[Avatar-Lion]

На клиентском ноутбуке пришлось переустановить Windows, т.к. третий день уже пошёл, а это не есть хорошо. Но зато осталась дохлая Винда на виртуальной машине... В общем, я включил в реестре возможность для ручного вызова BSOD, загрузился и после появления курсора на черном экране подождал примерно полминуты. Виртуальная машина стоит на SSD, поэтому этого времени ей точно должно было хватить для того, чтобы в память загрузилось всё, что только могло загрузиться. Затем нажал Ctrl + 2 x Scroll Lock. Получил BSOD со стоп-кодом E2, который таки записал мне memory.dmp: http://178.173.19.2:1987/Additional/MEMORY-BSOD-E2.rar

P.S. Сам я уже ни на что особо не надеюсь, т.к. у меня попросту не осталось больше идей как еще можно вытащить информацию о неполадках из системы с черным экраном смерти. Если и этот дамп ничего толкового не покажет, придётся-таки смириться с тем фактом, что есть нерешаемые проблемы...

[ruslan...]

Avatar-Lion,

Дамп указывает на \SystemRoot\system32\drivers\i8042prt.sys
Если не ошибаюсь порт PS/2, клавиатура или мышь.

Код:

83969b80 8f3ac160 000000e2 00000000 00000000 nt!KeBugCheckEx+0x1e
83969bb0 8f3ac768 00cffd30 969bf0c6 00000000 i8042prt!I8xProcessCrashDump+0x251
83969bfc 8387ae4d 86b39500 86cffc78 83969c28 i8042prt!I8042KeyboardInterruptService+0x2ce
83969bfc 9009a5d6 86b39500 86cffc78 83969c28 nt!KiInterruptDispatch+0x6d
83969c98 838c0916 86f1b4d8 83976380 8396cc00 intelppm!C1Halt+0x4
83969d20 838b83cd 00000000 0000000e 00000000 nt!PoIdle+0x524
83969d24 00000000 0000000e 00000000 00000000 nt!KiIdleLoop+0xd

Но с помощью i8042prt, вы наверное вызвали ошибку.
Если учесть это, то в глаза мне бросается только это:

Код:

0xffffffff`83969c2c  0xffffffff`9009a5d6 intelppm!C1Halt+0x4
0xffffffff`83969c40  0xffffffff`8387b788 nt!__InterlockedDecrement+0x0
0xffffffff`83969c58  0xffffffff`9001d9ce USBPORT!USBPORT_Xdpc_Worker+0x173
0xffffffff`83969c70  0xffffffff`8396e600 nt!KiInitialPCR+0x1a00

Копните в сторону USB драйверов \SystemRoot\system32\DRIVERS\USBPORT.SYS

[Avatar-Lion]

ruslan...,
Удалил USBPORT.SYS - ничего не изменилось. Кстати, у меня такой вопрос: раз нельзя отследить активность lsass.exe на дохлой системе, то как тогда узнать какие библиотеки загружает lsass.exe? Я пробовал на своей рабочей ОС через Process Explorer смотреть, но он показал, что с lsass.exe в памяти связаны лишь lsasrv.dll и ntdll.dll. Наверняка же lsass.exe куда больше должен компонентов грузить в память при старте. Как этот список загружаемых файлов тогда узнать можно? Помню, во времена Windows XP я пользовался утилиткой BootVis (или как-то так) для отслеживания времени загрузки ОС, но она не умела вроде смотреть кто и что грузит. Чем можно такой список на здоровой Windows 7 составить?

[ruslan...]

Avatar-Lion,

По моему мы зайдем далеко и не туда

У меня такое предложение.
Косвенно понятно, что дело в системных драйверах.
Попробуйте по - экспериментировать. Возможно и поможет. Терять-то уже по моему нечего.
Только запоминайте где проводили изменения на случай возврата.

Как поменять материнскую плату - без переустановки Windows 7

[Avatar-Lion]

ruslan..., Почему не туда? Мне кажется, это логично: узнать какие файлы подгружает lsass.exe на типичном компьютере и скопировать их в дохлую ОС. Неужели и на здоровой системе это невозможно???

По поводу вашей ссылки: это тут не причем. Дохлая ОС на виртуальной машине грузится до курсора, а значит, драйвер на виртуальный SATA-контроллер работает нормально, иначе бы я получил стандартный стоп 7В. Или вы предлагаете вынести вообще все драйвера из system32\DRIVERS?

[ruslan...]

Цитата Avatar-Lion:

узнать какие файлы подгружает lsass.exe на типичном компьютере и скопировать их в дохлую ОС. »

Но Вы же написали, что проверка целостности прошла успешно ? Дело ведь может быть в реестре, не в файлах.

Цитата Avatar-Lion:

Или вы предлагаете вынести вообще все драйвера из system32\DRIVERS? »

Да ... не знаю, что предлагаю, но что-то в этом духе, тем более, что упоминается intelppm. Не понятно от Вашей системы или от убитой.

[NickM]

Не берусь утверждать и не знаю точно, может стоит в поисковиках поискать... чисто теоритически... возможно ли "ручками" прописать в реестре ранний запуск Procmon'а с его умением логгировать этап загрузки ОС. Тут конечно следует уточнить пишет ли Свой RAW он в памяти или же на диск и возможно ли его смаппить/считать в не оконченном виде. При удачном расскладе в Ваших руках окажутся и логи доступа к реестру/ФС.

[Avatar-Lion]

ruslan..., Да, проверка целостности прошла успешно. Вернее, сначала он жаловался на некоторые файлы, их я ручками перенес с другого компа и повторная проверка уже показала, что все ОК. С реестром еще проще: скопировал все кусты из RegBack. По поводу драйверов: хорошо, вечером попробую грохнуть все файлы в той папке.

NickM, Я про это сразу подумал. К сожалению, все известные мне методы запуска приложений происходят ПОСЛЕ входа в систему. А тут проблема вся в том, что именно ДО входа надо записать. Тем более что я Process Monitor не до такой степени знаю, чтобы всё автоматизировать. Я попробовал сейчас на здоровой системе включить отслеживание загрузки. Это надо его запустить, поставить галочку, затем комп перезапустить. После загрузки нужно его снова запустить, ответить на пару вопросов - и только тогда он сделает лог. Я понятия не имею какие ключи могут отвечать за автоматизацию таких действий. Если они вообще существуют...

Вообще, конечно, интересно как Майкрософт сама тестирует свои системы. Вряд ли же они с первого раза пишут идеальный код. Следовательно, каким-то образом возможно делать лог загрузки ОС, в том числе не загружающейся. Но они таких инструментов в свободный доступ почему-то не выкладывают.

Попробовал, кстати, заменить на дохлой Винде файлы lsasrv.dll, lsasrv.dll и ntdll.dll - Винда сдохла окончательно, свалившись при старте в специфический синий экран: STOP-код c0000145.

---
Запустил отслеживание загрузки на здоровой Винде. До того, как будет запущен userinit.exe, lsass.exe читает следующие библиотеки (Windows 7 "Ultimate" 32-bit, может, пригодится кому-нибудь):
C:\Windows\System32\sspisrv.dll
C:\Windows\System32\lsasrv.dll
C:\Windows\System32\samsrv.dll
C:\Windows\System32\cryptdll.dll
C:\Windows\System32\msasn1.dll
C:\Windows\System32\wevtapi.dll
C:\Windows\System32\rpcrt4.dll
C:\Windows\System32\cngaudit.dll
C:\Windows\System32\authz.dll
C:\Windows\System32\ncrypt.dll
C:\Windows\System32\bcrypt.dll
C:\Windows\System32\advapi32.dll
C:\Windows\System32\msprivs.dll
C:\Windows\System32\netjoin.dll
C:\Windows\System32\negoexts.dll
C:\Windows\System32\kerberos.dll
C:\Windows\System32\cryptsp.dll
C:\Windows\System32\ws2_32.dll
C:\Windows\System32\nsi.dll
C:\Windows\System32\mswsock.dll
C:\Windows\System32\wship6.dll
C:\Windows\System32\msv1_0.dll
C:\Windows\System32\netlogon.dll
C:\Windows\System32\dnsapi.dll
C:\Windows\System32\logoncli.dll
C:\Windows\System32\schannel.dll
C:\Windows\System32\crypt32.dll
C:\Windows\System32\wdigest.dll
C:\Windows\System32\rsaenh.dll
C:\Windows\System32\TSpkg.dll
C:\Windows\System32\pku2u.dll
C:\Windows\System32\bcryptprimitives.dll
C:\Windows\System32\efslsaext.dll
C:\Windows\System32\credssp.dll
C:\Windows\System32\scecli.dll

Список представлен не в алфавитном порядке, а именно в том виде, в каком он был указан в логе Process Monitor. Узнать бы еще что из этих файлов SFC считает нужными, дабы сразу исключить их из списка подозреваемых... Хотя согласно этой утилите они все защищены.

[NickM]

а случаем там сторонний крипторовайдер в системе не установлен?

[Avatar-Lion]

NickM, Без понятия. Но ноутбук домашний, пользуется им пенсионерка, так что вряд ли.