Blue Screen Of Death (BSOD) — синий экран смерти

Blue Screen Of Death (BSOD) — синий экран смерти.

Blue Screen Of Death

— Краткое описание и символьное обозначение
CRITICAL_OBJECT_TERMINATION
— код ошибки и дополнительные данные для детализации
*** STOP: 0x00000050 (0xe80f26cd, 0x00000000, 0xe80f26cd, 0x00000002)
— имя программного модуля ядра или драйвера и другие параметры, если это возможно определить
*** ntoskrnl.exe — Address 0x8044a2c9 base at 0x80400000 DateStamp 0x3ee6c002

В настройках Windows можно задать поведение системы при возникновении критической ошибки — необходимость выполнения дампа памяти, его формат, а также автоматическую перезагрузку после обработки сбоя. В некоторых локализованных версиях Windows сообщение об ошибке выводится на языке локализации без загрузки шрифтов для поддержки символов, например, русского языка, что приводит к невозможности прочесть большую часть текста. Однако, это не играет особой роли, поскольку общие рекомендации по устранению ошибки, как правило, не имеют никакого практического значения, а реально полезная информация выдается с использованием символов латиницы.

Синий экран смерти Windows всегда связан с ошибками ядра операционной системы или ошибками драйверов, выполняющихся в режиме ядра, следовательно, может возникнуть как в процессе загрузки операционной системы, на этапе инициализации ядра и драйверов устройств, так и в процессе ее дальнейшего функционирования.
BSOD при загрузке Windows зачастую связан с отсутствием или повреждением драйверов или системных служб, загружающихся до входа пользователя в систему. Набор используемых системой драйверов и служб определяется разделом реестра

Каждому драйверу соответствует свой ключ, в составе которого имеется параметр Start , определяющий, на каком этапе загрузки системы производится загрузка и инициализация данного драйвера или службы. Значения Start:

0 — BOOT — драйвер загружается загрузчиком.
1 — SYSTEM — драйвер загружается в процессе инициализации ядра.
2 — AUTO — служба запускается автоматически при загрузке системы.
3 — MANUAL — служба запускается вручную.
4 — DISABLE — отключено.

Сами файлы драйверов хранятся в каталоге
%SystemRoot%system32drivers .

Сначала загружаются и инициализируются низкоуровневые драйверы устройств, параметр Start у которых равен 0. На данном этапе, для чтения данных с устройства загрузки используются функции прерывания INT 13H BIOS, что естественно, поскольку никаких других драйверов, в том числе и драйверов для работы с дисками, в оперативной памяти компьютера еще нет.

Затем загружаются и инициализируются остальные драйверы устройств, параметр Start у которых равен 1. Для их загрузки и инициализации уже используются ранее загруженные драйверы с параметром Start=0

Обработка ошибок в процессе инициализации драйверов устройств выполняется с использованием значения элемента ErrorControl ключа реестра, относящегося к драйверу, и в случае, когда дальнейшая работа не может быть продолжена, заканчивается «синим экраном» с соответствующим кодом ошибки.

После успешно отработанного данного этапа начальной загрузки запускается «Диспетчер сеансов» (SystemRootSystem32 smss.exe) , главная задача которого — запустить высокоуровневые подсистемы и сервисы (службы) операционной системы. На этом этапе запускаются процессы CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), и оставшиеся службы с параметром Start=2 из раздела HKLMSYSTEMCurrentControlSet Services
Информация, предназначенная для диспетчера сеансов, находится в ключе реестра

HKLMSYSTEM CurrentControlSet ControlSession Manager .

После регистрации пользователя в системе, BSOD, как правило, вызывается такой ошибкой, действия по восстановлению которой, нельзя однозначно считать успешными, и продолжение работы операционной системы невозможно.

Для устранения причины возникновения ошибки нужно проанализировать данные системных журналов и дополнительные источники информации.

Панель управления - Система - Дополнительно - Загрузка и восстановление

Обычно установлен режим «Малый дамп памяти (64КБ)». Как правило, для определения драйвера, вызвавшего BSOD, этого вполне достаточно. При возникновении каждой последующей ошибки и создании нового файла малого дампа памяти Windows сохраняет предыдущий файл. Каждому записываемому файлу дампа присваивается отдельное имя с указанием даты. Например, Mini123109-01.dmp — это первый файл дампа памяти, созданный 31 декабря 2009 г. Файлы малого дампа памяти по умолчанию хранятся в папке %SystemRoot%Minidump.
Для анализа дампа можно использовать стандартные средства Windows dumpchk.exe (Crash Dump Analisys utility), отладчик Windbg или kd.exe
Здесь статья из базы знаний Microsoft c примерами.
Гораздо удобнее для анализа малого дампа воспользоваться бесплатной утилитой BlueScreenView от Nir Sofer.

Окно программы состоит из 2-х частей. В верхней части — список и свойства файлов минидампов, в нижней — данные, имеющие отношение к выбранному минидампу:

Формат отображения данных в нижнем окне можно задавать с помощью меню «Options- Lower Pane Mode»:

— All drivers — отображать все загруженные драйверы. На красном фоне отображена информация о драйверах, возможно являющихся причиной BSOD.

— Only Drivers Found in Stack — отображать только драйверы, присутствующие в стеке вызовов и, возможно являющиеся причиной BSOD.
— Blue Screen in XP style — отображать BSOD в стиле Windows XP
DumpChk Output — отображать информации в том виде, в каком это делает Microsoft DumpChk utility. Утилита должна быть установлена в системе.

BlueScreenView автоматически определяет местонахождение файлов минидампов и выводит информацию обо всех критических ошибках, дампы которых обнаружены. Возможен также анализ аварийных дампов, созданных в другой системе, с использованием меню Options — Advanced Options CTRL+O

BlueScreenView Advanced Options

В поле Load From the following Minidump folder можно указать путь к папке с файлами минидампов.

Одной из приятных особенностей программы BlueScreenView является возможность централизованного удаленного анализа минидампов на компьютерах локальной сети с рабочего места системного администратора. Программа может использоваться в режиме получения данных от компьютеров, имена или IP-адреса которых содержатся в простом текстовом файле. Для получения списка компьютеров локальной сети можно воспользоваться командой net view с перенаправлением вывода результатов в текстовый файл:

net view > C:comps.txt — отобразить список компьютеров локальной сети, включенных в данный момент и результаты записать в файл C:comps.txt

В файле comps.txt будет информация в виде :

Имя сервера Заметки ————
\Acomp
\Bcomp1
\Bcomp2
\COMP000
\PROXY
\SERVER
. . .
\ZCOMP7
Команда выполнена успешно.
Остается только убрать строки, не содержащие имена компьютеров и служебные символы \ перед именами:

Acomp
Bcomp1
Bcomp2
COMP000
PROXY
SERVER
. . .
ZCOMP7
Имена или IP-адреса компьютеров, которые не попали в список можно добавить вручную. Теперь, в меню Options — Advanced Opnions , в поле Load from multiple remote computers specified in the following text file: можно указать путь к текстовому файлу со списком компьютеров.

В качестве дополнительной опции, можно добавить Dumpchk Command для того, чтобы получить возможность просмотра результатов в виде вывода Microsoft DumpChk utility при наличии установленного отладочного пакета Майкрософт (Debugging Tools for Windows).

Информация колонок верхней части (Upper Pane):

— Dump File: — имя файла минидампа.
— Crash Time: — время записи минидампа
— Bug Check String: — строка с описанием стоп-ошибки.
— Parameter 1/2/3/4: 4 параметра, выводимые в сообщении синего экрана.
— Caused By Driver: — подозреваемый драйвер. BlueScreenView пытается определить драйвер, вызвавший синий экран смерти путем просмотра стека системных вызовов. Однако нельзя с полной уверенностью сказать, что именно данный драйвер является причиной стоп-ошибки. Необходимо учитывать также и те данные о драйверах стека, которые отображаются в нижней части экрана .
— Caused By Address: подобно колонке ‘Caused By Driver’ содержит предполагаемый адрес команды, вызвавший ошибку.
— File Description: описание драйвера, предположительно, вызвавшего крах системы.
— Product Name: — имя драйвера или программного модуля.
— Company: — название компании — разработчика.
— File Version: — версия файла.
— Crash Address: адрес памяти, связанный с источником ошибки. (Адрес из регистра EIP/RIP процессора). Обычно, здесь то же самое значение, сто и в колонке ‘Caused By Address’
— Stack Address 1 — 3: — данные последних трех вызовов, обнаруженные в стеке. В некоторых случаях значения могут отсутствовать. Для 64-битных версий Windows эта колонка всегда не содержит данных, поскольку для них не поддерживается список системных вызовов в дампе аварийного завершения.

Информация о драйвере в колонках нижней панели (Lower Pane)

— Filename: имя драйвера или программного модуля.
— Address In Stack: — адрес памяти, найденный в стеке и относящийся к данному модулю.
— From Address: начальный адрес данного модуля.
— To Address: конечный адрес данного модуля.
— Size: — размер модуля в памяти.
— Time Stamp: Время в сокращенном формате.
— Time String: время в формате date/time .
— Product Name: имя продукта. Берется из файла драйвера или программного модуля.
— File Description: — описание. Также берется из файла.
— File Version: — версия. Также берется из файла.
— Company: название компании — производителя программного продукта. Также берется из файла.
— Full Path: — полный путь драйвера или программного модуля.

В случае, когда используется анализ дампов, полученных с компьютеров локальной сети, имя или адрес компьютера отображается в колонке Computer Name и в полном пути к файлу минидампа Full Path

Программа очень проста и удобна. Есть русификатор в виде ini-файла, который нужно скопировать в каталог с установленной программой BlueScreenView. Скачать, ~ 3 кб.

Описания кодов ошибок и методики их устранения можно найти, например, на softboard.ru

— если синий экран смерти возник после установки какого — либо программного обеспечения, и войти в систему не удается по причине стоп-ошибки, то нередко проблема решается выбором режима загрузки последней удачной конфигурации из меню загрузчика. (Меню вызывается нажатием F8 в начале загрузки Windows)
— если синий экран смерти возникает при выполнении ресурсоемких задач, таких как компьютерные игры с высокими требованиями к оборудованию, а в остальное время система работает стабильно — наверняка проблема связана с перегревом или ухудшением характеристик питающих напряжений под повышенной нагрузкой.
— если синий экран не связан с загруженностью системы, и возникает спонтанно, а в стеке драйверов, подозреваемых в причине возникновения ошибки, присутствуют одни и те же имена исполняемых файлов или файлов драйверов, вероятно, причина синего экрана смерти кроется именно в их некорректной работе. Нередко это могут быть драйверы антивирусов, систем защиты ПО от несанкционированного распространения, эмуляции приводов и противодействия системам защиты, а также драйверы или службы, используемые вредоносным или нежелательным программным обеспечением , или нестандартные драйверы сторонних производителей.
— причиной синего экрана смерти могут быть драйверы руткитов, используемых вирусными программами для скрытия своего присутствия в системе. Их некорректная работа может сопровождаться ошибками с разными кодами и наличием в стеке подозреваемых программой BlueScreenView файлов, которые либо не видны в файловой системе, либо в системном реестре нет связанных с ними записей.
— причиной большинства критических ошибок Windows являются сбои или неисправность оборудования, поэтому, не стоит в качестве главного способа решения проблемы использовать переустановку системы. Если у вас есть обоснованное предположение о том, что ошибка вызвана не оборудованием, а повреждением системных настроек Windows, попробуйте выполнить откат системы с использованием точки восстановления с датой, когда система еще работала без нареканий. В качестве дополнительной меры можно воспользоваться переустановкой Service Pack (или установкой его старшей версии).
— Если синий экран смерти стал появляться после установки критических обновлений с сайта Microsoft (редко, но бывает) попробуйте удалить последние обновления.
— Если критическая ошибка возникает в процессе загрузки Windows и нет возможности войти в систему, воспользуйтесь простым и эффективным средством средств выяснения причин стоп-ошибки и восстановления работоспособности Windows — ERD Commander . ERD Commander позволяет вернуть Windows в работоспособное состояние довольно простыми и эффективными способами с использованием набора специальных программных инструментов ( Toolkit ).

Если у Вас нет желания разбираться с причинами BSOD, а загрузка системы не выполняется по причине какой-либо стоп-ошибки, самым простым способом реанимации Windows является использование отката на работоспособную точку восстановления (Restore Point) c помощью ERD Commander’а. Для этого нужно загрузить ERDC, подключиться к неработоспособной Windows и выполнить откат системы с помощью инструмента System Restore на точку восстановления, созданную в работоспособном состоянии. Естественно, это не относится к тем случаям, когда синий экран смерти вызван сбоями или отказом оборудования.

В случае, когда испорчен файл system (это куст реестра с данными раздела HKLMSYSTEM), то загрузка может завершаться сообщением об ошибке system или вообще черным экраном без каких-либо сообщений. Здесь также может помочь использование ERD Commander. С его помощью можно выполнить проверку системного диска Windows (chkdsk.exe), поскольку причиной невозможности загрузить куст System может быть ошибка файловой системы, а также, можно откатить систему на точку восстановления или выполнить ручное восстановление работоспособной копии раздела System из данных сохраненной точки восстановления.

Данные контрольных точек хранятся в каталоге System Volume Information системного диска Windows. Это скрытый системный каталог, доступ к которому в среде работающей в нормальном режиме операционной системы, разрешен только локальной системной учетной записи Local System (т.е. не реальному пользователю а «Службе восстановления системы»). Поэтому, если необходимо получить доступ к его содержимому, нужно добавить права вашей учетной записи с использованием вкладки «Безопасность» в свойствах каталога «System Volume Information». Но в случае использования Winternals ERD Commander или загрузки в другой операционной системе этого делать не нужно. В папке System Volume Information есть подкаталог с именем, начинающемся с _Restore. и внутри него — подкаталоги RP0, RP1 : — это и есть искомые контрольные точки (Restore Point — RPx). Внутри папки RPx имеется каталог snapshot , содержащий копии файлов реестра на момент создания контрольной точки.

Файл REGISTRY_MACHINE_SYSTEM — это и есть копия файла SYSTEM , он же — раздел реестра HKLMSYSTEM .
Для восстановления системы можно скопировать этот файл в каталог WINDOWSSYSTEM32CONFIG и переименовать его в system. Запорченный файл system можно, на всякий случай, переименовать в system.bad или удалить.
Если вы будете использовать Winternals ERD Commander, который работает с реестром подключенной системы, то могут возникнуть проблемы с занятостью файлов в каталоге windowssystem32config . Чтобы этого не случилось, можно в процессе загрузки ERDC не подключаться к проблемной операционной системе и выбрать None :

Подавляющее большинство ошибок синего экрана смерти, не являющихся следствием неисправности оборудования, связаны с ошибками в работе драйверов и системных служб. Записи об этих компонентах ОС хранятся в разделе реестра HKLMSYSTEM и восстановление этого раздела позволяет легко избавиться от таких BSOD.

Если BSOD появляются с увеличением нагрузки на систему (в компьютерных играх, ресурсоемких задачах и т.п.) наиболее вероятной причиной являются перегрев. Попробуйте увеличить охлаждение, например, сняв крышку корпуса, установив дополнительные вентиляторы или, даже временно установив обычный бытовой вентилятор для обдува внутренностей системного блока. Для контроля за температурой используйте специальное программное обеспечение — Everest HWINFO32, SpeedFan и т.п.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Как убрать «синий экран смерти»

Рассмотрим общий порядок действий, позволяющих решить проблему возникновения ошибок синего экрана.

Запуск удачной конфигурации

Если синий экран возник 1-2 раза, то можно ничего не делать – произошел сбой, который был устранен системой самостоятельно. Устранением неполадки нужно заниматься в том случае, если BSOD вылетает постоянно, при каждой загрузке Windows.

Первым делом попробуйте запустить последнюю удачную конфигурацию. Для этого:

  1. Перезагрузите ноутбук.
  2. Нажимайте при запуске клавишу F8, пока не появится экран выбора способа загрузки.
  3. Выберите пункт «Последняя удачная конфигурация».

На Windows 8.1 и Windows 10 загрузка удачной конфигурации реализуется трудно, так как по умолчанию клавиша F8 отключена. Исправить ситуацию можно внесением изменений в реестр, но лучше перейти к другому методу решения проблемы с появлением синего экрана – откату системы.

Восстановление системы и откат драйвера

Если у вас включена функция восстановления системы, то попробуйте запустить ноутбук в безопасном режиме и откатить Windows до контрольной точки, когда никаких проблем с BSOD не возникало. Если синий экран возник после обновления драйверов или установки нового оборудования, то ради эксперимента отключите новые устройства и откатите программное обеспечение.

  1. Откройте «Диспетчер устройств».
  2. Найдите драйвер (устройство), который был обновлен (установлен).
  3. Удалите его или откатите до прежней версии.

Если при включении ноутбука появляется синий экран и Windows не загружается, то попробовать устранить неполадку можно с помощью установочного носителя.

  1. Вставьте установочный диск (флешку) в ноутбук.
  2. Перезагрузите устройство и при запуске нажимайте F11, пока не появится Boot Menu.
  3. Выберите в списке свой загрузочный носитель.
  4. Перейдите в раздел «Восстановление системы».

Windows будет просканирована на предмет обнаружения ошибок и сбоев. Если проблему можно устранить автоматически, то после перезапуска BSOD пропадет.

Исправление синего экрана при проблеме жесткого диска

Остановимся поподробнее на 1 рисунке. Данный синий экран вызван проблемами в электросети, нестандартным выключением ПК (например, выдернули из розетки или пнули ногой кнопку на системном блоке) или при грозе произошел резкий скачок напряжения, от которого вырубился компьютер.

Такая смерть нестрашна, просто при запуске системы автоматически активируется встроенная утилита чекдиск (Chkdsk). Бывает, я в ручную запускаю эту утилиту из командной строки для того, чтобы проверить работоспособность жесткого диска, с которым обнаружены проблемы и глюки.

Если у вас есть подозрения, что некоторые кластеры жесткого диска повреждены, можете запустить проверку. Откройте интерпретатор командной строки. Для этого нажмите на «Win + R» и введите «cmd» или через поиск, напишите «cmd».

cmd zapusk

Первый способ запуска cmd.

Командную строку необходимо запускать от имени администратора иначе команда не будет работать.

cmd run admin

Второй способ запуска cmd.

Нажмите клавишу «Y» и «Enter».

При следующем запуске вашей системы, выйдет синий экран подобный рис.1.

Что сделает данная команда?

Запустится специальная утилита, которая проверит жесткий диск на ошибки и исправит их, если обнаружит. Они как раз могли появиться при выше описанных сбоях. Лучше всего рекомендую дождаться пока пройдут все пять этапов проверки и лечения жесткого диска, однако, если у вас в данных момент нету времени, то можете прервать процедуру проверки нажав клавишу ESC. Я не рекомендую прерывать, потому что могут остаться глюки и ошибки, которые в дальнейшем сильно затормозят работу вашего ПК.

Если синий экран проверки у вас стал появляться все чаще и чаще, то лучше всего скопируйте важные для вас фотографии, видео, документы и т.д. на какой-либо внешний носитель и желательно переустановите операционную систему с полным форматированием жесткого диска, такое форматирование пометит поврежденные кластеры и не даст на них записывать информацию.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector