Аварийный дамп памяти. Как с помощью дампа памяти определить драйвер, вызывающий BSOD Анализ дампа памяти с помощью Microsoft Kernel Debuggers

Продолжу расскажу о синем экране смерти, начатый в .

Итак, если компьютер внезапно перезагружается или зависает, а cиний экран смерти не появляется или появляется на долю секунды, то все равно информацию о причинах сбоя можно восстановить.

Дело в том, что операционная система в момент сбоя сохраняет содержимое оперативной памяти в так называемый дамп-файл (имеет расширение .dmp ). В дальнейшем файл дампа можно будет проанализировать и получить туже самую информацию, что и на синем экране и даже чуть больше.

Но создание дампов может быть отключено в системе, поэтому стоит убедиться, что, во-первых, система создает дампы при сбоях, а, во-вторых, стоит узнать место на диске, куда они сохраняются.

Для этого нужно зайти в раздел Система .

В Windows 10 это можно сделать через поиск, а в предыдущих версиях операционной системы через Панель управления .

Здесь должна быть включена запись событий в системный журнал, ну а чтобы компьютер автоматически не перезагружался и отображал нам содержимое синего экрана смерти, нужно отменить автоматическую перезагрузку, если она была включена.

Также здесь отображается путь к дампам — мы видим, что дамп сохраняется в папку %SystemRoot% — это обозначение папки Windows.

Также здесь можно выбрать «малый дамп памяти», которого будет вполне достаточно для поиска кодов ошибки.

Итак, система вылетела в синий экран смерти, после чего был создан дамп памяти.

Для анализа дампов существуют специальные программы и одной из самых популярных является утилита BlueScreenView .

Программа очень проста в использовании и не требует установки — скачиваем с официального сайта и разархивируем. При этом с официального сайта можно скачать файл, с помощью которого можно русифицировать программу. Для этого данный файл нужно будет поместить в папку с разархивированной программой.

Если после запуска в программе не отображаются дампы, хотя система «срывалась» в синий экран смерти, то стоит зайти в настройки программы и убедиться, что путь к дампам памяти указан верно, то есть он должен быть таким же, как и в настройках системы.

После этого нужно обновить информацию в окне программы и все созданные в системе дампы отобразятся. Если дампов несколько, то, ориентируемся по дате сбоя. Выбираем нужный дамп, а затем появится подробная информация по нему.

Здесь выводится название ошибки, ее STOP-код с параметрами и если причиной стал драйвер, то в соответствующем поле мы обнаружим его название.

Также в нижней части окна программы розовым будут выделяться файлы, которые также могли стать причиной сбоя. Придется по порядку разбираться с каждым из них. Алгоритм здесь аналогичен рассмотренному в прошлой заметке — ищем решение в интернете, а в качестве поискового ключа используем название файла или код ошибки.

При этом не обязательно вручную вводить данные в поисковик. Если щелкнуть правой кнопкой мыши по строке дампа, то из контекстного меню можно выбрать пункт, который позволит найти в Гугле описание именно этой проблемы.

Можно выбрать поиск в Гугл по коду ошибки, по коду ошибки и названию драйвера или по коду ошибки и параметру.

Также с помощью этой утилиты можно быстро найти местоположение проблемного файла на диске.

Иногда бывает, что файл, вызвавший проблему, принадлежит какой-то программе или игре. По местоположению файла на диске можно быстро определить, к какой именно программе или игре он относится.

Ну и стоит знать, что чистильщики вроде удаляют дампы памяти, поэтому если вы пользуетесь подобными программами, то на время выявления причины появления синего экрана смерти, стоит воздержаться от их использования.

И последний вопрос, на который я отвечу в рамках этой заметки — что делать, если после появления синего экрана компьютер более не запускается? То есть компьютер зависает или постоянно перегружается, а значит нет возможности проанализировать дамп памяти.

Ответ логичен и прост — нужно создать загрузочную флешку, с помощью которой «вытянуть» файл дампа с жесткого диска и проанализировать его на другом компьютере. Для этого загружаемся с флешки и на жестком диске компьютера в папке Windows или в подпапке minidump находим файл дампа, который копируем на флешку. Затем на другом компьютере с помощью утилиты BlueScreenView анализируем дамп, как было рассказано в этой заметке.

Как часто Вам приходится лицезреть экран смерти Windows (BSoD)? BSoD может возникать в разных случаях: как уже при работе с системой, так и в процессе загрузки операционной системы. Как же определить, чем вызвано появление BSoD и устранить эту проблему? Операционная система Windows способна сохранять дамп памяти при появлении ошибки, чтобы системный администратор мог проанализировать данные дампа и найти причину возникновения BSoD.

Существует два вида дампов памяти - малый (minidump) и полный. В зависимости от настроек операционной системы, система может сохранять полный или малый дампы, либо не предпринимать никаких действий при возникновении ошибки.

Малый дамп располагается по пути %systemroot%\minidump и имеет имя вроде Minixxxxxx-xx.dmp
Полный дамп располагается по пути %systemroot% и имеет имя вроде Memory.dmp

Для анализа содержимого дампов памяти следует применять специальную утилиту - Microsoft Kernel Debugger.
Получить программу и компоненты, необходимые для ее работы, можно напрямую с сайта Microsoft - Debugging Tools

При выборе отладчика следует учитывать версию операционной системы, на которой Вам придется анализировать дампы памяти. Для 32-разрядной ОС необходима 32-битовая версия отладчика, а для 64-разрядной ОС предпочтительно использовать 64-битовую версию отладчика.

Помимо самого пакета Debugging Tools for Windows, также понадобятся набор отладочных символов - Debugging Symbols. Набор отладочных символов специфичен для каждой ОС, на которой был зафиксирован BSoD. Потому придется загрузить набор символов для каждой ОС, анализировать работу которой Вам придется. Для 32-разрядной Windows XP потребуются набор символов для Windows XP 32-бит, для 64-разрядной ОС потребуются набор символов для Windows XP 64-бит. Для других ОС семейства Windows наборы символов подбираются сообразно такому же принципу. Загрузить отладочные символы можно отсюда . Устанавливать их рекомендуется по адресу %systemroot%\symbols

После установки отладчика и отладочных символов, запускаем отладчик. Окно отладчика после запуска выглядит следующим образом.

Перед анализом содержимого дампа памяти, потребуется провести небольшую настройку отладчика. Конкретно - сообщить программе, по какому пути следует искать отладочные символы. Для этого выбираем в меню File > Symbol File Path… Нажимаем кнопку Browse… и указываем папку, в которую мы установили отладочные символы для рассматриваемого дампа памяти.

Можно запрашивать информацию о требуемых отладочных символах прямо через Интернет, с публичного сервера Microsoft. Таким образом у вас будет самая новая версия символов. Сделать это можно следующим образом - в меню File > Symbol File Path… вводим: SRV*%systemroot%\symbols*http://msdl.microsoft.com/download/symbols

После указания пути к отладочным символам, выбираем в меню File > Save workspace и подтверждаем действие нажатием на кнопку OK.

Чтобы приступить к анализу дампа памяти, выбираем в меню File > Open Crash Dump… и выбираем требуемый для рассмотрения файл.

Система проведет анализ содержимого, по окончанию которого выдаст результат о предполагаемой причине ошибки.

Команда!analyze -v, данная отладчику в командной строке, выведет более детальную информацию.

Завершить отладку можно выбором пункта меню Debug > Stop Debugging

Таким образом, используя пакет Debugging Tools for Windows, всегда можно получить достаточно полное представление о причинах возникновения системных ошибок.

Вероятно, вы знакомы с известной STOP-ошибкой Windows, чаще упоминаемой как «синий экран смерти» (Blue Screen of Death, BSOD). Думаю, Вам будет интересно узнать, что существуют разные типы таких экранов в черном, красном, зеленом, белом, фиолетовом, желтом, сером и коричневом цветах. Подробнее об этом чуть позже, а сначала давайте разберемся с наиболее частой ошибкой системы — BSOD.

Что такое синий экран смерти (Blue Screen of Death)

Синий экран смерти или BSOD — это сообщение об ошибке, отображаемое на компьютерах с операционной системой Windows. BSOD возникает когда ОС Windows обнаруживает STOP-ошибку или другой фатальный системный сбой (состояние, в котором операционная система не может выполнять свои операции эффективно), приводящий к остановке системы. Это может быть вызвано поврежденными драйверами, неисправными аппаратными компонентами (железом), неподходящим источником питания или, когда комплектующие работают не по своему прямому назначению. Эта ошибка говорит о том, что ОС требуется автоматический перезапуск, чтобы вернуться в нормальное рабочее состояние.

Давайте разберем поподробнее что же такое BSOD:

Если вы вдруг захотите спросить гугл о том, кто создал данный экран, вам будет представлено имя экс-президента Microsoft Стива Баллмера. Однако это не совсем верно из-за неправильной интерпретации письма Чена Реймонда под названием “Кто написал текст для Ctrl + Alt + Delete в Windows 3.1?”, которое было опубликовано такими крупными журналами как The Verge, Engadget, Business Insider, DailyTech в сентябре 2014 года.

В письме шла речь о фундаментальном программном обеспечении — диспетчере задач, впервые появившемся в Windows 3.1, и интерфейсе, аналогичном синему экрану смерти. Возможно это и послужило причиной неверной интерпретации. И хотя Реймонд осознавал, что была совершена ошибка, он критиковал BGR.com за то, что те “полностью сфабриковали сценарий и выдали его за реальность” в публикации от 9 сентября 2014 года в которой писалось о появлении синих экранов смерти с момента запуска Windows NT 3.1 и во всех последующих версиях. Считали, что все дальнейшее развитие приводило к еще более частым сбоям, нестабильности операционной системы. Особенно подверглась критике серия Windows 9x, которой довелось испытать наибольшее количество BSOD из-за несовместимых DLL-файлов и ошибок ядра.

Что вызывает синий экран смерти?

Официальное имя BSOD — STOP-ошибка, вызванная тем, что программное обеспечение на уровне ядра сталкивается с некоторыми неполадками и пользователям не остается ничего кроме как перезагрузить систему. BSOD в большинстве случаев является результатом ошибок, связанных с оборудованием в вашем устройстве.

Синий экран смерти представляет собой код ошибки, назначенное ей имя и текст, объясняющий, что же произошло с компьютером. Это может произойти по причине скрытых процессов вредоносных программ или других поврежденных файлов, что в конечном итоге приводит к сбою системы, а иногда даже к потере всех данных.

В момент, когда происходит ошибка, Windows создает файл minidump в котором хранится вся информация о событии BSOD и использует его для поиска решения возникшего сбоя в системе. Вы можете воспользоваться средством просмотра событий Windows для просмотра информации и случившейся неполадке. Более поздние версии операционной системы включают в себя файл дампа, который в случае непредвиденного сбоя сохраняет в себе всю информацию с диска.

Способы решения вопроса синего экрана смерти.

Проведите проверку ПК на наличие вредоносного программного обеспечения. Быть может настоящим виновником, вызвавшим сбой системы, является вирус, скрывающийся внутри вашего компьютера. Просканируйте свое устройство и удалите эти программы, если вам часто приходится сталкиваться с BSOD.

Обновите драйверы. Не всегда можно во всем винить вредоносное ПО, иногда причиной синих экранов смерти могут стать драйверы, которые отвечают за стабильное функционирование вашего железа. Поврежденные файлы могут вызывать BSOD и заставлять вашу систему выполнять операцию перезапуска. Если вам часто приходится сталкиваться с этой STOP-ошибкой, не забудьте обновить драйверы.

Запуск в безопасном режиме. Попробуйте запустить операционную систему в безопасном режиме, чтобы проверить не исчезла ли проблема. В этом состоянии Windows запускает только основные службы, что позволит вам проверить виноваты драйвера в сложившейся ситуации или нет.

Воспользуйтесь восстановлением системы. Откат состояния Windows до предыдущих состояний может оказаться полезным, поскольку способен устранить причину синего экрана смерти. Если у вас Windows 8.1, вы можете найти эту утилиту пройдя по пути Панель управления > Все элементы панели управления (Маленькие/Крупные значки) > Восстановление .

Альтернативный вариант: Панель управления > Поиск и исправление программ в графе Система и безопасность > Восстановление .

Проверка оборудования. Проверьте наличие ошибок памяти с помощью встроенных инструментов на вашем компьютере. Будет полезно узнать температуру вашего устройства, в этом поможет утилита Speccy, которую можно скачать на просторах интернета. BSOD вполне могут вызывать неисправные жесткие диски. Если память и температура вашего компьютера в порядке, попробуйте обратиться к техническому специалисту для диагностики устройства.

Переустановка Windows. В случае если у вас не получается найти решение для вопроса BSOD, переустановите Windows. Это позволит избавиться от угроз синего экрана смерти, которые время от времени получает ваш девайс.

Синий экран смерти всегда был здесь и будет преследовать вас. Вы должны укрепить в себе воина, закалиться, вступить в схватку с не равной силой и одержать верх! Покажите синему экрану смерти чего вы стоите и на что способны, будьте спасителем своего ПК!

Оставим эти героические саги, просто держите в памяти несколько вещей:

1.Стабильно обновляйте свой ПК.
2.Регулярно проверяйте систему на наличие вредоносного ПО.
3.Дважды задумывайтесь перед установкой неизвестного ПО.
4.Никогда не выключайте компьютер непосредственно из источника питания, так как это может повредить файлы Windows.

Одно только появление синего экрана смерти способно вызвать панику начинающего пользователя, но то что к вашей системе смерть может прийти в разных цветах должно быть вызывает некоторое удивление. Эти экраны могут быть как признаком уже существующей проблемы, так и оказаться предупреждением перед тем как случится что-то серьезное.

Виды экранов смерти

Синий экран смерти (Blue Screen of Death, BSOD)

Выше рассмотренный синий экран смерти стал наиболее популярным среди прочих ошибок системы, поскольку он встречается пользователями гораздо чаще, чем другие.

Черный экран смерти (Black Screen of Death, BkSOD)

Черный экран смерти уже далеко не новая ошибка, которую мы можем встретить в Windows. Он существует с тех пор как люди начали играть в игры на Windows 3.x и возникал, когда происходила критическая системная ошибка. Эд Браун, сотрудник ИТ-подразделения Coca-Cola, первым в 1991 году дал этой ошибке имя Black Screen of Death.

Более новые операционные системы Windows, такие как Windows 7, 8, 10 тоже отображают черный экран смерти, когда происходит сбой в загрузке MBR в момент запуска системы. Это происходит, когда отсутствует какой-то важный DLL-файл или в случае если вы сжали свой диск и операционная система не может быстро распаковать его. При поврежденной загрузочной области диска (записи MBR), восстановить информацию с жесткого диска вам поможет инструмент Starus Partition Recovery .

Красный экран смерти (Red Screen of Death, RSOD)

Красный экран смерти отображается, когда в вашей системе Windows присутствует неполадка с установленной графической картой. Известно, что RSOD впервые появился в Windows 98 и Windows Vista. Однако это может не помешать нормальной загрузке вашей операционной системы, поскольку ошибка касается только графической части.

Также существуют другие экраны смерти, в других цветах, но уже в других ОС.

Отказ системы из-за критической ошибки (BSOD) чаще всего возникает по причине неправильной работы или повреждения драйвера, за исключением случаев неполадок в аппаратной части компьютера.

В этой статье мы рассмотрим базовые действия, которые помогут вам самостоятельно определить причину возникновения BSOD и, как следствие, устранить ее.

Проводить анализ дампов памяти мы будем при помощи отладчика WinDBG, поэтому, прежде чем начать, вам потребуется установить отладчик и настроить его.
Как это сделать вы узнаете из статьи

Интерфейс WinDBG

Когда вы откроете файл дампа памяти, то увидите такое окно:

Стоит отметить, что окно команд по умолчанию независимо от основного окна отладчика, поэтому вы можете изменить его размер, переместить или вписать в окно отладчика перетянув мышью его верхнюю границу к нижней границе панели инструментов, а также развернуть его на весь экран.

Когда вы откроете файл дампа отладчику потребуется некоторое время для подключения к интернету и загрузки необходимых символов для отладки. В процессе загрузки отладочных символов в командной строке отладчика появляется надпись Debugee not connected , в это время вы не сможете использовать отладчик.

После того как символы будут загружены и отладчик будет готов к анализу файла дампа вы увидите сообщение Followup: MachineOwner в нижней части текстового окна.

Теперь все готово для начала анализа дампа памяти. Все команды вводятся в командную строку, расположенную в нижней части окна.

Анализ дампа памяти

Первое на что нужно обратить внимание при открытии файла дампа - это код ошибки, который в значительной степени определяет основное направление возникновения ошибки и методологию анализа.

Коды ошибок всегда указываются в шестнадцатеричном значении и имеют вид 0xXXXXXXXX . Указываются же коды ошибок одним из следующих вариантов:

STOP: 0x0000009F
03.06.2015 0009F

Справочник по кодам ошибок: Windows Dev Center Bug Check Code Reference

Команда!thread и анализ драйверов

Самая распространенная причина возникновения BSOD - это сторонние драйверы (производителей устройств). Для того, чтобы увидеть фигурирует ли драйвер устройства в дампе нам понадобится просмотреть стек.
Выполните команду ! thread и найдите в результатах ее выполнения Base и Limit , и их шестнадцатеричные значения.
В рассматриваемом примере они такие:
Base fffff80000b9b000 Limit fffff80000b95000

В командной строке напечатайте dps затем через пробел шестнацатеричное значение Limit , а за ним значение Base . В данном случае важен порядок указания значений - он должен быть обратным отображаемому в результате выполнения команды!thread.

dps fffff80000b95000 fffff80000b9b000

Когда стек будет загружен вы увидите множество строк с текстом и значениями. Среди результатов выполнения команды поищите сообщения об ошибках с указанием на драйверы. В рассматриваемом примере это драйвер igdkmd64.sys и iaStorA.sys а в отладчике это выглядит так:

Поищите на компьютере указанные драйверы. Это не обязательно, но желательно сделать т.к. после удаления драйвера из диспетчера устройств или при помощи программы удаления производителя устройства драйвер может быть не удален, в таком случае его можно будет удалить вручную. Вторая причина заключается в том, что это может быть файл вредоносной программы (вирус, троян, майнер и т.д.), и в таких случаях драйвер как правило располагается в необычных для этого папках.
Для упрощения процедуры выполните в командной строке, запущенной от имени администратора следующую команду:

driverquery /v > "%USERPROFILE%\Desktop\drivers.txt"

После выполнения команды на рабочем столе будет создан файл drivers.txt, содержащий подробную информацию обо всех установленных в системе драйверах, с их описанием и путями расположения файла драйвера.

В рассматриваемом примере вероятными виновниками возникновения BSOD оказались драйверы видеокарты Intel (igdkmd64.sys) и SATA/AHCI-контроллера (iaStorA.sys).

Стоит отметить, что не всегда причиной возникновения BSOD являются драйверы, это также может быть следствием неисправности оборудования, но если код ошибки указывает на проблему с драйвером, то рекомендуется воспользоваться средством проверки драйверов Windows .

Команда!analyze -v

Команда!analyze отображает информацию о текущем исключении или код ошибки, а параметр -v формирует подробный вывод данных. В рассматриваемом случае нам понадобятся данные о заблокированных IRP пакетах в значении Arg4 , и значения FAILURE_ BUCKET_ ID и BUCKET_ ID .

Выполните команду !irp добавив значение из Arg4

!irp ffffe001eb781600

В результате выполнения команды был определен проблемный драйвер - Rt630x64.sys

В данном случае драйвер Rt630x64.sys относится к сетевому адаптеру и вызывает ошибку DRIVER_POWER_STATE_FAILURE при завершении работы системы.
Для получения подробных сведений о файле драйвера выполните команду

Как видите дата драйвера довольно старая и стоит его обновить для устранения проблемы.

Заключение

Цель этой статьи рассказать об алгоритме анализа дампа памяти для выявления причины BSOD. В рамках одной статьи невозможно рассмотреть все варианты анализа, а многие тонкости приходят только с опытом. Был рассмотрен всего один код ошибки т.к. последовательность ее анализа показалась мне наиболее интересной, в отличие от ошибки 0x124, например, которая в подавляющем большинстве случаев говорит об аппаратной неполадке, или 0x116, свидетельствующей о проблеме с драйвером видео или неполадке видеокарты в 95% случаев.

Если у вас не получилось выяснить причину BSOD или попросту нужна быстрая и квалифицированная помощь в анализе проблемы, вы всегда можете обратиться в форум

Чтобы получить сведения об ошибки введите её код в текстовое поле чуть ниже в следующем формате: 7е или 0x0000007e

Перейти к описанию

UNEXPECTED_KERNEL_MODE_TRAP

Эта ошибка означает, что произошло непредвиденное исключение в режиме ядра, или прерывания, при котором ядро не срабатывает.

Также причиной ошибки может стать прерывание, которое повлекло за собой немедленную смерть в виде двойной ошибки – double fault. Первое число в коде ошибки – число прерывания (8 = double fault). Чтобы узнать больше, что это за прерывание, обратитесь к мануалу семейства Intel x86.

Короче говоря, ошибка появляется, когда процессор допускает ошибку, с которой ядро не может справиться. Чаще всего ошибка возникает из-за плохих блоков ОЗУ, а иногда из-за разгона процессора.

Попробуйте отменить в BIOS функцию синхронной передачи данных.

Поиск и устранение неисправностей: Если в компьютер устанавливались новые аппаратные средства, необходимо их отсоединить. Если к сбою привели существующие аппаратные средства, то необходимо удалить или при необходимости заменить сбойные комплектующие компьютера.

Просканируйте оперативную память на наличие ошибок.

Убедитесь, что все комплектующие компьютера установлены должным образом. Прочистите контакты адаптеров.

Обновите BIOS.

Все жесткие диски, контроллеры жестких дисков и адаптеры SCSI должны быть совместимы с установленной версией Windows.

Если драйвер идентифицирован в сообщении ошибки, отключите или обновите данный драйвер. Отключите или удалите любые драйвера или службы, которые были недавно добавлены. Если ошибка происходит во время загрузки Windows, и системный раздел отформатирован с файловой системой NTFS, используйте Безопасный режим, чтобы переустановить или удалить дефектный драйвер. Если драйвер используется в качестве системного процесса запуска в Безопасном режиме, запустите компьютер с помощью Консоли восстановления, чтобы получить доступ к файлу.

Перезапустите компьютер и нажмите F8 в меню текстового режима, для вывода на экран вариантов загрузки операционной системы. В данном меню выберите “Загрузить последнюю удачную конфигурацию”. Эта опция является самой эффективной, при добавлении в систему только одного драйвера или службы за один раз.

Разгон центрального процессора может вызвать ошибку. Верните значение тактовой частоты ЦП по умолчанию.

Убедитесь, что система входит в систему Event Viewer. Находящиеся там сведения об ошибках помогут идентифицировать устройство или драйвер, который вызывает экран смерти 0x0000007F.

Отключите кэширование памяти BIOS.

Если ошибка UNEXPECTED_KERNEL_MODE_TRAP появилась при обновлении до новой версии операционной системы Windows, то она может быть вызвана драйвером устройства, системной службой, антивирусной программой или программой резервного копирования, которые несовместимы с новой версией. Удалите все сторонние драйвера устройств и системные службы, отключите антивирусные программы.

Установите последний пакет обновления Windows.

Если предыдущие шаги не помогли решить проблему, отнесите материнскую плату в ремонтную мастерскую для диагностики. Трещины, царапины или дефектные компоненты на системной плате могут вызвать эту ошибку.

SPIN_LOCK_INIT_FAILURE

Эта ошибка проверки появляется очень редко.

DFS_FILE_SYSTEM

Ошибки распределенной файловой системы (Distributed file system).

Обновите ОС.

SETUP_FAILURE

Произошла фатальная ошибка во время установки.

Текстовая форма setup`a больше не использует проверку багов (bugcheck), чтобы выйти из серьёзных ошибок. Поэтому вы никогда не столкнётесь с 0x85. Все проверки багов были заменены на более дружелюбные и (где возможно) более информативные сообщения об ошибках. Тем не менее, некоторые составители ошибок просто были заменены нашими bugcheck экранами, и код для этих состояний ошибок такой же, как и был. Они приведены ниже.)

0: OEM HAL шрифт – недействительный формат файла *.fon, поэтому установка не смогла отобразить текст. Это означает, что vgaxxx.fon на CD или флоппи повреждён.

1: Не смогло инициализироваться видео. Эта ошибка имеет собственный экран и пользователю предоставляется только 2 варианта.

Это означает, что файл vga.sys (или другой драйвер, в зависимости от машины) повреждён, или то, что данное оборудование не поддерживается.

Причина ошибки:

0: NtCreateFile of devicevideo0

3: Желаемый режим видео не поддерживается. Это означает внутреннюю ошибку установки.

2: Нехватка памяти. Теперь эта ошибка использует более дружественный экран, в зависимости от того, как далеко зашла установка.

3: Клавиатура не была инициализирована. Теперь используются 2 разных экрана в зависимости от ошибок, которые тут могли появиться. Это может означать, что диск, содержащий драйвера для клавиатуры (i8042prt.sys или kbdclass.sys) повреждён или машина имеет клавиатуру, которая не поддерживается.

Так же это может означать, что dll раскладки клавиатуры не может быть загружен.

Причина ошибки:

0: NtCreateFile of deviceKeyboardClass0 .

Установка не обнаружила клавиатуру, подключённую к вашему компьютеру.

1: Unable to load keyboard layout dll.

Установка не может загрузить dll раскладки клавиатуры.

Это значит, что на флоппи или CD нет файла (kbdus.dll для us или других dll).

4: Установка не смогла выяснить путь устройства, с которого началась установка. Это внутренняя ошибка установки.

5: Не прошла проверка на работоспособность партиций. Это означает баг в драйвере диска. Параметры имеют значения только для группы установки.

MBR_CHECKSUM_MISMATCH

Данная ошибка происходит во время загрузки операционной системы, когда контрольная сумма MBR, которую вычисляет операционная система Microsoft Windows, не соответствует контрольной сумме загрузчика системы.

Данный BSoD указывает на наличие вирусов.

Необходимо просканировать операционную систему на наличие вирусов актуальными антивирусными программами.

PAGE_FAULT_IN_NON_PAGED_AREA

Данный BSoD является общей ошибкой. Чтобы интерпретировать её, необходимо идентифицировать, какое исключение было сгенерировано.

Существуют следующие коды исключений:

0x80000002: STATUS_DATATYPE_MISALIGNMENT указывает на не выровненную ссылку данных;

0x80000003: STATUS_BREAKPOINT. Указывает на ситуацию, когда система сталкивается с контрольной точкой или ASSERT без присоединенного отладчика ядра;

0xC0000005: STATUS_ACCESS_VIOLATION указывает на нарушение доступа к памяти.

Для решение ошибки необходимо:

Удостоверьтесь, что системный раздел диска имеет достаточно свободного места;

Если в сообщении ошибки идентифицирован драйвер, отключите или обновите его;

Заменить видеокарту;

Обновите BIOS;

Отключите опции кэширования и затенения памяти BIOS.

2 параметр (адрес исключения) должен идентифицировать драйвер или функцию, которая вызвала ошибку.

Если причины исключения не определенны, рассмотрите следующие проблемы:

Аппаратная несовместимость. Удостоверьтесь, что новые установленные аппаратные средства совместимы с установленной версией Windows;

Дефектный драйвер устройства или системная служба могут быть причинами ошибки. Аппаратные проблемы, такие как несовместимости BIOS, конфликты памяти и конфликты IRQ также могут генерировать синий экран.

Если в ошибке указано название драйвера его необходимо удалить или отключить. Также удалите или отключите все недавно добавленные драйвера и службы. Если ошибка происходит во время запуска системы, а системный раздел отформатирован файловой системой NTFS, необходимо использовать Безопасный режим, чтобы удалить дефектный драйвер. Если драйвер используется в качестве части системного процесса запуска Безопасного режима, то для доступа к файлу потребуется запустить компьютер при помощи Консоли восстановления.

Если BSoD указывает на системный драйвер Win32k.sys, источником ошибки может быть сторонняя программа дистанционного управления. При наличии такого программного обеспечения его необходимо удалить.

Убедитесь, что система входит в систему Event Viewer. Находящиеся там сведения об ошибках помогут идентифицировать устройство или драйвер, который вызывает Stop 0x0000008E.

Отключить кэширование памяти BIOS. Обновите прошивку BIOS.

Необходимо также выполнить аппаратную диагностику. Просканируйте оперативную память на наличие ошибок.

Синий экран KERNEL_MODE_EXCEPTION_NOT_HANDLED может произойти после первого перезапуска во время установки Windows, или после окончания установки. Возможная причина – нехватка дискового пространства для установки. Удалите все временные файлы, файлы кэша интернета, файлы резервных копий приложений и.chk файлы. Можете использовать другой жесткий диск с большим объемом.

PP1_INITIALIZATION_FAILED

Ошибка происходит во время инициализации первичной фазы менеджера Plug and Play в режиме ядра. К этому моменту инициализированы системные файлы, драйвера и реестр.

Проверьте оборудование и системный диск.

WIN32K_INIT_OR_RIT_FAILURE

UP_DRIVER_ON_MP_SYSTEM

Эта ошибка возникает только тогда, когда однопроцессорный драйвер загружается в системе, где присутствует более чем один активный процессор.

INVALID_KERNEL_HANDLE

Эта ошибка появляется, когда некоторый код ядра (например, сервер, редиректор, или другой драйвер) попытался закрыть недопустимый дескриптор или защищенный дескриптор.

Параметры:

1 – Вызванный дескриптор NtClose

2 – 0 означает, что был закрыт защищенный дескриптор

1 означает, что был закрыт неправильный дескриптор

Также ошибку может вызвать служба клиента Novell NetWare версии 3.5b.

PNP_INTERNAL_ERROR

INVALID_WORK_QUEUE_ITEM

Эта проверка ошибки указывает, что запись очереди была удалена, который содержал нулевой указатель.

Это сообщение появляется, когда KeRemoveQueue удаляет очередь данных, в то время, как flink или blink поле равно 0. Это практически всегда происходит из за неправильного применения кода работающего элемента текущего объекта, но неправильное применение любой очереди также может привести к этой ошибки. Правило – ввод данных в очередь может быть произведено только однажды. Когда элемент удаляется из очереди, его flink поле равно 0. Эта ошибка возникает, когда происходит попытка удалить данные, flink или blink поля которых равны 0. Для того, чтобы разрешить эту ошибку, вам необходимо выяснить очередь, на которую он ссылается. Если эта очередь одна из ЕХ работающих очередей (ExWorkerQueue), тогда объект, который удаляется – WORK_QUEUE_ITEM. Эта ошибка подразумевает, что это и есть причина. Параметры ошибки помогают выявить драйвер, который неправильно использует очередь.

BOUND_IMAGE_UNSUPPORTED

MmLoadSystemImage была вызвана, чтобы загрузить bound image. Это не поддерживается ядром. Убедитесь, что bind.exe не был запушен для картинки.

Параметры:

1 – Адрес данных в очереди, flink/blink поле которых ноль.

2 – Адрес на ссылающуюся очередь. Обычно это одна из ExWorkerQueues очередей.

3 – Начальный адресс ExWorkerQueue массива. Это поможет выявить, если очередь в вопросе одна из ExWorkerQueue очередей и если так, то офсет из этого параметра выявит очередь.

4 – Если это ExWorkerQueue очередь (как это бывает обычно), это адрес работающей рутины, которая бы вызывалась, если работающий элемент был бы действительным. Это может быть использовано, чтобы выявить драйвер, который неправильно использует рабочую очередь.

Проблема вызвана некорректным драйвером оборудования.

END_OF_NT_EVALUATION_PERIOD

Эта ошибка проверка показывает, что испытательный срок для операционной системы Microsoft Windows закончилась.

INVALID_REGION_OR_SEGMENT

ExInitializeRegion или ExInterlockedExtendRegion были вызваны с неправильным набором параметров.

SYSTEM_LICENSE_VIOLATION

Операционная система Microsoft Windows обнаруживала нарушение лицензионного соглашения.

BSoD происходит при попытке пользователя изменить тип продукта оффлайновой системы или при изменении испытательный срока модуля оценки Windows.

UDFS_FILE_SYSTEM

Одна из возможных причин появления синего экрана – повреждение жесткого диска. Повреждение файловой системы или сбойные блоки (сектора) на диске могут вызвать эту ошибку. Поврежденные драйвера SCSI и IDE могут также оказать негативное влияние на возможность системы считывать и записывать на жесткий диск, таким образом, вызывая данную ошибку.

Другая возможная причина – истощение пула не подкачиваемой памяти. Во время процесса индексации, если количество доступного пула не подкачиваемой памяти очень мало, другой драйвер требующий пул не подкачиваемой памяти, может инициировать ошибку.

Решить проблему дискового повреждения: Проверьте Event Viewer (просмотр событий) на сообщения об ошибках SCSI и FASTFAT (журнал системы) или Autochk (Журнал приложения), которые могут точно определить устройство или драйвер, который вызывает ошибку. Попытайтесь отключить любые антивирусные программы, сделайте копию программ, или инструментов дефрагментатора диска, которые непрерывно контролируют систему. Вы должны также выполнить аппаратную диагностику системы.

Выполните команду Chkdsk/f/r, чтобы обнаружить и исправить любое структурное повреждение файловой системы. Вы должны перезапустить систему прежде, чем дисковое сканирование начнется на системном разделе.

Необходимо решить проблему истощения пула не подкачиваемой памяти: добавьте новую физическую память к компьютеру. Это увеличит количество пула не подкачиваемой памяти, доступной ядру.

MACHINE_CHECK_EXCEPTION

Фатальная ошибка Machine Check Exception.

Это происходит из-за того, что процессор вашего компьютера обнаруживает ошибку и сообщает об этом Windows XP. Чтобы сделать это он использует Machine Check Exception (MCE) для процессоров Pentium или Machine Check Architecture (MCA) для некоторых процессоров Pentium Pro. Ошибка может вызываться следующим:

Ошибки системной шины

Проблемы с чётностью в памяти или Error Correction Code (ECC)

Проблемы кеширования в процессоре или в оборудовании

Translation Lookaside Buffers (TLB) проблемы в процессоре

Другие проблемы с процессором

Другие проблемы с оборудованием

Ошибка может возникнуть если:

1. Вы разогнали (overclocking) процессор или шину. В этом случае, установите параметры работы рекомендуемые производителем.

2. Не стабильный блок питания. Удостоверьтесь, что ваш БП работает корректно.

3. Перегрев. Перегрев каких либо компонентов может привести к этой ошибке. Убедитесь, что все вентеляторы работают исправно.

4. Повреждённая память или память не подходящая для вашего компьютера. Убедитесь, что память работает исправно и модель совместима с вашей конфигурацией.

Добавление:

Такая ошибка так же может возникнуть если:

1. Вы изменили параметры в BIOS, влияющие на конфигурацию ядра системы

2. Вы установили ХР с образа чужой системы

3. У вас не правильно подключено какое-то оборудование

Происходит это из-за того что проверка машины не соответствует уже установленной конфигурации ядра.

В Windows Vista и более поздних операционных системах синий экран 0x0000009C происходит только при следующих обстоятельствах:

WHEA не полностью инициализирован;

Все процессоры, которые сближаются, не имеют ошибок в регистрах.

При других обстоятельств эта ошибки была заменена BSoD 0x00000124: WHEA_UNCORRECTABLE_ERROR.

USER_MODE_HEALTH_MONITOR

Эта проблема возникает из-за состязания между потокам, который освобождает стека ядра и другим потоком, который выделение памяти.. Эта проблема возникает, если попытки выделения памяти происходит, прежде чем рабочий поток очищает стек памяти ядра.

Аппаратные механизмы обнаружили сервисы режима ядра, которые не выполняются. Однако, проблемы исчерпания ресурсов (включая утечки памяти, конкуренцию за блокировку) могут блокировать критические компоненты пользовательского режима, не блокируя отложенные вызовы процедуры (DPCs) или истощая пул не подкачиваемой памяти.

В операционных системах Microsoft Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition, and Windows 2000 with Service Pack 4 (SP4) BSoD может быть вызван пользовательским режимом. Синий экран 0x0000009E происходит, только если пользователь установил HangRecoveryAction в значение 3.

Так же ошибка может появляться при добавлении дополнительных дисковых накопителей для отказоустойчивых кластеров в Windows Server 2008 R2

DRIVER_POWER_STATE_FAILURE

Драйвер находиться в несовместимом или неустоичивом состоянии электропитания.В большинстве случаев происходит из-за сбоев в питании, во время выключения компьютера или выхода из ждущего режима (standby) или сна (hibernate).

Windows ХР и выше

Причиной этого стопа является драйвер устройства, который не выдержал вызова на переход в другое состояние электропитания.

Вы должны обновить или удалить неработоспособный драйвер устройства или драйвер-фильтр файловой системы (file system filter driver), который, возможно, был установлен антивирусником, программой удалённого доступа или ПО CDW/CDRW.

Для обнаружения драйвера примените следующие:

1. Используйте %SystemRoot%System32Sigverif.exe чтобы проверить на драйвера, которые не проходили тесты Microsoft (unsigned drivers).

2. Проверьте обновления драйверов у поставщика вашей системы.

3. Обновите ПО, которое может иметь драйвера-фильтр файловой системы (file system filter drivers).

4. Удалите компоненты оборудования, а так же ПО, которые не обязательны.

5. Установите ещё один Windows на другую партицию. И устанавливаете ПО, тут же проверяя, пока не выявите уязвимую программу.

INTERNAL_POWER_ERROR

Указывает на фатальную ошибку менеджера управления питанием.

ППри попытке перевести компьютер под управлением Windows Vista или Windows Server 2008 в спящий режим появляется сообщение о неустранимой ошибке.

Эта проблема возникает из-за ошибки в файл Atapi.sys. Прежде чем Windows Vista переходит в спящий режим, Windows Vista обладает записи памяти файл спящего режима на диске. Однако в некоторых случаях на диск может не возвращать правильное значение при попытке инициализации соответствующего стека хранилища системы. Когда диск хранения возвращает неправильное значение, Windows Vista перестает отвечать на запросы.

Обновите вашу ОС

PCI_BUS_DRIVER_INTERNAL

0x000000A1 появляется при обнаружении несогласованности в своей внутренней структуре драйвером шины PCI и не возможности продолжить работу.

MEMORY_IMAGE_CURRUPT

0x000000A2 указывает на повреждение образа исполняемого файла в памяти.

Перестала работать контрольная сумма памяти (CRC).

Проверьте память на ошибки.

ACPI_DRIVER_INTERNAL

0x000000A3 указывает, что драйвер ACPI обнаружил внутреннюю несогласованность.

Несогласованность в драйвере ACPI настолько серьезна, что продолжение работы вызвало бы серьезные проблемы.

Возможный источник этой проблемы – ошибка BIOS.

CNSS_FILE_SYSTEM_FILTER

0x000000A4 указывает на ошибку в фильтре файловой системы CNSS.

BSoD CNSS_FILE_SYSTEM_FILTER может произойти из-за переполнения пула не подкачиваемой памяти. Если пул не подкачиваемой памяти абсолютно полон, эта ошибка может остановить работу систему. Если во время процесса индексации, количество доступного пула не подкачиваемой памяти очень мало, другой драйвер, которому требуется пул не подкачиваемой памяти также, может инициировать эту ошибку.

Решить проблему истощения пула не подкачиваемой памяти: добавьте новую физическую память к компьютеру. Это увеличит количество пула не подкачиваемой памяти, доступной ядру.

ACPI_BIOS_ERROR

Причиной данного сообщения являются постоянные сбои в ACPI BIOS. На уровне операционной системы данную проблему решить нельзя. Необходим детальный анализ.

Это может происходить, если обнаружено, что BIOS компьютера не полностью совместим с конфигурацией и питанием (ACPI).

Чтобы устранить данную проблему, обратитесь к производителю компьютера, чтобы получить обновление BIOS, которая является полностью ACPI-совместимых.

Для временного решения этой проблемы необходимо вручную установите стандартный компьютер слой абстрагирования оборудования (HAL):

Перезагрузите компьютер и повторно запустите программу установки.

После повторного запуска программы установки нажмите клавишу F7 (не F6) при появлении на экране «Нажмите F6, если вам необходимо установить особый драйвер SCSI или RAID».

Windows автоматически отключает установки ACPI HAL и устанавливает стандартный HAL ПК.

BAD_EXHANDLE

Эта ошибка означает, что проверка в режиме ядра, таблицы дескрипторов обнаружен несовместимую запись в таблице состояния.

SESSION_HAS_VALID_POOL_ON_EXIT

Эта ошибка означает, что проверка сессии выгрузки произошла в то время как сессия драйвера все еще держалась в памяти.

Ошибка происходит, потому что драйвер сеанса не освобождает свои выделения пула прежде, чем сеанс разгрузится. Эта проверка ошибки указывает ошибку в Win32k.sys, Atmfd.dll, Rdpdd.dll, или видеодрайвер.

Статьи по теме