Exceptioncode: c0000006
Если поле ExceptionCode содержит значение c0000006 (In-page I/O error), а второй параметр Parameter[2]: c000009a (Insufficient system resources exist to complete the API), то полное описание ошибки выглядит следующим образом:
«Inpage operation failed at , due to I/O error c000009a», что переводится как «Ошибка страничной операции (ошибка подкачки страницы) в следствии ошибки ввода-вывода с кодом c000009a». Так же, статус завершения может содержаться в поле с именем ERROR_CODE, а полная комбинированный код ошибки в поле EXCEPTION_STR.
Статус c000009a, в свою очередь, указывает на недостаток системных ресурсов для завершения вызова API, а недостаток ресурсов, чаще всего, является следствием исчерпания памяти. Из всего этого следует, что мы имеем дело с утечкой памяти в одном из сторонних модулей режима ядра, которая привела к исчерпанию системных ресурсов (в данном случае памяти), а это, в свою очередь, вызвало ошибку ввода-вывода при подкачке страницы, поскольку некуда была эту страницу подгрузить.
Утечка памяти (memory leak) — процесс неконтролируемого уменьшения объёма свободной (оперативной/виртуальной) памяти системы, связанный с ошибками в коде выполняющихся в данный момент программ, вовремя не освобождающих ненужные уже участки памяти, или с ошибками системных служб контроля памяти.
Память это конечный системный ресурс, и хорошая практика состоит в том, что как только часть памяти (минимальная единица выделения) становится не нужной какому-либо исполняемому коду, она должна быть возвращена в общий пул посредством освобождения (маркировки как свободная).
К сожалению, так случается не всегда. А иногда бывает, что ошибка в коде приводит к тому, что память вовремя не освобождается, а только постоянно резервируется. Естественно, что утечка происходит не в самих системных процессах (csrss.exe, smss.exe и прочих), которые могут фигурировать в качестве «упавшего» объекта, а где то еще, в каких-то сторонних модулях, работающих в ядре, скорее всего сторонних драйверах.
обратите внимание, что в выводе отладчика я выделил поля с именами NonPagedPool Usage, NonPagedPool Max. Они относятся к такому важному системному ресурсу, как невыгружаемый и выгружаемый пулы.
Выгружаемый и невыгружаемый пулы — ресурсы памяти, которые ядро операционной системы (включая драйверы устройств) использует для хранения собственных структур данных.
Сразу отмечу, что выгружаемые пулы обычно не являются причиной аварийных ситуаций из-за утечек памяти, поскольку они могут быть выгружены на диск, в файл подкачки. Стоит обращать своё внимание именно на невыгружаемые пулы. В случае, когда значения невыгружаемых пулов NonPagedPool Usage ~= NonPagedPool Max, можно сделать вывод об наличии факта исчерпания пулов.
В дополнение, в выводе могут встретиться такие строки как Excessive NonPaged Pool Usage и ???? pool allocations have failed, которые так же являются характерными признаками исчерпания пулов. Теперь мы можем вывести список всех процессов, использующих невыгружаемые пулы:
!poolused 7
Расширение !poolused даёт сводку по использованию памяти, на основании тэгов, применяемых для каждого пула, то есть показывает использование памяти для каждого тэга. Сам тэг характеризует конкретный модуль в ядре. Таким образом, !poolused собирает данные из механизма маркируемых пулов (pool tagging, группируемые по тэгу пулы), которая постоянно включена в ядре только в версиях Windows 2003 и старше. В расширении используются флаги, которые регламентируют количество выводимых данных и метод сортировки:
- Bit 0 (0x1) — Включает детализированный вывод;
- Bit 1 (0x2) — Сортирует вывод по количеству невыгружаемой памяти;
- Bit 2 (0x4) — Сортирует вывод по количеству выгружаемой памяти;
- Bit 3 (0x8) — Отображает вместо стандартных пулов пулы сессии;
Флаг 2 команды используется для вывода объема использования невыгружаемых пулов, 4 показало бы выгружаемые пулы.
NonPaged Paged
Tag Allocs Frees Diff Used Allocs Frees Diff Used
@GMM 86 63 23 2291256 1 0 1 2097152 (Intel video driver) Memory manager
Cont 267 8 259 2154640 0 0 0 0 Contiguous physical memory allocations for device drivers
EtwB 179 109 70 1779736 2 0 2 131072 Etw Buffer , Binary: nt!etw
VHAL 15 0 15 1578176 0 0 0 0 UNKNOWN pooltag ‘VHAL’, please update pooltag.txt
Ntfx 9682 1852 7830 1469264 0 0 0 0 General Allocation , Binary: ntfs.sys
File 82334 74244 8090 1446864 0 0 0 0 File objects
VoSm 62 41 21 1240192 0 0 0 0 Bitmap allocations , Binary: volsnap.sys
Pool 13 8 5 1156680 0 0 0 0 Pool tables, etc.
MmCa 6578 564 6014 904208 0 0 0 0 Mm control areas for mapped files , Binary: nt!mm
FMsl 9240 1461 7779 809016 0 0 0 0 STREAM_LIST_CTRL structure , Binary: fltmgr.sys
Thre 2216 1456 760 563216 0 0 0 0 Thread objects , Binary: nt!ps
IU3C 23 22 1 483328 73 71 2 48 IIS Utility Driver
Mm 443 434 9 456448 65 62 3 88 general Mm Allocations , Binary: nt!mm
MmCi 1592 0 1592 423008 0 0 0 0 Mm control areas for images , Binary: nt!mm
0AEC 189 2 187 414896 0 0 0 0 UNKNOWN pooltag ‘0AEC’, please update pooltag.txt
AmlH 6 0 6 393216 0 0 0 0 ACPI AMLI Pooltags
Devi 383 42 341 344960 0 0 0 0 Device objects
. . .
7:kd>!poolused7 ........ SortingbyNonPagedPoolConsumed NonPaged Paged Tag Allocs Frees Diff Used Allocs Frees Diff Used @GMM 86 63 23 2291256 1 0 1 2097152(Intelvideodriver)Memorymanager Cont 267 8 259 2154640 0 0 0 0Contiguousphysicalmemoryallocationsfordevicedrivers EtwB 179 109 70 1779736 2 0 2 131072EtwBuffer,Binary:nt!etw VHAL 15 0 15 1578176 0 0 0 0UNKNOWNpooltag‘VHAL’,pleaseupdatepooltag.txt Ntfx 9682 1852 7830 1469264 0 0 0 0GeneralAllocation,Binary:ntfs.sys File 82334 74244 8090 1446864 0 0 0 0Fileobjects VoSm 62 41 21 1240192 0 0 0 0Bitmapallocations,Binary:volsnap.sys Pool 13 8 5 1156680 0 0 0 0Pooltables,etc. MmCa 6578 564 6014 904208 0 0 0 0Mmcontrolareasformappedfiles,Binary:nt!mm FMsl 9240 1461 7779 809016 0 0 0 0STREAM_LIST_CTRLstructure,Binary:fltmgr.sys Thre 2216 1456 760 563216 0 0 0 0Threadobjects,Binary:nt!ps IU3C 23 22 1 483328 73 71 2 48IISUtilityDriver Mm 443 434 9 456448 65 62 3 88generalMmAllocations,Binary:nt!mm MmCi 1592 0 1592 423008 0 0 0 0Mmcontrolareasforimages,Binary:nt!mm 0AEC 189 2 187 414896 0 0 0 0UNKNOWNpooltag‘0AEC’,pleaseupdatepooltag.txt AmlH 6 0 6 393216 0 0 0 0ACPIAMLIPooltags Devi 383 42 341 344960 0 0 0 0Deviceobjects ... |
список обычно выдается просто огромный и приводить его тут целиком не имеет особого смысла, поэтому я показал лишь небольшую его часть, верхнюю. Конкретно в этом дампе у меня нет необходимой информации, однако обычно из подробного вывода видно, что у какой-то метки пула может присутствовать очень большое значение (обычно сотни тысяч) в столбце Diff у группировки NonPaged, которое говорит о том, что память, маркированная данным тэгом постоянно резервируется, но при этом мало освобождается.
Если в столбце Tag присутствует значение Irp, то имеются в виду IRP-пакеты (I/O request packet, пакеты запроса ввода-вывода), которые используются для обмена данными с драйверами. Поэтому, мы можем обратить своё внимание на пакеты драйверов (IRP), поскольку они могут дать нам подсказку по функциям, интенсивно использующим память. Для этого используем команду !irpfind отладчика:
Scanning large pool allocation table for tag 0x3f707249 (Irp?) (86bfb000 : 86cfb000)
Irp [ Thread ] irpStack: (Mj,Mn) DevObj [Driver] MDL Process
8612d828 [8760e030] irpStack: ( e,20) 868b4198 [ DriverAFD] 0x8759d6f8
87625530 [875e4398] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
8619ec08 [8788c030] irpStack: ( e, 3) 868b4198 [ DriverAFD]
86eb8ad0 [876b30e0] irpStack: ( e,20) 868b4198 [ DriverAFD] 0x876a5980
87d31d20 [857a3c20] irpStack: ( e,2d) 868b4198 [ DriverAFD]
861a5c08 [00000000] Irp is complete (CurrentLocation 3 > StackCount 2)
86ac28e0 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1) 0x00000000
86e911d0 [00000000] Irp is complete (CurrentLocation 7 > StackCount 6)
Searching nonpaged pool (80000000 : ffc00000) for tag 0x3f707249 (Irp?)
8563fe90 [00000000] irpStack: ( f, 0) 00000000 [00000000: Could not read device object or _DEVICE_OBJECT not found
]
856a2210 [00000000] irpStack: ( f, 0) 861d1b90 [ DriverACPI]
856a2600 [00000000] irpStack: (16, 0) 8563f328 [ DriverACPI]
856bb008 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bb6a8 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bbb58 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bf368 [87611030] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
856bf420 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856bf8d0 [00000000] Irp is complete (CurrentLocation 31 > StackCount 30)
856e30d8 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1)
85713ae0 [876f7d48] irpStack: ( e,2d) 868b4198 [ DriverAFD]
85718300 [00000000] Irp is complete (CurrentLocation 2 > StackCount 1)
857190a0 [87b7ad48] irpStack: ( d, 0) 86110de8 [ FileSystemNpfs]
85719aa0 [87837420] irpStack: ( e, 0) 8782bd10 [ Drivermpsdrv]
8571a008 [87ace828] irpStack: ( c, 2) 86734020 [ FileSystemNtfs]
857676a8 [87b25d48] irpStack: ( e, 0) 86f0e030 [*** ERROR: Module load completed but symbols could not be loaded for iusb3hub.sys
Driveriusb3hub]
85768d48 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85775840 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85776408 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85776cc8 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85777338 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
85777ce0 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857861d8 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b2928 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b3090 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
857b5028 [00000000] Irp is complete (CurrentLocation 4 > StackCount 3)
. . .
7:kd>!irpfind Scanninglargepoolallocationtablefortag0x3f707249(Irp?)(86bfb000:86cfb000) Irp [Thread]irpStack:(Mj,Mn) DevObj [Driver] MDLProcess 8612d828[8760e030]irpStack:(e,20) 868b4198[DriverAFD]0x8759d6f8 87625530[875e4398]irpStack:(d,0) 86110de8[FileSystemNpfs] 8619ec08[8788c030]irpStack:(e,3) 868b4198[DriverAFD] 86eb8ad0[876b30e0]irpStack:(e,20) 868b4198[DriverAFD]0x876a5980 87d31d20[857a3c20]irpStack:(e,2d) 868b4198[DriverAFD] 861a5c08[00000000]Irpiscomplete(CurrentLocation3>StackCount2) 86ac28e0[00000000]Irpiscomplete(CurrentLocation2>StackCount1)0x00000000 86e911d0[00000000]Irpiscomplete(CurrentLocation7>StackCount6) Searchingnonpagedpool(80000000:ffc00000)fortag0x3f707249(Irp?) 8563fe90[00000000]irpStack:(f,0) 00000000[00000000:Couldnotreaddeviceobjector_DEVICE_OBJECTnotfound ] 856a2210[00000000]irpStack:(f,0) 861d1b90[DriverACPI] 856a2600[00000000]irpStack:(16,0) 8563f328[DriverACPI] 856bb008[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bb6a8[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bbb58[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bf368[87611030]irpStack:(d,0) 86110de8[FileSystemNpfs] 856bf420[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856bf8d0[00000000]Irpiscomplete(CurrentLocation31>StackCount30) 856e30d8[00000000]Irpiscomplete(CurrentLocation2>StackCount1) 85713ae0[876f7d48]irpStack:(e,2d) 868b4198[DriverAFD] 85718300[00000000]Irpiscomplete(CurrentLocation2>StackCount1) 857190a0[87b7ad48]irpStack:(d,0) 86110de8[FileSystemNpfs] 85719aa0[87837420]irpStack:(e,0) 8782bd10[Drivermpsdrv] 8571a008[87ace828]irpStack:(c,2) 86734020[FileSystemNtfs] 857676a8[87b25d48]irpStack:(e,0) 86f0e030[***ERROR:Moduleloadcompletedbutsymbolscouldnotbeloadedforiusb3hub.sys Driveriusb3hub] 85768d48[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85775840[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85776408[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85776cc8[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85777338[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 85777ce0[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857861d8[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b2928[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b3090[00000000]Irpiscomplete(CurrentLocation4>StackCount3) 857b5028[00000000]Irpiscomplete(CurrentLocation4>StackCount3) ... |
Время выполнения команды !irpfind может быть ЧУДОВИЩНО БОЛЬШИМ! У меня последний раз при дампе размером в 4 гигабайта, операция выполнялась в течении нескольких часов.
Список, традиционно, не маленький, и я привел лишь небольшую его часть. По команде !pool (адрес из первой колонки) можно получить данные о принадлежности к выгружаемому или невыгружаемому пулу памяти:
По команде !irp (адрес из первой колонки) можно получить информацию о принадлежности пакета к определенному устройству:
Как мы можем видеть, в последних строках есть ссылка на драйвер устройства, которому предназначался IRP пакет: DriverAFD. У нас имя драйвера устройства было сразу видно в выводе команды !irpfind, приведенном выше, однако если Вам по каким-либо причинам необходимо узнать имя драйвера, то можно выполнить команду !devstack <Device> (адрес из колонки Device), которая получает информацию об устройстве, получившем IRP пакет:
При обнаружении стороннего драйвера, информацию по нему можно посмотреть командной
lmvm
Стоит обращать внимание на время создания стороннего драйвера, поскольку некоторые проблемы могут вызывать драйвера, выпущенные довольно давно и плохо работающие в среде актуальной операционной системы.
Код ошибки 0x0000000a в windows 7
Ошибка 0x0000000a может происходить как во время работы установленной системы Windows 7, так и при ее установке по следующим причинам:
Для устранения ошибки 0x0000000a важно правильно интерпретировать BSOD. Рассмотрим ситуацию, приведенную на рисунке ниже:
Надпись DRIVER_IRQL_NOT_LESS_OR_EQUAL или IRQL_NOT_LESS_OR_EQUAL указывает на то что ошибка возникла во время системного прерывания BIOS, по причине обращения к запрещенной области памяти для данного уровня доступа прерывания. То есть в момент взаимодействия системой с аппаратным обеспечением компьютера.
После кода ошибки 0x0000000a в фигурных скобках мы видим подробную информацию об ошибке, в данном случае:
- 0x0075008C будет некорректным адресом для данного обращения;
- 0х00000002 уровень необходимого прерыванию доступа для работы с выше указанным участком памяти;
- 0х00000001 указывает на то, что ошибка произошла при попытке записи в память, код 0х00000000 указывал на сбой при операции чтения;
- 0х83А19829 адрес инструкции, выполнение которой вызвало ошибку, по данному адресу можно определить вызвана, ли ошибка драйвером системы, или некорректной работой приложения с аппаратной частью ПК. Для этого необходимо свериться с таблицей распределения о оперативной памяти.
Часто под стройкой с адресом ошибки (0x0000000a), можно увидеть каким именной драйвером был вызван сбой, но к сожалению далеко не всегда.
Для решения проблемы стоит выполнить следующие действия.
- Если данный сбой возник в момент установки драйвера в Windows 7, для подключённого к ПК оборудования необходимо перезагрузиться в безопасном режиме предварительно выключив ПК и отключив установленное оборудование. Для этого при перезагрузке нажимаем клавишу F8. После появления экрана с предложением выбора варианта загрузки выбираем «Безопасный режим» или «Safe mode» как показано ниже и подтверждаем выбор нажатием клавиши Enter.
- После загрузки системы Windows 7 в безопасном режиме запускаем диспетчер оборудования, нажав правой кнопкой мышки на «Мой компьютер». После открытия консоли выбираем установленное оборудования, жмем на него правой кнопкой мышки и выбираем свойства, переходим на вкладку «драйвер», нажимает «удалить», устанавливаем птичку и жмем «ОК».
- После перезагрузки системы устанавливаем корректный драйвер для данного устройства. Перегружаем систему в нормальном режиме. Бывает, ошибка с кодом 0x0000000a в Windows 7 возникает после обновлений драйверов или самой операционной системы. В таком случае перегружаемся в безопасном режиме. Запускаем пуск выполнить, в появившемся окне вводим команду verifier/ reset, что сбросит параметры проверки драйверов по умолчанию, нажимаем «ОК».
- Если данная ошибка возникает при переходе системы Windows 7 в «Спящий режим» или «Режим Гибернации» то необходимо установить последние обновления, или наоборот сделать откат на последнюю точку восстановления системы.
- Если ошибка вызвана после настройки BIOS, особенно игр в IRQL прерываний, то рекомендуется сбросить данные настройки по умолчанию, сохранить настройки BIOS.
- При сбое в результате некорректной работы аппаратной части ПК стоит попробовать в BIOS следующие:
- отключить кеш память, в том числе второго и третьего уровня;
- отключить в BIOS Plug And Play режим;
- доступ к затененной памяти;
- антивирусную защиту BIOS, если таковая имеется;
- стоит обновить прошивку BIOS материнской платы и видеокарты до последней версии;
- запустить тест оперативной памяти, возможно вставить оперативную память в другой слот, попробовать понизить частоту работы ОЗУ до наиболее медленной планки, если они у вас разные;
- Для определения какое именно устройство в ПК вызывает конфликт можно попробовать по очереди отключать комплектующие ПК. Начать стоит с оперативной памяти, если у вас установлено 2 и более планок ОЗУ, то методом перебора проверяем каждую из них. Перед этим важно провести полный тест ОЗУ для исключения сбойных ячеек.
- Если приложение приводит к ошибке, то можно просмотреть в журнале ошибок Windows 7 какое именно. Смотреть нужно в разделе «Приложения» Ошибки драйверов будут фиксироваться в разделе «Система».
Определение типа объекта
Весьма желательно, что бы у Вас к этому моменту на руках уже имелся полный дамп памяти.
Запускаем отладчик WinDbg из комплекта Debugging Tools for Windows, затем открываем через меню File — Open Crash Dump… имеющийся у нас на руках (желательно полный) дамп памяти.В интерфейсе отладчика, в командной строке выполняем команду !analyze -v:
CRITICAL_OBJECT_TERMINATION (f4)
A process or thread crucial to system operation has unexpectedly exited or been
terminated.
Several processes and threads are necessary for the operation of the
system; when they are terminated (for any reason), the system can no
longer function.
Arguments:
Arg1: 0000000000000003, Process
Arg2: fffffa801723e730, Terminating object
Arg3: fffffa801723ea10, Process image file name
Arg4: fffff800043849c0, Explanatory message (ascii)
Debugging Details:
——————
ETW minidump data unavailable
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 7601.23539.amd64fre.win7sp1_ldr.160902-0600
SYSTEM_MANUFACTURER: MSI
SYSTEM_PRODUCT_NAME: MS-7758
SYSTEM_SKU: To be filled by O.E.M.
SYSTEM_VERSION: 1.0
BIOS_VENDOR: American Megatrends Inc.
BIOS_VERSION: V2.4
BIOS_DATE: 06/19/2021
BASEBOARD_MANUFACTURER: MSI
BASEBOARD_PRODUCT: Z77A-G43 (MS-7758)
BASEBOARD_VERSION: 1.0
DUMP_TYPE: 2
BUGCHECK_P1: 3
BUGCHECK_P2: fffffa801723e730
BUGCHECK_P3: fffffa801723ea10
BUGCHECK_P4: fffff800043849c0
KERNEL_LOG_FAILING_PROCESS: (null)
PROCESS_NAME: csrss.exe
CRITICAL_PROCESS: csrss.exe
IMAGE_NAME: csrss.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: csrss
FAULTING_MODULE: 0000000000000000
EXCEPTION_CODE: (Win32) 0x2119e060 (555343968) —
ERROR_CODE: (NTSTATUS) 0x2119e060 —
CPU_COUNT: 8
CPU_MHZ: da4
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3a
CPU_STEPPING: 9
CPU_MICROCODE: 6,3a,9,0 (F,M,S,R) SIG: 12’00000000 (cache) 12’00000000 (init)
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
BUGCHECK_STR: 0xF4
CURRENT_IRQL: 0
ANALYSIS_SESSION_HOST:
ANALYSIS_SESSION_TIME: 11-09-2021 10:30:42.0059
ANALYSIS_VERSION: 10.0.14321.1024 amd64fre
STACK_TEXT:
fffff880`239039d8 fffff800`0440fb22 : 00000000`000000f4 00000000`00000003 fffffa80`1723e730 fffffa80`1723ea10 : nt!KeBugCheckEx
fffff880`239039e0 fffff800`043cd12b : 00000000`00000001 fffffa80`2119e060 fffffa80`1723e730 fffffa80`1f54eb01 : nt!PspCatchCriticalBreak 0x92
fffff880`23903a20 fffff800`04334eb4 : 00000000`00000001 00000000`0000239c fffffa80`1723e730 fffffa80`00000008 : nt! ?? ::NNGAKEGL::`string’ 0x282c6
fffff880`23903a70 fffff800`0407a413 : 00000000`0000239c fffffa80`2119e060 fffffa80`1723e730 fffffa80`21c24950 : nt!NtTerminateProcess 0x284
fffff880`23903ae0 00000000`7736bdfa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd 0x13
00000000`2e94ebf8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7736bdfa
STACK_COMMAND: kb
THREAD_SHA1_HASH_MOD_FUNC: e9460336222f4471d8ae88a3d24ad7df3aff8ef1
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 9c238bf7ebe2405ac86e2eb68e7c228ca739e29c
THREAD_SHA1_HASH_MOD: f08ac56120cad14894587db086f77ce277bfae84
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
PRIMARY_PROBLEM_CLASS: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060
TARGET_TIME: 2021-10-29T18:32:47.000Z
OSBUILD: 7601
OSSERVICEPACK: 1000
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 7
OSEDITION: Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2021-09-02 17:56:46
BUILDDATESTAMP_STR: 160902-0600
BUILDLAB_STR: win7sp1_ldr
BUILDOSVER_STR: 6.1.7601.23539.amd64fre.win7sp1_ldr.160902-0600
ANALYSIS_SESSION_ELAPSED_TIME: aa9
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:x64_0xf4_csrss.exe_bugcheck_critical_process_terminated_by_zennoposter.ex_2119e060
FAILURE_ID_HASH: {84f37c38-3c29-3fb1-11f5-e9b6e5d2d6f8}
Followup: MachineOwner
******************************************************************************* * * * BugcheckAnalysis * * * ******************************************************************************* CRITICAL_OBJECT_TERMINATION(f4) Aprocessorthreadcrucialtosystemoperationhasunexpectedlyexitedorbeen terminated. Severalprocessesandthreadsarenecessaryfortheoperationofthe system; when they are terminated (for any reason), the system can no longerfunction. Arguments: Arg1:0000000000000003,Process Arg2:fffffa801723e730,Terminatingobject Arg3:fffffa801723ea10,Processimagefilename Arg4:fffff800043849c0,Explanatorymessage(ascii) DebuggingDetails: —————— ETWminidumpdataunavailable DUMP_CLASS:1 DUMP_QUALIFIER:400 BUILD_VERSION_STRING: 7601.23539.amd64fre.win7sp1_ldr.160902—0600 SYSTEM_MANUFACTURER: MSI SYSTEM_PRODUCT_NAME: MS—7758 SYSTEM_SKU: TobefilledbyO.E.M. SYSTEM_VERSION: 1.0 BIOS_VENDOR: AmericanMegatrendsInc. BIOS_VERSION: V2.4 BIOS_DATE: 06/19/2021 BASEBOARD_MANUFACTURER: MSI BASEBOARD_PRODUCT: Z77A—G43(MS—7758) BASEBOARD_VERSION: 1.0 DUMP_TYPE: 2 BUGCHECK_P1:3 BUGCHECK_P2:fffffa801723e730 BUGCHECK_P3:fffffa801723ea10 BUGCHECK_P4:fffff800043849c0 KERNEL_LOG_FAILING_PROCESS: (null) PROCESS_NAME: csrss.exe CRITICAL_PROCESS: csrss.exe IMAGE_NAME: csrss.exe DEBUG_FLR_IMAGE_TIMESTAMP: 0 MODULE_NAME:csrss FAULTING_MODULE:0000000000000000 EXCEPTION_CODE:(Win32)0x2119e060(555343968)— ERROR_CODE:(NTSTATUS)0x2119e060— CPU_COUNT:8 CPU_MHZ:da4 CPU_VENDOR: GenuineIntel CPU_FAMILY:6 CPU_MODEL:3a CPU_STEPPING:9 CPU_MICROCODE:6,3a,9,0(F,M,S,R) SIG:12‘00000000 (cache) 12’00000000(init) CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0xF4 CURRENT_IRQL: 0 ANALYSIS_SESSION_HOST: ANALYSIS_SESSION_TIME: 11—09—202110:30:42.0059 ANALYSIS_VERSION:10.0.14321.1024amd64fre STACK_TEXT: fffff880`239039d8fffff800`0440fb22:00000000`000000f400000000`00000003fffffa80`1723e730fffffa80`1723ea10:nt!KeBugCheckEx fffff880`239039e0fffff800`043cd12b:00000000`00000001fffffa80`2119e060fffffa80`1723e730fffffa80`1f54eb01:nt!PspCatchCriticalBreak 0x92 fffff880`23903a20fffff800`04334eb4:00000000`0000000100000000`0000239cfffffa80`1723e730fffffa80`00000008:nt!??::NNGAKEGL::`string‘ 0x282c6 fffff880`23903a70fffff800`0407a413:00000000`0000239cfffffa80`2119e060fffffa80`1723e730fffffa80`21c24950:nt!NtTerminateProcess 0x284 fffff880`23903ae000000000`7736bdfa:00000000`0000000000000000`0000000000000000`0000000000000000`00000000:nt!KiSystemServiceCopyEnd 0x13 00000000`2e94ebf800000000`00000000:00000000`0000000000000000`0000000000000000`0000000000000000`00000000:0x7736bdfa STACK_COMMAND: kb THREAD_SHA1_HASH_MOD_FUNC: e9460336222f4471d8ae88a3d24ad7df3aff8ef1 THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 9c238bf7ebe2405ac86e2eb68e7c228ca739e29c THREAD_SHA1_HASH_MOD: f08ac56120cad14894587db086f77ce277bfae84 FOLLOWUP_NAME: MachineOwner FAILURE_BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 BUCKET_ID: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 PRIMARY_PROBLEM_CLASS: X64_0xF4_csrss.exe_BUGCHECK_CRITICAL_PROCESS_TERMINATED_BY_ZennoPoster.ex_2119e060 TARGET_TIME: 2021—10—29T18:32:47.000Z OSBUILD: 7601 OSSERVICEPACK: 1000 SERVICEPACK_NUMBER:0 OS_REVISION:0 SUITE_MASK: 272 PRODUCT_TYPE: 1 OSPLATFORM_TYPE: x64 OSNAME: Windows7 OSEDITION: Windows7WinNt(ServicePack1)TerminalServerSingleUserTS OS_LOCALE: USER_LCID: 0 OSBUILD_TIMESTAMP: 2021—09—0217:56:46 BUILDDATESTAMP_STR: 160902—0600 BUILDLAB_STR: win7sp1_ldr BUILDOSVER_STR: 6.1.7601.23539.amd64fre.win7sp1_ldr.160902—0600 ANALYSIS_SESSION_ELAPSED_TIME:aa9 ANALYSIS_SOURCE: KM FAILURE_ID_HASH_STRING: km:x64_0xf4_csrss.exe_bugcheck_critical_process_terminated_by_zennoposter.ex_2119e060 FAILURE_ID_HASH: {84f37c38—3c29—3fb1—11f5—e9b6e5d2d6f8} Followup: MachineOwner |
Вот это всё великое множество полей нам, конечно же, не потребуется. При анализе любого дампа памяти интерес для нас представляет, в первую очередь, описание и аргументы критической ошибки, которые следуют, как правило, непосредственно за «шапкой» Bugcheck Analysis:
Поиск ключевых структур
Не важно, виновником останова у нас был процесс или же поток, в любом случае, после определения типа вызвавшего сбой объекта, дальнейшее изучение приводит нас сюда. Само определение типа объекта (процесс/поток) и имени объекта (имя процесса) дают нам лишь минимально-необходимый набор информации для дальнейшего осмысления проблемы.
Конечно случаются и исключения, но в большинстве случаев в критической ошибке STOP 000000F4 участвует один из системных процессов, что усложняет дальнейший анализ. К примеру, виновником может запросто оказаться такой системный процесс, как csrss.exe или smss.exe, и что прикажете с этим фактом делать?
Обновлять/заменять системные процессы не имеет смысла, поскольку если исключить явную подмену модуля (вследствие вирусной активности), что случается довольно редко, то обычно в системе присутствует самая актуальная версия. В этом случае вопрос ЧТО именно упало заменяется на вопрос ПОЧЕМУ данный процесс/поток упал?
Природа критического сбоя такова, что настоящей причиной его может быть вовсе не сам процесс как таковой, а повреждение сторонних системных структур, например ошибка операции ввода-вывода при «подкачке» страницы из файла подкачки в физическую память.
Все это подталкивает нас к мысли о необходимости дальнейшего исследования инцидента. В самом начале исследования ошибки STOP 000000F4, мы выполняли в отладчике Windbg команду !analyze -v, а в выводе этой команды, в большинстве случаев, могут присутствовать дополнительные параметры, такие как код исключения в контексте процесса/потока. Попытайтесь найти в выводе структуру с именем EXCEPTION_RECORD, она может быть в такой форме:
а может быть и в такой:
..именно эта структура, в контексте данного сбоя, представляет особый интерес, поскольку имеет ряд значимых для дальнейшего изучения инцидента полей. Если структура присутствует в выводе, то обращаем внимания на поля ExceptionCode / EXCEPTION_CODE и Parameter[x] / ERROR_CODE, поскольку дальнейшее ориентирование будет происходить именно по их комбинациям.
Поле ExceptionCode указывает на код исключения (возможно с кратким описанием), а один из параметров Parameter[x] может содержать уточняющую информацию о характере возникшего исключения. Итак, значение поля ExceptionCode анализируется в совокупности с полями Parameter[x], обычно содержащими дополнительные коды ошибок, и только после этого выстраивается логическая цепочка дальнейших действий.
Проверка озу
Вторым источником ошибки синего экрана 0x000000f4 может служить некорректное взаимодействие компонентов системы и оперативной памяти. При наличии отклонений в последней её работа будет выполняться не корректно и системный процесс, вместо нужных данных получит неверное значение. Это и приведёт к его падению. В процессе проверки состояния ОЗУ компьютер потребуется перезапустить:
- Открываем строку «Выполнить» («Ctrl R») и прописываем «msconfig».
- Переходим на вкладку «Загрузка» и отмечаем галочку «Сделать эти параметры загрузки постоянными».
Это требуется для того, чтобы активировать «Тайм-аут» при запуске системы, чтобы после перезагрузки запустить диагностику памяти.
- Перезагружаем компьютер и выбираем «Диагностика памяти» в окне выбора системы.
После этого выбираете настройки и запускаете процесс. Дело это не быстрое и отнимет определённое время. Пользоваться компьютером в это время не выйдет.
Способ справедлив для любой версии Windows. Альтернативным способом запуска диагностики является перезагрузка компьютера и нажатия F8 для отображения окна выбора загрузки. Такой способ больше подходит для Windows XP, поскольку там вместо «msconfig» используется текстовый файл «boot.ini».
Сброс bios
Если недавно были произведены изменения BIOS или пытались разогнать процессор, то возможно, что проблема вызвана именно этим. Поэтому обязательно стоит попробовать вернуть его настройки по умолчанию. Сделать это можно несколькими способами:
- С помощью перемычки. Метод подходит для стационарных компьютеров. Необходимо полностью отключить питание устройства, вплоть до извлечения электровилки из розетки, снять крышку с системного блока и найти перемычку, которая располагается на системной плате рядом с батарейкой, обычно обозначена CMOS. Переместить перемычку в положение 2-3 на 15 секунд.После этого настройки BIOS вернутся к заводским. Если контактов только два, то достаточно их замкнуть.
- Если есть возможность воспользоваться утилитой BIOS Setup, то сброс к заводским настройкам можно произвести с ее помощью. Для этого необходимо запустить программу, и в меню настройки выбрать пункт «Load Optimal Defaults» либо какое-то аналогичное название в зависимости от версии BIOS.Делать это следует осторожно, так как неправильный сброс настроек BIOS может привести к поломке устройства. Если вы не уверены в своих силах, то обратитесь за помощью к квалифицированному специалисту.
Шаг 1: запустите компьютер в «безопасном режиме с поддержкой сети».
Чтобы запустить компьютер в безопасном режиме с поддержкой сети:
Windows 7, Vista Пользователи XP:
- Закройте все программы и перезагружать твой компьютер.
- Нажмите «F8«ключ при загрузке компьютера, до появления логотипа Windows.
- Когда «Меню расширенных параметров Windows«появляется на вашем экране, используйте клавиши со стрелками на клавиатуре, чтобы выделить»Безопасный режим с поддержкой сети«вариант, а затем нажмите»ВОЙТИ».
Windows 8 8.1 пользователей *:
* Также работает в Windows 7, Vista XP.
1. Нажмите «Windows»
«
р
«ключи для загрузки
Бег
чат.
2. Тип «MSCONFIG«и нажмите Войти.
3. Перейдите на вкладку Boot и проверьтеБезопасный ботинок» «сеть».
4. Нажмите «хорошо» а также перезапуск твой компьютер.
Заметка: Для того, чтобы загрузить Windows вНормальный режим«опять же, вы должны снять галочку»Безопасный ботинок«настройка с использованием той же процедуры.
Шаг 3. загрузите и установите предыдущую версию драйвера для графического адаптера.
После перезагрузки перейдите на веб-сайт производителя видеокарты и загрузите предыдущий (самый старый) драйвер для вашего адаптера дисплея. Чтобы найти предыдущий драйвер VGA:
- Для AMD-ATI драйверы дисплея:
- Перейдите на страницу загрузки драйверов AMD.
- На Выберите свой драйвер вручную выберите графическое оборудование AMD и операционную систему, а затем нажмите ОТОБРАЗИТЬ РЕЗУЛЬТАТЫ кнопка ниже.
- На открывшейся странице выберите Предыдущие драйверы и программное обеспечение ссылка на правой боковой панели.
- Наконец загрузите и установите предыдущую версию драйвера для вашей видеокарты AMD / ATI. (например, «3.12» или «3.9» версия).
- Для NVIDIA драйверы дисплея:
- Перейдите на NVIDIA. Загрузите страницу расширенного поиска драйверов.
- Определите модель графического продукта NVIDIA, свою операционную систему и выберите отображение только Рекомендуемые / Сертифицированные водители. Когда вы сделаете свой выбор, нажмите Поиск кнопка.
- Наконец загрузите и установите самую старую версию драйвера для вашей видеокарты NVIDIA. (например, версия «344.60»).
Решение 3. Сбросьте настройки BIOS и выполните чистую установку видеодрайверов.
Шаг 1. Запустите Windows в безопасном режиме и удалите драйверы графической карты, выполнив шаги 1 2 из решения 2 выше.
Шаг 2. Завершите работу вашего компьютера.
Шаг 3. Отсоедините шнур питания (плюс аккумулятор, если у вас есть ноутбук) и все подключенные устройства.
— — — Если у вас есть ноутбук, перейдите прямо к шагу 7 ниже … — — —
Шаг 4 Откройте корпус компьютера и аккуратно извлеките видеокарту.
Шаг 5 Очистить настройки BIOS материнской платы (CMOS). *
* Заметка: Прочитайте инструкцию к материнской плате о том, как очистить CMOS. В большинстве случаев вам необходимо установить перемычку на два вывода CMOS на материнской плате и подождать несколько секунд, прежде чем снимать перемычку, или вы должны вынуть батарею CMOS из держателя батареи и подождать 1 минуту, прежде чем устанавливать батарея CMOS вернулась на место.
Шаг 6 Подождите несколько секунд, а затем вставьте видеокарту обратно в слот.
Шаг 7 Подождите 30 — 40 секунд, затем подключите шнур питания и включите компьютер.
Шаг 8 Войдите в настройки BIOS и Загрузить заводские настройки по умолчанию настройки (иначе Загрузите оптимальные настройки по умолчанию). Затем — необязательно и, если необходимо, для загрузки Windows — внесите любые изменения в настройки контроллера жесткого диска (например, RAID и т. Д.).
Шаг 9Сохранить и выйти из BIOS.
Шаг 10 Загрузитесь с Windows и установите драйверы видеокарты.
Удачи!