19
источник
- вы недавно устанавливали программное обеспечение?
- что такое синий экран остановки код?
- вы пробовали восстановление системы обратно, прежде чем он потерпел неудачу?
- вы пробовали Восстановление системы Windows?
Я согласен с Wil, что вы должны принять меры предосторожности.
отвечен hanleyp 2009-09-01 03:16:42
источник
да.
Это не случайная ошибка и обычно indecation чего-то очень серьезно.
обычно это вызвано либо серьезной вредоносной программой (например, руткитом), плохим антивирусом, который может свернуть ядро, либо некоторыми «взломами», которые люди подают в суд для редактирования системных файлов.
в любом случае, это очень серьезно.
вы можете перейти к консоли восстановления / командной строки с компакт-диска Vista, и заменить эти файлы поверх, как это не уникально до одна установка.
вы можете скопировать его с чужой машины до тех пор, пока это тот же уровень пакета обновления — не 100% уверен, если общий уровень обновления влияет на него, а затем скопировать его в то же место, и вы должны быть в состоянии загрузиться.
Это, как говорится, лично я бы просто сделать мои важные файлы и переустановить с нуля. Опять же, эта ошибка не появляется случайно и, как правило, вызвана очень серьезными другими проблемами, поэтому, даже если вы ее исправите, в вашей системе могут быть и другие сюрпризы, которые проявятся позже.
Edit — для руткитов нет реального окончательного ответа, поэтому мое предложение переустановить с нуля. Microsoft / Sysinternals сделать «Rootkit Revealer», которая является средством для выявления, но не удалять их. Я предлагаю вам читать страницу товара, так как это многое объясняет о руткитах.
источник