none
レジストリにてUSBメモリーの無効化を行うも反映されない RRS feed

  • 質問

  • USBメモリーの無効化を反映させる方法をご教授頂けないでしょうか。

    まず、下記に記載の通りキーの値に設定しUSBメモリーが認識されない事を確認しました。

    その後再起動すると、USBメモリーが認識される事を確認しました。

    レジストリのキーと値は下記の記載の通り変更されていないことを確認しました。

    USBメモリーのマウントを解除し取り外した後、再度USBメモリーをUSBポートに差し、認識されないことを確認しました。


    次に下記記載の値を3に変更しUSBメモリーが認識されることを確認、

    再び下記の通りキーの値を4に戻し、USBメモリーが認識されないことを確認し再起動しました。

    そして、下記の通りのキーの値が4であることを確認し、USBメモリが認識される事を確認しました。

    デバイスマネージャーで状態を確認すると、USBメモリーが認識されている事を確認しました。

    windows10 pro 64bit 1909

    キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

    値:4

    2020年4月6日 6:47

すべての返信

  • 4 に設定するのは、そのキーの "start" エントリー値に対してです。
    2020年4月6日 7:21
  • レス頂き有り難うございます。

    申し訳ありません、記述が適切ではありませんでした。

    下記の通りです。

    キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

    データStart

    データの値4

    ハンドルネームでお呼びしても宜しいでしょうか、失礼になりそうで躊躇しました。

    2020年4月6日 9:05
  • 検証してみました。

    恐らくですが再起動と書いてあるのは「シャットダウン」→「電源ボタンを押して起動」のことですよね?

    USBメモリを認識した状態で値を「4」に変更して「シャットダウン」→「電源ボタンを押して起動」すると、高速スタートアップが効いているので次回起動時もUSBメモリを認識した状態で起動します。

    ※高速スタートアップを切れば想定している動きになるかと思います。

    ■高速スタートアップの切り方

    https://www.billionwallet.com/goods/windows10/win10_shutdown.html

    • 編集済み kaz8629 2020年4月6日 10:36
    2020年4月6日 10:34
  • kaz8629

    検証の上返信頂き有り難うございます。

    明日以降に改めて返信いたします。

    手前都合で申し訳ありません。

    手元に端末がなく、作業が行えませんので、明日確認の上返信させて頂きます。

    2020年4月6日 11:16
  • kaz8629様
    返信大変遅くなり申し訳ありません。
    ご教授頂きました高速スタートアップを切り再起動をしましたが事象改善しませんでした。

    更に高速スタートアップを切った後、根拠等考えず下記も実施しましたが、事象は改善していません。

    1.コマンドプロンプト(管理者権限)にて、
      1)>sfc / scannow
       2)>DISM.exe /Online /Cleanup-image /Restorehealth
       3)>gpupdate /force
     ※powershellは使わず。
    2.レジストリ
    1)下記に変更し、再起動
    キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
    データStart
    データの値3
    2)下記に変更し、セーフモードを指定し再起動。
    キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
    データStart
    データの値4
    3)セーフモードを指定せず再起動
    3.WindowsUpdate




    2020年4月7日 13:21
  • 再起動すると、"Start" 値が 3 に書き換えられてしまうということでしょうか?
    だとしたら、Process Monitor で再起動時のレジストリ アクセスをキャプチャし、"Start" 値を書き換えているプロセスを特定する必要があると思います。
    -------------------------------------------------
    Process Monitor で OS 起動時のログを採取する手順
    https://social.msdn.microsoft.com/Forums/windowshardware/en-US/410e6a67-0d97-451f-b24e-f9974c280924/process-monitor-os-?forum=wdksupportteamja
    -------------------------------------------------

    P.S.
    自分が名前の通りの人間であることを自覚しているので、ハンドルネームで呼んでいただいて構いません。
    2020年4月8日 0:24
  • お馬鹿様

    ご返信頂き有り難うございます。

    再起動時してもStartは3(有効)ではなく、4(無効)です。

    再起動時何度確認しましたがstartの値は4でした。

    レジストリの値を見る限り無効であることは、間違いありません。

    因みに仰られる再起動時start が3になる事象は、下記の(記事)でも確認しました。

    (記事)

    WindowsでUSB大容量記憶装置ドライバを無効にする

    https://www.atmarkit.co.jp/ait/articles/0510/29/news015.html

    (記事より抜粋)

    以上、2つの設定を行えば、USBメモリの使用を完全に防ぐことができる。しかし、アクセスが拒否されてない管理者などがログオンし、新しいUSBメモリを接続すると、再びレジストリのStart値が3へ戻ってしまう。このような場合、もう一度無効にするには、上記の手順で設定をやり直さなくてはならない。

    P.S.

    了解いたしました。気にせずお呼びいたします。


    2020年4月8日 3:39
  • 再起動後の "Start" 値が 4 の状態で USB メモリを挿したとき、Device Manager の "ユニバーサル シリアル コントローラー" の下には、"USB 大容量記憶装置" は表示されているのでしょうか?

    2020年4月8日 3:49
  • 私が検証したのはユーザーに制限をかけていない状態で行っています。事前にユーザー制限かけている情報も欲しかったです。。。

    まぁ完全にユーザー制限との絡みで想定した動きになってないんでしょうね。。。

    2020年4月8日 3:52
  • お馬鹿様

    すみやかな返信感謝いたします。

    デバイスマネージャーで確認し"USB 大容量記憶装置"は表示されます。

    デバイスマネージャーはで確認する限りUSBを正常に認識する動作と考えます。

    因みに記載を忘れており申し訳ありませんが、「デバイスマネージャーの有効・無効」は実施済みです。


    2020年4月8日 4:05
  • kaz8629様

    返信ありがとうございます。気づかずに申し訳ありません。

    ユーザーに制限をかけていない状態とは、アドミニストレーター権限で宜しいでしょうか。

    下記は確認済みです。

    コンピュータの管理>ローカルユーザーとグループ>ユーザー

    対象のユーザーの所属するグループのタブ内には「administrators」がある事は確認済みです。

    また、業務用基幹システムとして利用しており、他の端末と設定は統一してあります。

    本端末のみ事象が発生しています。

    2020年4月8日 4:14
  • > デバイスマネージャーで確認し"USB 大容量記憶装置"は表示されます。

    何かおかしいですね。。。。
    デバイスマネージャー上に表示される "USB 大容量記憶装置" は、usbstor ドライバが提供するクラス ドライバに対応しています。
    で、USB 経由で接続されるストレージ デバイス (メモリ, HDD, SD カード, etc.) はこの usbstor を必要としますので、usbstor クラス ドライバがロードされない限り、USB メモリ等も認識されないことになります。
    今回 4 に変更したレジストリ値は、「usbstor クラス ドライバをロードさせない」という設定になります。
    usbstor の "Start" 値が 4 になっているにも関わらず、デバイスマネージャー上に "USB 大容量記憶装置" が表示されているということは、usbstor クラス ドライバがロードされているということなので、レジストリ設定と矛盾していることになります。
    もしかして、PC 起動時にこのドライバを明示的にロードしているプロセスが存在しているのかもしれません。
    問題点の切り分けのため、下記事項の確認をお薦めします。

    ---------------------------------------------------------
    <問題切り分けのための確認事項>
    1. 問題現象が発生している状態 (該当レジストリ値が 4 であること) で、USB 経由で接続されているストレージ系デバイスをすべて取り外し、デバイスマネージャー上に "USB 大容量記憶装置" が表示されていない状態にする。
    2. 上記 1 の状態であることを確認したら、USB メモリを接続する。
    3. 上記の 2 の結果、'!' マークの付いた "USB 大容量記憶装置" アイコンが表示されるか確認する。
    ---------------------------------------------------------

    上記 3 の結果が Yes であれば、"Start" 値 4 のレジストリ設定は機能している。。。。すなわち、usbstor ドライバを明示的にロードしているプロセスの存在が疑われます。
    逆に、'!' マークのない通常の "USB 大容量記憶装置" アイコンが表示されるのであれば、レジストリ等の設定に問題がある可能性が考えらると思います。
    2020年4月8日 7:32
  • お馬鹿様
    ご丁寧に返信頂き有り難うございます。
    USBの仕組みをご教授頂きましたこと感謝いたします。

    申し訳ありませんが、明日返答いたします。
    働き方改革で定時退社が厳守されており、現在手元に端末はありません。
    ご教授頂いた通りの方法で明日順番通りに検証し、確認いたします。

    因みにお話の内容から、レジストリの値に問題を感じます、
    検証作業以外に値も合わせて再確認します。
    レジストリの値と感じたのは追加で下記検証を行ったからです。

    下記一連の作業を行うと、USBメモリーは無効が確定されます。

    Ⅰ)レジストリにてusbを無効化(start 4)を確認しました。
    Ⅱ)USBメモリーがエクスプローラで認識されていないことを確認しました。
    Ⅲ)再起動を行います。

    Ⅰ)レジストリにてUSBの無効化(start 4)を確認しました。
    Ⅱ)USBメモリーを挿入します。
    Ⅲ)エクスプローラでUSBメモリーが認識される事確認しました。
    Ⅳ)デバイスマネージャーで USB 大容量記憶装置が表示されることを確認しました。

    Ⅰ)デスクトップの通知領域よりUSBのアンマウントし、安全にUSBメモリーを取り外します。

    Ⅰ)USBメモリーを再度挿入します。
    Ⅱ)エクスプローラでUSBが『認識されない』事を確認しました。
    Ⅲ)レジストリにてusbの無効化(start 4)を確認しました。
    ※デバイスマネージャーで "USB 大容量記憶装置の表示は確認していません。

    2020年4月8日 11:50
  • 提示された検証を行う場合、その時に既に usbstor.sys がメモリ上にロードされているか否かが重要になります。
    usbstor.sys がメモリ上からアンロードされている場合、再度ロードする必要が生じますが、レジストリ "Start" 値 4 の影響で、そのロード要求はブロックされるはずです。
    ですが既にメモリ上にロードされている場合、新たに接続された USB ストレージ デバイス用のインスタンスを生成すればよいだけなので、ロード要求は発生しません。
    従って usbstor.sys がメモリ上にロードされている状態でレジストリ値を 4 に書き換えても、意味がないのです。

    この問題を解決するには、usbstor のレジストリ "Start" 値が 4 の状態で再起動をしたときに、どのような理由で usbstor ドライバがロードされてしまうのか、という点を解明する必要があると思います。
    2020年4月9日 1:00
  • お馬鹿様
    返信頂きありがとうございます。

    不勉強で申し訳ありません、一つだけ確認させて頂けないでしょうか。
    「usbstor ドライバがロードを解明する」とは、「Debugging Tools for Windowsのデバッガー」または、「DebugView」を使うという解釈で宜しいでしょうか。

    その場合は、一旦ベンダーへのエスカレーションを行いたいと考えます。
    理由は、ベンダーが作成した基幹システムであるため、ツールの使用のためには、ベンダーの了承や経営層の承認が必要な為です。

    (参考URL)
    「ITプロ(非開発者)向けWindowsカーネルデバッグ事始め」 
    https://www.atmarkit.co.jp/ait/articles/1804/27/news026.html
    「DebugView for Windows」
    https://docs.microsoft.com/ja-jp/previous-versions/bb896647(v=msdn.10)?redirectedfrom=MSDN


    2020年4月9日 2:28
  • >「usbstor ドライバがロードを解明する」とは、
    >「Debugging Tools for Windowsのデバッガー」または、
    >「DebugView」を使うという解釈で宜しいでしょうか。

    一番確実なのは、問題の起きている PC に対してデバッガをカーネル デバッグ接続して、再起動時における各種ドライバのロード状況をライブ トレースすることですが、他にも調べる方法はあります。
    とりあえずは下記 "Driver View" というツールをダウンロードして、問題が発生している PC 上にコピーしておくことをお薦めします。(64 ビット バージョンの方。)
    ------------------------------------------------
    DriverView v1.47 - Loaded Windows Drivers List
    http://www.nirsoft.net/utils/driverview.html
    ------------------------------------------------

    で、usbstor レジストリ "Start" 値が 4 の状態での再起動直後の、USB メモリを挿していない状態で "Driver View" を起動し、"usbstor.sys" がリストされているかを確認してください。
    これを確認することで、再起動直後に usbstor ドライバが既にメモリ上にロードされているか否かを、確認することができます。
    USB メモリを挿す前に既にロードされているのであれば、デバイス マネージャを起動させ、"USB 大容量記憶装置" をハイライトにした状態でメニュー バー [表示] → [デバイス(接続別)] を選択すれば、なんのデバイスが usbstor ドライバを必要としたのかが、確認できます。
    2020年4月9日 5:28
  • お馬鹿様
    ご丁寧に教えて頂き本当に有り難うございます。

    現在解決は出来ておらずご指摘の通り、デバッグに向けて動きます。
    しかし、社内の決裁ルールがありますので、日にちかかりそうです。
    申し訳ありません。

    ご指示受けておりました下記<問題切り分けのための確認事項>を実施しました。
    結果は、'!' マークの付いた "USB 大容量記憶装置" アイコンが表示されることを確認しました。

    補足しますと項番1の際、通知領域よりUSBのアンマウント実施後、デバイスマネージャー上に、'!' マークの付いた "USB 大容量記憶装置" アイコンが表示されました。

    --------------------------------------------------------

    <問題切り分けのための確認事項>
    1. 問題現象が発生している状態 (該当レジストリ値が 4 であること) で、USB 経由で接続されているストレージ系デバイスをすべて取り外し、デバイスマネージャー上に "USB 大容量記憶装置" が表示されていない状態にする。
    2. 上記 1 の状態であることを確認したら、USB メモリを接続する。
    3. 上記の 2 の結果、'!' マークの付いた "USB 大容量記憶装置" アイコンが表示されるか確認する。

    --------------------------------------------------------

    因みに本日確認と検証を合わせて行いましが、改善はみられませんでした。
    1.UsbStorの詳細を確認しました。下記の通りです。

    キーとその名前、種類、データを確認しました。

    また、USBSTOR.SYSの存在は確認しました。

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR内

    [名前] (規定)
    [種類] REG_SZ 
    [データ] (値の設定なし)
    [名前]BootFlags      
    [種類]REG_DWARD
    [データ]0x00000014(20)
    [名前]DisplayName 
    [種類] REG_SZ 
    [データ] @usbstor.inf,%USBSTOR.SvcDesc%;USB Mass Storage Driver
    [名前]ErrorControl
    [種類]REG_DWARD
    [データ]0x00000001(1)
    [名前]Group
    [種類]REG_SZ
    [データ]
    [名前]ImagePath
    [種類]REG_EXPAND_SZ
    [データ]¥SystemRoot¥System32¥drivers¥USBSTOR.SYS
    [名前]Owners
    [種類]REG_MULTI_SZ
    [データ]usbstor.inf v_mscdsc.inf
    [名前]Start
    [種類]REG_DWARD
    [データ]0x00000004(4)
    [名前]Type
    [種類]REG_DWARD
    [データ]0x00000001(1)

    その他検証1.

    まず、Start4の状態で、USBメモリを差します。
    デバイスマネージャーにて、"USB 大容量記憶装置"が表示された状態であることを確認します。デバイスドライバの削除を選択し、"USB 大容量記憶装置"が消えた事を確認します。

    再度、USBメモリーを差します。
    結果"USB 大容量記憶装置"が表示されることを確認しました。

    その他検証2.

    デバイスマネージャーのUSB大容量記憶装置のプロパティ>イベントタブを確認しました。
    15:35:20 デバイスが構成されました(usbstor.inf)
    15:35:20 デバイスが開始されました(USBSTOR)
    15:45:09 デバイスが削除されました
    15:45:15 デバイスが構成されました(usbstor.inf)
    15:45:15 デバイスが開始されました(USBSTOR)

    その他検証3.

    キーUSBSTORのエクスポート後、インポートを行い、キーをUsbStorに変更される事を確認しました。

    レジストリキーは大文字小文字を区別しないとの事ですが、
    下記によるとキーは、UsbStorと記載があることから念のため変更を行いました。

    https://support.microsoft.com/ja-jp/help/823732/how-can-i-prevent-users-from-connecting-to-a-usb-storage-devic

    2020年4月9日 9:42
  • > その他検証1.
    > まず、Start4の状態で、USBメモリを差します。

    先の返信でも書きましたが、「Start4の状態でメモリを挿す前」に usbstor がロード状態であったのかが重要になります。
    usbstor がロードされていないのであれば、デバイス マネージャ上に "USB 大容量記憶装置" は表示されませんし、"DriverView" でも usbstor はリストされません。
    それを確認して欲しいのです。
    2020年4月10日 4:09
  • お馬鹿様
    いつも返信とご教授頂き有り難うございます。
    休み明け以降に対応しますので、お待ち頂けないでしょうか。

    無知・不勉強また、意図理解しておりませんでした、申し訳ありません。

    2020年4月10日 14:03
  • お馬鹿様
    遅くなり申し訳ありません。
    ご指示頂きました件確認いたしました。

    詳細は下記のとおりです。

    [作業手順]
    1.DriverViewを対象端末のデスクトップに保存端末しました。
    2.再起動端末を再起動しました。
    3.再起動後、レジストリにてStart 4を確認しました。
    4.デバイスマネージャーにてUSB 大容量記憶装置が表示されていないことを確認しました。
    5.DriverViewを起動し、USBSTOR.sysを確認しました。
    6.USBSTOR.sysにカーソルを合わせ、SaveSelectItemよりファイルにテキストファイルに保存しました。
    保存した内容は下記のとおりです。

    [SaveSelectItem]
    ==================================================
    Driver Name       : USBSTOR.SYS
    Address           : 0x88650000
    End Address       : 0x88675000
    Size              : 0x00025000
    Load Count        : 1
    Index             : 69
    File Type         : Dynamic Link Library
    Description       : USB 大容量記憶域クラス ドライバー
    Version           : 10.0.18362.1
    Company           : Microsoft Corporation
    Product Name      : MicrosoftR WindowsR Operating System
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\USBSTOR.SYS
    File Attributes   : 
    Service Name      : USBSTOR
    Service Display Name: @usbstor.inf,%USBSTOR.SvcDesc%;USB Mass Storage Driver
    Digital Signature : 
    ==================================================

    2020年4月13日 6:52
  • Device Manager 上に "USB 大容量記憶装置" が表示されていないのに、"DriverView" では usbstor ドライバがリストされているということですね?
    非常に興味深い現象ですね。
    基本的に usbstor ドライバは単体で機能することは無いので、このドライバを必要とするストレージ系デバイスが存在するはずです。
    なのでまずは、再起動直後に usbstor ドライバを必要としているデバイスが何なのか、それを特定する必要があると思います。

    とりあえず下記サイトを参考に、問題現象が発生している PC 上で手動 (キーボード クラッシュ) で BSOD を発生させ、「完全メモリ ダンプ」を採取していただけますか?
    (キーボード クラッシュで BSOD を発生させるタイミグは、レジストリ "Start" 4 の状態で再起動しログオンした直後ぐらいが良いかと思います。)
    -------------------------------------------------
    手動での完全メモリダンプ の取得方法(Windows 10 / 8.1 / 8 / 7)
    https://support.kaspersky.co.jp/common/diagnostics/3055
    -------------------------------------------------

    完全メモリ ダンプが採取出来たら、そのダンプから usbstor ドライバの Device Stack 構成を確認してください。
    問題が起きている PC でも、あるいはそれ以外の PC でも構いませんので、Microsoft Store から "WinDbg Preview" をインストールし、採取した完全メモリ ダンプを "WinDbg Preview" 上から開いてください。
    ダンプが正常に開けたら下記コマンドを実行し、その出力結果をここにコピペしてください。
    -------------------------------------------------
    <"WinDbg Preview" 上で実行するコマンド>
    !drvobj \driver\usbstor f
    -------------------------------------------------

    P.S.
    > 無知・不勉強また、意図理解しておりませんでした、申し訳ありません。
    私の文章表現能力にも問題があり、かつ説明不足な部分も多分にあったので、気にすることはありません。
    それよりも疑問に思ったことや、理解できない部分に関しては、指摘してください。
    (そうしないと、不毛なやり取りになってしまうので。)
    2020年4月13日 8:13
  • お馬鹿様
    返信ありがとございます。
    下記の手順以外での完全ダンプの方法はないでしょか。

    完全ダンプの取得ができませんでした。
    行った作業は、下記の通りです。
    [作業手順]
    1.下記URLを参考に手順1~11まで実施。
    -------------------------------------------------
    手動での完全メモリダンプ の取得方法(Windows 10 / 8.1 / 8 / 7)
    https://support.kaspersky.co.jp/common/diagnostics/3055
    -------------------------------------------------

    当該端末DELLのInspiron17には、Scrlockキーはなく、
    Dellのサイトに従い、Ctrl+Fn+Sを押下2回するも反応なし。
    スクリーンキーボードにて、ScrLockキーが有効であることを確認しました。
    EXCELにて、Ctrl+Fn+S、スクリーンキーボード両方の手順が有効である事を確認しました。

    2.再起動後、手順に従い手順1~11まで実施し、Ctrl+Fn+Sを押下2回するも反応なし。

    3.再起動後、手順に従い手順1~11まで実施し、スクリーンキーボードによる方法も反応なし。

    4.下記に記載のそれぞれレジストリの値は次のURLに記載の通りであることを確認しました。

    https://www.school.ctc-g.co.jp/columns/kaga/kaga10.html

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kbdhid\Parameters\CrashOnCtrlScroll

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl\CrashDumpEnabled

    P.S.お気遣い感謝いたします。

    • 編集済み kazulosu 2020年4月14日 5:54 記載もれのため
    2020年4月14日 5:30
  • あーーー、Note PC だから、キーボードが USB 接続ぢゃないんですね。。。。失礼いたしました。
    では下記アプリを使って、BSOD を発生させてください。
    (URL からも分かるように、MS「純正」アプリです。)
    -----------------------------------------------
    NotMyFault v4.20
    https://docs.microsoft.com/ja-jp/sysinternals/downloads/notmyfault
    -----------------------------------------------
    2020年4月14日 5:52
  • お馬鹿様

    即レス感謝します。

    ご指示頂きましたNotMyFault v4.20を使用し、下記手順で完全メモリダンプ取得しましたが、間違っておりましたらご指摘お願いいたします。

    因みにUSBキーボードは接続し、ScrLockを押しましたが、ブルースクリーンは発生しませんでした。

    なお、続きは明日行います。

    [作業手順]

    NotMyFault起動。

    2 crashタブ>option high IRQL fault (kernel-mode)

    3.crashタブ>crashボタン

    [参考URL] 

    http://norimaki2000.blog48.fc2.com/blog-entry-1211.html

    [余談]

    最後に余談ですが、気になる事象が発生しましたので、下記記載します。

    作成されたダンプファイル7.74GBを16GBのUSBメモリに保存しようとしたところ、ファイルサイズが大きいため保存できないとメッセージでました。

    USBメモリの初期化、レジストリにUSBメモリの有効化を行うも事象変わらずです。

    因みにダンプファイルは、NAS経由で回収する予定です。


    • 編集済み kazulosu 2020年4月14日 9:11 間違って伝える可能性があったため。
    2020年4月14日 9:05
  • 手順はそれでいいと思うのですが、"WinDbg Preview" でちゃんと開けるかどうか。。。ですね。

    > 因みにUSBキーボードは接続し、
    > ScrLockを押しましたが、ブルースクリーンは発生しませんでした。
    恐らく、レジストリ設定が正しく行われなかったんだと思います。
    とりあえず NotMyFault で代用できたので、それでいいかと。

    > 作成されたダンプファイル7.74GBを16GBのUSBメモリに保存しようとしたところ、
    > ファイルサイズが大きいため保存できないとメッセージでました。
    問題の Note PC に搭載されている物理メモリ サイズは、どのくらいだったのでしょうか?
    完全メモリ ダンプのファイルサイズは、物理メモリ サイズとほぼ同等になるはずです。
    2020年4月14日 9:29
  • お馬鹿様

    返信有り難うございます。

    物理メモリは8GBです。

    いつもの事ながら、続きは明日報告します。

    2020年4月14日 13:17
  • お馬鹿様
    お世話になっております。
    以下の結果がでました。
    これはBIOSのアップデートが必要という事でしょうか。

    WinDbgを実行し指示下記の通りになりました。
    ご確認お願い致します。

    6: kd> !drvobj \driver\usbstor f
    Driver object \driver\usbstor f not found
    2020年4月15日 1:56
  • ???
    確認ですけど、このダンプ ファイルを採取する直前での "USBView" のリストには、usbstor ドライバは列挙されていたんですよね?
    "USBView" のリストに usbstor ドライバが列挙されるんだろう?
    "USBView" メニュー バー "View" の "Automatic Refresh" は、チェック状態でした?

    とりあえず代わりに、下記コマンドを実行してもらえますか?
    !drvobj \driver\usbhub3 f
    2020年4月15日 2:52
  • ちょっと気になりましたので投稿します。

    作成されたダンプファイル7.74GBを16GBのUSBメモリに保存しようとしたところ、ファイルサイズが大きいため保存できないとメッセージでました。

    USBメモリの初期化、レジストリにUSBメモリの有効化を行うも事象変わらずです。

    USBメモリは「NTFSフォーマット」で初期化していますでしょうか?

    「FAT32フォーマット」では、1つのファイルサイズが4GBが限界です。

    その状態では、7.74GBのファイルは保存出来ません。

    2020年4月15日 3:42
  • お馬鹿様お世話になっております。

    "USBView" メニュー バー "View" の "Automatic Refresh"は申し訳ありません、確認できておりません。

    下記ログ添付します。

    6: kd> !drvobj \driver\usbhub3 f
    Driver object (ffffe50ac386d740) is for:
     \Driver\USBHUB3

    Driver Extension List: (id , addr)
    (fffff8011b957330 ffffe50ac3738840)  
    Device Object list:
    ffffe50ac39e4dc0  ffffe50ac3a6fd80  ffffe50ac39ba8f0  ffffe50ac3920de0


    DriverEntry:   fffff8011d14c480 UsbHub3!FxDriverEntry
    DriverStartIo: 00000000
    DriverUnload:  fffff8011d14c440 UsbHub3!FxStubDriverUnload
    AddDevice:     fffff8011b9570e0 Wdf01000!FxDriver::AddDevice

    Dispatch routines:
    [00] IRP_MJ_CREATE                      fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [01] IRP_MJ_CREATE_NAMED_PIPE           fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [02] IRP_MJ_CLOSE                       fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [03] IRP_MJ_READ                        fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [04] IRP_MJ_WRITE                       fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [05] IRP_MJ_QUERY_INFORMATION           fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [06] IRP_MJ_SET_INFORMATION             fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [07] IRP_MJ_QUERY_EA                    fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [08] IRP_MJ_SET_EA                      fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [09] IRP_MJ_FLUSH_BUFFERS               fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0a] IRP_MJ_QUERY_VOLUME_INFORMATION    fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0b] IRP_MJ_SET_VOLUME_INFORMATION      fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0c] IRP_MJ_DIRECTORY_CONTROL           fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0d] IRP_MJ_FILE_SYSTEM_CONTROL         fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0e] IRP_MJ_DEVICE_CONTROL              fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [0f] IRP_MJ_INTERNAL_DEVICE_CONTROL     fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [10] IRP_MJ_SHUTDOWN                    fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [11] IRP_MJ_LOCK_CONTROL                fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [12] IRP_MJ_CLEANUP                     fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [13] IRP_MJ_CREATE_MAILSLOT             fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [14] IRP_MJ_QUERY_SECURITY              fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [15] IRP_MJ_SET_SECURITY                fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [16] IRP_MJ_POWER                       fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [17] IRP_MJ_SYSTEM_CONTROL              fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [18] IRP_MJ_DEVICE_CHANGE               fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [19] IRP_MJ_QUERY_QUOTA                 fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [1a] IRP_MJ_SET_QUOTA                   fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock
    [1b] IRP_MJ_PNP                         fffff8011b90aac0 Wdf01000!FxDevice::DispatchWithLock


    Device Object stacks:

    !devstack ffffe50ac39e4dc0 :
      !DevObj           !DrvObj            !DevExt           ObjectName
      ffffe50ad893c060  \Driver\usbccgp    ffffe50ad893c1b0  0000004d
      ffffe50ac3630da0  \Driver\ACPI       ffffe50ac06cfbb0  
    > ffffe50ac39e4dc0  \Driver\USBHUB3    ffffe50ad81eca60  USBPDO-4
    !DevNode ffffe50ac3a36c90 :
      DeviceInst is "USB\VID_0BDA&PID_5520\200901010001"
      ServiceName is "usbccgp"

    !devstack ffffe50ac3a6fd80 :
      !DevObj           !DrvObj            !DevExt           ObjectName
      ffffe50ad8971390  \Driver\HidUsb     ffffe50ad89714e0  _HID00000000
      ffffe50ac3a698d0  \Driver\ACPI       ffffe50ac06cf010  
    > ffffe50ac3a6fd80  \Driver\USBHUB3    ffffe50ad81e6aa0  USBPDO-2
    !DevNode ffffe50ac3a32c90 :
      DeviceInst is "USB\VID_17EF&PID_608D\5&37ea2673&0&3"
      ServiceName is "HidUsb"

    !devstack ffffe50ac39ba8f0 :
      !DevObj           !DrvObj            !DevExt           ObjectName
      ffffe50ac39ef8f0  \Driver\BtFilter   ffffe50ac39efa40  ATHAMPFL
      ffffe50ad81ef950  \Driver\BTHUSB     ffffe50ad81efaa0  
      ffffe50ad8911360  \Driver\BtFilter   ffffe50ad89114b0  
      ffffe50ac392db80  \Driver\ACPI       ffffe50ac06d23f0  
    > ffffe50ac39ba8f0  \Driver\USBHUB3    ffffe50ac395dba0  USBPDO-1
    !DevNode ffffe50ac39b2c40 :
      DeviceInst is "USB\VID_0CF3&PID_E009\5&37ea2673&0&10"
      ServiceName is "BTHUSB"

    !devstack ffffe50ac3920de0 :
      !DevObj           !DrvObj            !DevExt           ObjectName
    > ffffe50ac3920de0  \Driver\USBHUB3    ffffe50ac3b1c3e0  
      ffffe50ac3ae9e10  \Driver\ACPI       ffffe50ac06ce3f0  
      ffffe50ac38e2dc0  \Driver\USBXHCI    ffffe50ac38e3fb0  USBPDO-0
    !DevNode ffffe50ac38e7cb0 :
      DeviceInst is "USB\ROOT_HUB30\4&380e247e&0&0"
      ServiceName is "USBHUB3"

    Processed 4 device objects.
    2020年4月15日 4:16
  • 七辻屋様
    返信ありがとうございます。
    ご指摘の通り、Fat32です。

    2020年4月15日 4:17
  • 再度確認させてください。
    2020 年 4 月 13 日 6:52 返信での [作業手順] 5 で、「5.DriverViewを起動し、USBSTOR.sysを確認しました。」とありますが、これは再起動直後の USB メモリを挿す前の状態で DriverView に usbstor.sys がリストされていることを確認した。。。。という理解で正しいでしょうか?
    今回のダンプ解析結果では、私が認識していた上記前提条件が間違っていることを示しています。
    私が考えていた前提条件が実際とことなる。。。。つまり認識が間違っている場合は、"ControlSet001" 等のレジストリ設定を再確認する必要があります。
    2020年4月15日 6:06
  • お馬鹿様

    いつも有り難うございます。

    再起動直後の USB メモリを挿す前の状態で DriverView に usbstor.sys がリストされていることを確認した事に間違いありません。

    2020年4月9日 5:28にご指示頂きました通り、USBメモリを刺さずに行う事に細心の注意を払いました。

    作業としては、まず、再起動前にUSBメモリを安全に抜き取りました。次にUSBメモリを刺さずに、ダンプを回収しました。

    P.S.申し訳ありません。

    ログの読み方が分からず丸投げになり、申し訳ありません。

    愚考ですが、ログを見るとDispatchWithLockの後にServiceName isと言うキーワードがある。意味は分かりませんが、通常にUSBが認識していると類推します。

    2020年4月15日 8:50
  • お馬鹿様

    追加での返信失礼します。

    確認されたいことは下記に記載されているような事でしょうか。

    https://www.atmarkit.co.jp/fwin2k/win2ktips/119lkgc/119lkgc.html

    2020年4月15日 10:18
  • > 再起動直後の USB メモリを挿す前の状態で DriverView に
    > usbstor.sys がリストされていることを確認した事に間違いありません。
    私の PC 環境で確認する限り、"DriverView" での usbstor ドライバ表示は、このドライバがメモリ上にロードされている場合にのみリストされています。
    なので上記情報から、「本現象は何らかの要因で usbstor が起動直後に既にロード状態にあることに関連しているのでは?」と考え、それを確認するためにダンプを採取し確認してもらったわけです。
    で、確認してもらった結果、usbsotr ドライバはロードされていなかったので、私の予想は完全に外れたわけです。(無駄骨を折らせてしまって、申し訳ありません。)

    > ログを見るとDispatchWithLockの後にServiceName isと言うキーワードがある。
    > 意味は分かりませんが、通常にUSBが認識していると類推します。
    USB Host Controller を疑っている訳ではありません。
    上記でも説明したように、usbstor ドライバがロード状態にあるか、また usbstor の挙動に影響しそうな 3rd ベンダー製ドライバが存在していないか、それを確認したかったわけです。
    提示してもらった USB Hub ドライバの情報から、この PC には下記 USB Device が接続されていることが分かります。
    -------------------------------
    ☆ Realtek Web Camera
    DeviceInst is "USB\VID_0BDA&PID_5520\200901010001"
    ☆ Lenovo HID Mouse
    DeviceInst is "USB\VID_17EF&PID_608D\5&37ea2673&0&3"
    ☆ Dell Wireless 1810 Bluetooth 4.0LE
    DeviceInst is "USB\VID_0CF3&PID_E009\5&37ea2673&0&10"
    ☆ USB 3.0 Root Hub
    DeviceInst is "USB\ROOT_HUB30\4&380e247e&0&0"
    -------------------------------
    上記デバイス類をサポートするためのデバイス スタック構成を確認すると、"Dell Wireless 1810 Bluetooth 4.0LE" に対応するデバイス スタックに、"BtFilter" という Qualcomm Atheros 製ドライバがロードされていますが、これは Wifi および Bluetooth 用のフィルタ ドライバなので、本件とは関係無いと思われます。
    (ちなみに "ServiceName is" は、デバイス マネージャ上に表示されるデバイス クラスやデバイスに対応していて、"usbccgp" は「USB 複合デバイス」、"HidUsb" は「USB 入力デバイス」にそれぞれ対応しており、その詳細設定はレジストリ [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] キーの下に保持されています。)

    > 確認されたいことは下記に記載されているような事でしょうか。
    そうです。
    [HKEY_LOCAL_MACHINE\SYSTEM] キー配下に、"ControlSet00X" サブキーがいくつあるのかと、[HKEY_LOCAL_MACHINE\SYSTEM\Select] キー "Current" 値を確認してください。
    併せて各 "ControlSet00X" サブキーの、[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services\usbstor] キー "Start" も確認してみてください。
    2020年4月16日 1:55
  • お馬鹿様
    返信ありがとうございます。

    まずは、小生の愚考の前に調査結果を下記に記載致します。
    1)[HKEY_LOCAL_MACHINE\SYSTEM] キー配下に、"ControlSet00X" サブキーは、1つ
        ControlSet001のみで他はなく1つのみです。

    2)[HKEY_LOCAL_MACHINE\SYSTEM\Select] キー "Current" 値は、REG_DWORD 0x00000001(1)
       1であるため、ControlSet001を指定されていると類推します。

    3)"ControlSet00X" サブキーの、[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services\usbstor] キー "Start"
        ControlSet001 Start :3

    ご指示頂きました調査は以上となります。


    ちなみに補足すると、
    キーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTORのStartは4です。


    [小生の愚考及び余談及び推論]
    仮説は、CurrentControlSetとControlSet001 のStart は共に4であるのが正常と考えています。

    理由としてはUSB無効化(Start4)が正常に作動している端末は、このCurrentControlSetとControlSet001がともに4である事を確認しました。
    検証したいのは、やまやまですが、稼働中の基幹システムを検証機とすることができず、仕組みがわからず推論のみで、設定を変更することに危険を感じるからです。

    今回もご丁寧にご教授頂きありがとうございます。
    小生の無知不勉強に打ちひしがれております。
    お話を整理すると下記のとおりの理解でよろしいでしょうか

    USBHostControllerとは、USBSTOR.sysが実態であり、本来はUSBメモリを挿入した後でなければ動かないものと仮定しました。

    当該端末には、Webカメラが搭載されており、Bluetoothネットワーク接続が可能な物です。
    usbccgpには、Microsoft USB Generic ParentDriverがみられ、
    HibUsbには、HID CLASS Driverがみられ、
    Btfilterには、btfilterがみられ、これら様々な物をコントロールするものが、USBHostControllerではと考えました。
    2020年4月16日 5:23
  • > 仮説は、CurrentControlSetとControlSet001 のStart
    > は共に4であるのが正常と考えています。
    私もそのように考えます。
    「[HKEY_LOCAL_MACHINE\SYSTEM\Select] キー "Current" 値は、REG_DWORD 0x00000001(1)」とのことなので、本来は "ControlSet001" の "Start" も 4 であるべきですが、何らかの要因で "ControlSet001" に対するレジストリ変更が阻害されている可能性が考えられます。
    絶対に問題が起きないことを保証できませんが、"ControlSet001" の "Start" を 4 に変えて大丈夫だと思います。
    ただ。。。
    基本的に "CurrentControlSet" は "ControlSet001" からのコピーのはずなので、なんで不一致のままの状態が続いているのか、非常に疑問が残ります。
    なので、"CurrentControlSet" と "ControlSet001" の usbstor "Start" 値を共に 4 にし、再起動後に一致状態になるか検証されることを強くお薦めします。
    もし "ControlSet001" usbstor "Start" 値が 3 に戻ってしまう場合は、レジストリ アクセスを阻害するレジストリ監視用のドライバが存在している可能性が考えられます。
    一般的にセキュリティソフトはレジストリ アクセスを監視するために、カーネル モード空間側にレジストリ監視用のドライバを組み込みますが、セキュリティ ソフト以外にもそのようなドライバが組み込まれている場合は、注意する必要があります。(マルウェアである可能性も否定できないので。)

    > USBHostControllerとは、USBSTOR.sysが実態であり、
    > 本来はUSBメモリを挿入した後でなければ動かないものと仮定しました。
    違います。
    usbstor は、クライアント デバイス用のドライバです。
    --------------------------------------------------
    USBホストコントローラーとUSBデバイスコントローラーの違い
    http://direct.pc-physics.com/peripheral/usb-controller-host-device.html
    --------------------------------------------------

    2020年4月16日 6:14
  • お馬鹿様

    毎日有り難うございます。

    現段階としては、慎重にCurrentControlSet" と "ControlSet001をstart4にし、再起動後に一致状態になるか検証します。

    因みに、基幹システムの仕様によりウイルスソフトやwindowsupdataは導入しておりません。

    以上からサードパーティー製のセキュリティ対策ソフトは除外出来ると考えます。

    勿論疑問等多々お有りとは思いますが、セキュリティ対策についてのご質問はご容赦頂きたく思います。

    ここからは小生の愚考です。

    この事象が偶然であればいいのですが、原因がわからないのが苦慮します

    CurrentControlSet" は "ControlSet001 コピーとするなら、そのコピーの仕組みは何か。ControlSet001にselectのCurrentは目的は何かが気になります。恥ずかしながら下記など読むも理解が追い付かず疑問は溶けていません。

    https://docs.microsoft.com/ja-jp/windows-hardware/drivers/usbcon/usb-device-specific-registry-settings

    USBホストコントロールはデータのやり取りの制御と言う解釈で宜しいでしょうか。

    解釈間違い恥ずかしい限りです。

    まずは、本日も返信頂きましたことへのお礼まで。



    • 編集済み kazulosu 2020年4月16日 14:35 加筆訂正の為
    2020年4月16日 14:33
  • 追記失礼します。

    下記URLによるとNTではありますが次のような記載を確認しました。

    愚考かも知れませんが、関係あるのでしょうか。

    いづれにしても、小生も引き続き調べてみます。

    構成マネージャの初期化

    このステップでは、CmInitSystemというカーネルコンポーネントによって(中略)現在実行されているコントロールセットに対し、CurrentControlSetへのリンクも確立されます。

    https://sciencepark.co.jp/device_driver/dvdr/report-14/

    2020年4月16日 14:44
  • いま私の PC 環境で確認したのですが、"CurrentControlSet" キー配下の usbstor "Start" を変更すると、それと連動して瞬時に "ControlSet001" キー配下の usbstor "Start" も同じ値に書き換えられていました。
    つまり再始動なんかしなくても、"CurrentControlSet" キーと "ControlSet001" キーの値は同じになるということです。
    もし問題の起きている PC で "CurrentControlSet" キーと "ControlSet001" キーの値が同じにならないのであれば、先に説明したレジストリ アクセスを阻害するレジストリ監視用のドライバが存在している可能性が高い。。。ということになります。
    (。。。。というか、それ以外にこの状況を作り出せる手段が、私には思い浮かばない。)
    もしそうなら、マルウェアの可能性も考えられます。
    前回採取した完全メモリ ダンプをまだ残してあるなら、それを解析することでどのドライバがそれを行っているのか、特定できるかもしれません。
    (もっとも、こんな手の込んだことをする人間が、簡単な解析で尻尾を出すようなヘマはしないとも思いますけど。)
    もし問題の起きている PC で "CurrentControlSet" キーと "ControlSet001" キーの値が同じにならない場合は、"DriverView" メニューバー "View" の "Hide Microsoft Drivers" にチェックを入れ、3rd ベンダー製ドライバを列挙しておいてください。

    > この事象が偶然であればいいのですが、原因がわからないのが苦慮します。
    どんな現象にもそれが起こり得る必然性があると、私は思っています。
    諦めずに根性出して頑張れば、この現象の原因を特定できると思っています。
    (私にとってこの現象は非常に興味深く、「いっそ、自分の環境で再現できたらいいのに。。。」とさえ思います。)

    > 恥ずかしながら下記など読むも理解が追い付かず疑問は溶けていません。
    提示された URL は、基本的にドライバ開発者以外にはほとんど必要ない情報なので、気にする必要は無いと思います。
    (知っておいて損はないですけど。)

    > USBホストコントロールはデータのやり取りの制御と言う解釈で宜しいでしょうか。
    PC 上の USB ポートのその先に、USB Host Controller (Adapter) があります。
    PC 上の LAN ポートのその先に、Network Adapter (NIC) があるのと同じ。
    NIC がネットワークの先にあるサーバーや各種デバイス (例えばプリンタとか) と通信して色んな機能を提供してくれるのと同じで、USB Host Controller がポートに接続された各種デバイス (USB メモリ等) と通信して色んな機能を提供してくれる。。。ということです。

    > 下記URLによるとNTではありますが次のような記載を確認しました。
    サイエンスパーク社は、良質な技術情報を公開してくれる、とってもいい会社だと思います。
    私も昔、それらを読んで色々と勉強しました。
    2020年4月17日 1:12
  • お馬鹿様

    返信いただきありがとうございます。

    今度は事象が変わりましたので、ともにstart4ではあるがUSBメモリを認識するようになりました。

    また、ダンプは残っておりますので、ご指示お願いいたします。

    変わった事象とは下記のとおりです。

    "CurrentControlSet" キーと "ControlSet001"共start、4であるがUSBメモリが認識されました。

    別の端末で検証すると、Linuxのシンボリックリンクのようにそれぞれ連動して変わることを確認しました。

    ControlSet001のstartを4にすると、CurrentControlSetのstartも4に変わりCurrentControlSetのstartを3にすると、ControlSet001のstartも3に変わることを確認しました。

    そして、次に問題のある当該端末を下記手順にて設定を変更しました。

    まず、"DriverView" メニューバー "View" の "Hide Microsoft Drivers" にチェックを入れ、3rd ベンダー製ドライバを列挙し、ログ抽出しました。結果は下記[ログ]に記載しました。

    事象は変わりましたが、構成変更前でしたので、何かの切り分けになると考えログの抽出をしました。

    1.ControlSet001のstartを4にし、CurrentControlSetのstartも4に変わった事を確認しました。

    2.端末再起動

    .ControlSet001のstartを4にし、CurrentControlSetのstartも4に変わった事を確認しました。

    4.端末再起動5.CurrentControlSetのstartを3にすると、ControlSet001のstartも3に変わることを確認しました。

    6.端末再起動

    7.ControlSet001のstartを4にすると、CurrentControlSetのstartも4に変わる事を確認しました。

    8.端末再起動

    9.ControlSet001のstart4、CurrentControlSetのstart4を確認しました。

    10.USBメモリを挿入し、USBメモリが認識することをエクスプローラ上で確認しました。

    [ログ]

    ==================================================
    Driver Name       : btfilter.sys
    Address           : 0x32D60000
    End Address       : 0x32D76000
    Size              : 0x00016000
    Load Count        : 1
    Index             : 78
    File Type         : Unknown
    Description       : BT Filter
    Version           : 10.0.0.916
    Company           : Qualcomm
    Product Name      : BT Driver
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\btfilter.sys
    File Attributes   : 
    Service Name      : BtFilter
    Service Display Name: BtFilter
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : dptf_acpi.sys
    Address           : 0x38330000
    End Address       : 0x38343000
    Size              : 0x00013000
    Load Count        : 1
    Index             : 112
    File Type         : System Driver
    Description       : Intel(R) Dynamic Tuning ACPI Participant
    Version           : 8.6.10401.9906
    Company           : Intel Corporation
    Product Name      : Intel(R) Dynamic Tuning
    Modified Date     : 2019/07/11 2:47:20
    Created Date      : 2020/03/06 23:53:39
    Filename          : C:\Windows\System32\DriverStore\FileRepository\dptf_acpi.inf_amd64_5989fd2721678bab\dptf_acpi.sys
    File Attributes   : A
    Service Name      : dptf_acpi
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : dptf_cpu.sys
    Address           : 0x28550000
    End Address       : 0x28562000
    Size              : 0x00012000
    Load Count        : 1
    Index             : 172
    File Type         : System Driver
    Description       : Intel(R) Dynamic Tuning CPU Participant
    Version           : 8.6.10401.9906
    Company           : Intel Corporation
    Product Name      : Intel(R) Dynamic Tuning
    Modified Date     : 2019/07/11 2:47:22
    Created Date      : 2020/03/06 23:53:40
    Filename          : C:\Windows\System32\DriverStore\FileRepository\dptf_cpu.inf_amd64_4a3ae74cfa6c37d6\dptf_cpu.sys
    File Attributes   : A
    Service Name      : dptf_cpu
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : dump_diskdump.sys
    Address           : 0x36670000
    End Address       : 0x3667E000
    Size              : 0x0000e000
    Load Count        : 2
    Index             : 166
    File Type         : Unknown
    Description       : 
    Version           : 
    Company           : 
    Product Name      : 
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\Drivers\dump_diskdump.sys
    File Attributes   : 
    Service Name      : 
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : dump_dumpfve.sys
    Address           : 0x28430000
    End Address       : 0x2844D000
    Size              : 0x0001d000
    Load Count        : 1
    Index             : 168
    File Type         : Unknown
    Description       : 
    Version           : 
    Company           : 
    Product Name      : 
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\Drivers\dump_dumpfve.sys
    File Attributes   : 
    Service Name      : 
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : dump_iaStorAC.sys
    Address           : 0x27870000
    End Address       : 0x28408000
    Size              : 0x00b98000
    Load Count        : 1
    Index             : 167
    File Type         : Unknown
    Description       : 
    Version           : 
    Company           : 
    Product Name      : 
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\dump_iaStorAC.sys
    File Attributes   : 
    Service Name      : 
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : esif_lf.sys
    Address           : 0x28570000
    End Address       : 0x285D5000
    Size              : 0x00065000
    Load Count        : 1
    Index             : 173
    File Type         : System Driver
    Description       : Intel(R) Dynamic Tuning Manager Participant
    Version           : 8.6.10401.9906
    Company           : Intel Corporation
    Product Name      : Intel(R) Dynamic Tuning
    Modified Date     : 2019/07/11 2:47:28
    Created Date      : 2020/03/06 23:53:40
    Filename          : C:\Windows\System32\DriverStore\FileRepository\dptf_cpu.inf_amd64_4a3ae74cfa6c37d6\esif_lf.sys
    File Attributes   : A
    Service Name      : esif_lf
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : HidEventFilter.sys
    Address           : 0x35E50000
    End Address       : 0x35E66000
    Size              : 0x00016000
    Load Count        : 1
    Index             : 128
    File Type         : Driver
    Description       : Intel(R) HID Event Filter
    Version           : 2.2.1.377
    Company           : Intel Corporation
    Product Name      : Intel(R) HID Event Filter
    Modified Date     : 2019/04/19 8:56:40
    Created Date      : 2020/03/06 23:53:41
    Filename          : C:\Windows\System32\DriverStore\FileRepository\hideventfilter.inf_amd64_ca1148cff9a7eea6\HidEventFilter.sys
    File Attributes   : A
    Service Name      : HidEventFilter
    Service Display Name: @oem30.inf,%HidEventFilter%;Intel(R) HID Event Filter
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : iaLPSS2_GPIO2.sys
    Address           : 0x35D50000
    End Address       : 0x35D70000
    Size              : 0x00020000
    Load Count        : 1
    Index             : 121
    File Type         : System Driver
    Description       : Intel(R) Serial IO GPIO Driver v2
    Version           : 30.100.1916.1
    Company           : Intel Corporation
    Product Name      : Intel(R) Serial IO Driver
    Modified Date     : 2019/05/09 7:59:14
    Created Date      : 2020/03/06 23:52:52
    Filename          : C:\Windows\System32\DriverStore\FileRepository\ialpss2_gpio2_icl.inf_amd64_5dfe4459ccf69034\iaLPSS2_GPIO2.sys
    File Attributes   : A
    Service Name      : iaLPSS2_GPIO2
    Service Display Name: @oem80.inf,%iaLPSS2_GPIO2.SVCDESC%;Intel(R) Serial IO GPIO Driver v2
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : iaLPSS2_I2C.sys
    Address           : 0x38160000
    End Address       : 0x38191000
    Size              : 0x00031000
    Load Count        : 1
    Index             : 105
    File Type         : System Driver
    Description       : Intel(R) Serial IO I2C Driver v2
    Version           : 30.100.1916.1
    Company           : Intel Corporation
    Product Name      : Intel(R) Serial IO Driver
    Modified Date     : 2019/05/09 7:59:22
    Created Date      : 2020/03/06 23:52:52
    Filename          : C:\Windows\System32\DriverStore\FileRepository\ialpss2_i2c_icl.inf_amd64_04e193b8806eca82\iaLPSS2_I2C.sys
    File Attributes   : A
    Service Name      : iaLPSS2_I2C
    Service Display Name: @oem81.inf,%iaLPSS2_I2C.SVCDESC%;Intel(R) Serial IO I2C Driver v2
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : iaStorAC.sys
    Address           : 0x2EA30000
    End Address       : 0x2F5C8000
    Size              : 0x00b98000
    Load Count        : 1
    Index             : 44
    File Type         : System Driver
    Description       : Intel(R) Rapid Storage Technology driver - x64
    Version           : 17.5.3.1026
    Company           : Intel Corporation
    Product Name      : Intel(R) Rapid Storage Technology driver
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\iaStorAC.sys
    File Attributes   : 
    Service Name      : iaStorAC
    Service Display Name: @oem85.inf,%iaStorAC.DeviceDesc%;Intel(R) Chipset SATA/PCIe RST Premium Controller
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : igdkmdn64.sys
    Address           : 0x383D0000
    End Address       : 0x396FA000
    Size              : 0x0132a000
    Load Count        : 1
    Index             : 96
    File Type         : Display Driver
    Description       : Intel Graphics Kernel Mode New Driver
    Version           : 26.20.100.7463
    Company           : Intel Corporation
    Product Name      : Intel HD Graphics Drivers for Windows(R)
    Modified Date     : 2019/11/12 21:44:42
    Created Date      : 2020/03/27 12:11:55
    Filename          : C:\Windows\System32\DriverStore\FileRepository\iigd_dch.inf_amd64_02cb1e2f1d9586a9\igdkmdn64.sys
    File Attributes   : A
    Service Name      : igfxn
    Service Display Name: 
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : IntcAudioBus.sys
    Address           : 0x35BE0000
    End Address       : 0x35C26000
    Size              : 0x00046000
    Load Count        : 1
    Index             : 116
    File Type         : Sound Driver
    Description       : IntelR Smart Sound Technology (IntelR SST) Bus
    Version           : 10.24.0.2844
    Company           : Intel(R) Corporation
    Product Name      : IntelR Smart Sound Technology (IntelR SST) Bus
    Modified Date     : 2019/08/22 12:22:02
    Created Date      : 2020/03/06 23:50:13
    Filename          : C:\Windows\System32\DriverStore\FileRepository\intcaudiobus.inf_amd64_0bb5d8df3fdd830c\IntcAudioBus.sys
    File Attributes   : A
    Service Name      : IntcAudioBus
    Service Display Name: @oem1.inf,%IntcAudioBus.SVCDESC%;インテル(R) スマート・サウンド・テクノロジー・バス
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : IntcDAud.sys
    Address           : 0x340E0000
    End Address       : 0x3413A000
    Size              : 0x0005a000
    Load Count        : 1
    Index             : 144
    File Type         : Sound Driver
    Description       : Intel(R) Display Audio Driver
    Version           : 11.1.0.12
    Company           : Intel(R) Corporation
    Product Name      : Intel(R) Display Audio
    Modified Date     : 2019/11/12 21:45:02
    Created Date      : 2020/03/27 12:11:38
    Filename          : C:\Windows\System32\DriverStore\FileRepository\intcdaud.inf_amd64_a4536c3a7e55c2c4\IntcDAud.sys
    File Attributes   : 
    Service Name      : IntcDAud
    Service Display Name: @oem108.inf,%IntcAud.SvcDesc%;インテル(R) ディスプレイ用オーディオ
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : IntcOED.sys
    Address           : 0x35010000
    End Address       : 0x35139000
    Size              : 0x00129000
    Load Count        : 1
    Index             : 141
    File Type         : Sound Driver
    Description       : IntelR Smart Sound Technology (IntelR SST) OED
    Version           : 10.24.0.2844
    Company           : Intel(R) Corporation
    Product Name      : IntelR Smart Sound Technology (IntelR SST) OED
    Modified Date     : 2019/08/22 12:22:06
    Created Date      : 2020/03/06 23:50:13
    Filename          : C:\Windows\System32\DriverStore\FileRepository\intcoed.inf_amd64_a93e42d2a3b31a2d\IntcOED.sys
    File Attributes   : A
    Service Name      : IntcOED
    Service Display Name: @oem4.inf,%IntcOED.SVCDESC%;インテル(R) スマート・サウンド・テクノロジー OED
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : Qcamain10x64.sys
    Address           : 0x35940000
    End Address       : 0x35BDD000
    Size              : 0x0029d000
    Load Count        : 1
    Index             : 109
    File Type         : Network Driver
    Description       : Qualcomm Atheros Extensible Wireless LAN device driver
    Version           : 12.0.0.916
    Company           : Qualcomm Atheros, Inc.
    Product Name      : Driver for Qualcomm Atheros QCA61x4/QCA9377 Network Adapter
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\Qcamain10x64.sys
    File Attributes   : 
    Service Name      : Qcamain10x64
    Service Display Name: @oem32.inf,%ATHR.Service.DispName%;Qualcomm Extensible Wireless LAN 11AC device driver
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : rt640x64.sys
    Address           : 0x38210000
    End Address       : 0x3832B000
    Size              : 0x0011b000
    Load Count        : 1
    Index             : 108
    File Type         : Network Driver
    Description       : Realtek 8125/8136/8168/8169 NDIS 6.40 64-bit Driver
    Version           : 10.35.510.2019
    Company           : Realtek
    Product Name      : Realtek 8125/8136/8168/8169 PCI/PCIe Adapters
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\System32\drivers\rt640x64.sys
    File Attributes   : 
    Service Name      : rt640x64
    Service Display Name: @oem33.inf,%rt640.Service.DispName%;Realtek RT640 NT Driver
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : RTKVHD64.sys
    Address           : 0x33A00000
    End Address       : 0x340D9000
    Size              : 0x006d9000
    Load Count        : 1
    Index             : 143
    File Type         : Sound Driver
    Description       : Realtek(r) High Definition Audio Function Driver
    Version           : 6.0.8781.1
    Company           : Realtek Semiconductor Corp.
    Product Name      : Realtek(r) High Definition Audio Function Driver
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\system32\drivers\RTKVHD64.sys
    File Attributes   : 
    Service Name      : IntcAzAudAddService
    Service Display Name: Service for Realtek HD Audio (WDM)
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : SmbCo10X64.sys
    Address           : 0x3FFA0000
    End Address       : 0x458D5000
    Size              : 0x05935000
    Load Count        : 1
    Index             : 207
    File Type         : Network Driver
    Description       : SmartByte Traffic Control Callout Driver
    Version           : 9.2.3.53
    Company           : Rivet Networks, LLC.
    Product Name      : SmartByte Traffic Control
    Modified Date     : N/A
    Created Date      : N/A
    Filename          : C:\Windows\system32\DRIVERS\SmbCo10X64.sys
    File Attributes   : 
    Service Name      : SmbCoSvc
    Service Display Name: SmbCoSvc
    Digital Signature : 
    ==================================================

    ==================================================
    Driver Name       : TeeDriverW8x64.sys
    Address           : 0x381C0000
    End Address       : 0x38200000
    Size              : 0x00040000
    Load Count        : 1
    Index             : 107
    File Type         : System Driver
    Description       : Intel(R) Management Engine Interface
    Version           : 1910.13.0.1060
    Company           : Intel Corporation
    Product Name      : Intel(R) Management Engine Interface
    Modified Date     : 2019/09/26 17:25:32
    Created Date      : 2019/09/26 17:25:32
    Filename          : C:\Windows\System32\DriverStore\FileRepository\heci.inf_amd64_db60facf878d7699\x64\TeeDriverW8x64.sys
    File Attributes   : A
    Service Name      : MEIx64
    Service Display Name: @oem93.inf,%TEE_SvcDesc%;Intel(R) Management Engine Interface 
    Digital Signature : 
    ==================================================

    [小生の愚考]

    おそらく、グーグル先生にご教授頂いたところ、USBSTOR.inf等のアクセス権ではないかと考えております。

    また、当該端末はDELLの製品であり、問い合わせ初回の4月6日には、アンインストールしましたが、DELL Command Monitarによる影響があったのではないかと考えております。

    [DELL Command Monitarの概要]

    http://dell.com/support/home/jp/ja/jpbsd1/drivers/driversdetails?driverid=yw3jj

    P.S.

    今回は、事象が実に面白く理由を理解の上導きたいとの思いが日に日にましております。

    ご助言に頂き勉強に励みスキルアップしていきたいと強く感じております。



    2020年4月17日 7:29
  • なんか、ものすごく不自然な挙動ですね。。。。
    "DriverView" で採取してもらったログですが、やっぱり怪しそうなドライバは出てきませんね。
    とりあえず下記サイトを参考に、Process Monitor を使って、"CurrentControlSet" キー配下の usbstor "Start" 値を 4 に変更する直前から再起動ログオン後までのキャプチャを採取してください。
    --------------------------------------------------
    Process Monitor で OS 起動時のログを採取する手順
    https://social.msdn.microsoft.com/Forums/windowshardware/en-US/410e6a67-0d97-451f-b24e-f9974c280924/process-monitor-12391-os?forum=wdksupportteamja
    --------------------------------------------------
    2020年4月17日 8:46
  • お馬鹿様

    今週も有り難うございました。

    ご指示頂きましたProcess Monitorによるログ回収を週明け月曜日に行います。

    因みに、今ControlSet001とCurrentControlSetのstartは4です。

    手順としては、3に戻してから4に戻す作業になると思いますが、

    ログ回収は一旦3に戻すときは不要で、3から4に設定するときのみと考えて宜しいでしょうか。

    今週一週間のご対応頂いた事に改めて感謝します。

    それではよい週末を。

    2020年4月17日 14:20
  • > 手順としては、3に戻してから4に戻す作業になると思いますが、
    > ログ回収は一旦3に戻すときは不要で、3から4に設定するとき
    > のみと考えて宜しいでしょうか。

    はい、"Start" 値を 3 に戻して以降から "Process Monitor" のキャプチャを開始し、"Start" 値を 4 に変更し再起動および再ログオン後に、キャプチャを終了させてください。
    キャプチャ ログを採取したら以下のフィルタ設定を行い、その結果を教えてください。
    -------------------------------------------
    <"Process Monitor" フィルタ条件>
    "Operation" "is"       "RegSetValuse" then "Include" ===> Add & Apply
    "Path"      "contains" "usbstor"         then "Include" ===> Add & Apply
    -------------------------------------------

    これで "Start" 値を書き換えているプロセスあるいはドライバを特定できなかったら、あとは KdNet で問題の起きている PC にカーネル デバッガを接続させてライブトレースする以外に、有効な調査方法が思い浮かばない。。。。
    2020年4月20日 0:56
  • お馬鹿様

    お世話になっております、

    ご指定の条件にてキャプチャーログ回収しましたので、下記記載いたします。

    条件はandで考えておりました間違ってましたら申し訳ありません。

    [Time of Day] 05:46.1
    [Process Name] regedit.exe
    [PID] 4440
    [Operation] RegSetValue
    [Path] HKLM\System\CurrentControlSet\Services\USBSTOR\Start
    [Result] SUCCESS
    [Detail]Type: REG_DWORD, Length: 4, Data: 4

    報告は以上となります。

    [小生の愚考及び反省]

    ログの結果より、startは4に成功したことは類推できますが、それ以外はわからないことから

    フィルター条件はandではなくorで考えるべきだったと考えました。

    ただ、業務の都合、システム管理と兼務になっております、本日はここまでしかできませんでした。

    orについては明日改めて回収いたします。

    2020年4月20日 7:25
  • うーん。。。。やっぱり "Start" 値を書き換えている形跡はにあたりませんか。。。。
    "Process Monitor" のフィルタ条件を OR で行う必要はありませんが、下記条件を追加 (AND 条件) して再度確認していただけますか?
    -------------------------------------------
    <"Process Monitor" フィルタ条件>
    "Operation" "is"       "RegOpenKey"      then "Include" ===> Add & Apply
    "Operation" "is"       "RegQueryValuse" then "Include" ===> Add & Apply
    "Operation" "is"       "RegSetValuse"     then "Include" ===> Add & Apply
    "Path"      "contains" "usbstor"             then "Include" ===> Add & Apply
    -------------------------------------------

    それから、以前に採取した完全メモリ ダンプを再度 WinDbg で開き、下記コマンドを実行しその出力結果をコピペしてください。
    -------------------------------------------
    <"WinDbg Preview" 上で実行するコマンド>
    .reload
    !chkimg nt -db
    lmDvm nt
    -------------------------------------------

    • 編集済み お馬鹿 2020年4月21日 0:51
    2020年4月21日 0:22
  • お馬鹿様
    お世話になっております。

    本日は、memorydumpのみとしプロセスログは添付しておりません。申し訳ありません。

    手順に誤りがあると考えられましたので、改めてログ添付する予定でしたが、terapad等でも大きすぎるため開くことができない旨のメッセージを確認しました。

    詳細は下記[作業手順][回収手順][damp]をご高覧のほどお願い致します。

    明日引き続き回収したファイルを開くよう試みます。
    添付できず申し訳ありません。

    [作業手順]
    1.curretncontrolset及び、controlset001start:4に変更
    2.再起動
    3.curretncontrolset及び、controlset001start:3に変更
    4.Processmonitor起動。下記手順に通りに実施
    1)Procmon.exe実行
    2)虫眼鏡のアイコンをクリックし、虫眼鏡のアイコンに×が表示されることを確認
    3)ClearDisplay実施、表示が消えることを確認
    4)Option>Enable Boot Loggingを選択
    5)OK
    5.curretncontrolset及び、controlset001start:4に変更
    6.再起動
    7.ログ取得
    1)Procmon.exe実行
    2)ログ取得。
    下記条件にてフィルターを行い[回収手順]の通りにログ取得。
    <"Process Monitor" フィルタ条件>
     "Operation" "is"       "RegOpenKey"      then "Include" ===> Add & Apply
     "Operation" "is"       "RegQueryValuse" then "Include" ===> Add & Apply
     "Operation" "is"       "RegSetValuse"     then "Include" ===> Add & Apply
     "Path"      "contains" "usbstor"             then "Include" ===> Add & Apply


    8.USBメモリにログファイルを保存し、回収

    [回収手順]
    1.保存メニュー>alleventにてフィルター条件すべてについてxml・PMLで保存(xmlファイル:1.23 GB )
    2.保存メニュー>Eventdisplayn using currentにてフィルター条件すべてについてxml・PMLで保存(xmlファイル:506 MB)


    [damp]

    Microsoft (R) Windows Debugger Version 10.0.19528.1000 AMD64
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [C:\Users\sagyou\Documents\a\MEMORY.DMP]
    Kernel Bitmap Dump File: Full address space is available

    Symbol search path is: srv*
    Executable search path is:
    Windows 10 Kernel Version 18362 MP (8 procs) Free x64
    Product: WinNt, suite: TerminalServer SingleUserTS
    18362.1.amd64fre.19h1_release.190318-1202
    Machine Name:
    Kernel base = 0xfffff801`17e00000 PsLoadedModuleList = 0xfffff801`18248170
    Debug session time: Tue Apr 14 16:20:35.232 2020 (UTC + 9:00)
    System Uptime: 0 days 1:35:55.986
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ................................................................
    ................
    Loading User Symbols
    ...............................................................
    Loading unloaded module list
    .....................
    For analysis of this file, run !analyze -v
    nt!KeBugCheckEx:
    fffff801`17fc2360 48894c2408      mov     qword ptr [rsp+8],rcx ss:0018:ffffb988`f79ea6c0=000000000000000a

    Loading Dump File [C:\Users\sagyou\Documents\a\MEMORY.DMP]
    Kernel Bitmap Dump File: Full address space is available

    Can't set dump file contexts
    MachineInfo::SetContext failed - Thread: 0000021B73A061D0  Handle: 7  Id: 7 - Error == 0x8000FFFF

    ************* Path validation summary **************
    Response                         Time (ms)     Location
    Deferred                                       srv*
    Symbol search path is: srv*
    Executable search path is:
    Windows 10 Kernel Version 18362 MP (8 procs) Free x64
    Product: WinNt, suite: TerminalServer SingleUserTS
    18362.1.amd64fre.19h1_release.190318-1202
    Machine Name:
    Kernel base = 0xfffff801`17e00000 PsLoadedModuleList = 0xfffff801`18248170
    Debug session time: Tue Apr 14 16:20:35.232 2020 (UTC + 9:00)
    System Uptime: 0 days 1:35:55.986
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ................................................................
    ................
    Loading User Symbols
    ...............................................................
    Loading unloaded module list
    .....................
    nt!KeBugCheckEx:
    fffff801`17fc2360 48894c2408      mov     qword ptr [rsp+8],rcx ss:0018:ffffb988`f79ea6c0=000000000000000a

    Loading Dump File [C:\Users\sagyou\Documents\a\MEMORY.DMP]
    Kernel Bitmap Dump File: Full address space is available

    Can't set dump file contexts
    MachineInfo::SetContext failed - Thread: 0000021B73A08CF0  Handle: 7  Id: 7 - Error == 0x8000FFFF

    ************* Path validation summary **************
    Response                         Time (ms)     Location
    Deferred                                       srv*
    Symbol search path is: srv*
    Executable search path is:
    Windows 10 Kernel Version 18362 MP (8 procs) Free x64
    Product: WinNt, suite: TerminalServer SingleUserTS
    18362.1.amd64fre.19h1_release.190318-1202
    Machine Name:
    Kernel base = 0xfffff801`17e00000 PsLoadedModuleList = 0xfffff801`18248170
    Debug session time: Tue Apr 14 16:20:35.232 2020 (UTC + 9:00)
    System Uptime: 0 days 1:35:55.986
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ................................................................
    ................
    Loading User Symbols
    ...............................................................
    Loading unloaded module list
    .....................
    nt!KeBugCheckEx:
    fffff801`17fc2360 48894c2408      mov     qword ptr [rsp+8],rcx ss:0018:ffffb988`f79ea6c0=000000000000000a
    ||2:6: kd> .reload
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    ................................................................
    ................
    Loading User Symbols
    ...............................................................
    Loading unloaded module list
    .....................
    ||2:6: kd> !chkimg nt -db
    5 errors : nt (fffff80118370799-fffff801183707a2)
    fffff80118370790  00  00  00  00  00  00  00  00  e0 *ad *fc  17  01  f8  ff  ff ................
    fffff801183707a0 *30 *ae *fc  17  01  f8  ff  ff  38  10  57  00  00  00  00  00 0.......8.W.....
    ||2:6: kd> lmDvm nt
    Browse full module list
    start             end                 module name
    fffff801`17e00000 fffff801`188b7000   nt         (pdb symbols)          C:\ProgramData\Dbg\sym\ntkrnlmp.pdb\E7477A03A7078050CB7936455CE346B51\ntkrnlmp.pdb
        Loaded symbol image file: ntkrnlmp.exe
        Image path: ntkrnlmp.exe
        Image name: ntkrnlmp.exe
        Browse all global symbols  functions  data
        Image was built with /Brepro flag.
        Timestamp:        CB080304 (This is a reproducible build file hash, not a timestamp)
        CheckSum:         0097988A
        ImageSize:        00AB7000
        Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
        Information from resource tables:


    • 編集済み kazulosu 2020年4月21日 9:18 書き損じのため
    2020年4月21日 8:44
  • ファイルが開けなかった理由はファイルサイズの可能性がありました。

    明日テキストエディタを変えて実施します。

    下記ご高覧のほどお願いします。

    テキストエディタの大ファイル事情【2017年Windows編】

    https://qiita.com/asny23/items/58708e063fc3bf19e3a8


    • 編集済み kazulosu 2020年4月21日 9:26
    2020年4月21日 9:23
  • そのダンプ ファイルに対して下記コマンドを実行し、出力結果をコピペしてください。
    -------------------------------------------
    <"WinDbg Preview" 上で実行するコマンド>
    u fffff80117fcade0
    u fffff80117fcae30
    -------------------------------------------
    2020年4月21日 9:31
  • お馬鹿様
    明日この通り実行いたします。
    因みに破損した何がfffff80117fcade0からfffff80117fcae30にあると推測されておられるのでしょうか。

    ログを見ると下記[ログ抜粋]の内容から
    次のように愚考しました。間違っていましたら、申し訳ありません。
    ・Kernelは、0xfffff801`17e00000以降のメモリに割り当てられている。
    ・そこにstart4を無効にする何かがある。
    ・fffff801`17e00000~ fffff801`188b7000にデバイスの詳細がある。
    ・0xfffff801`18248170にデバイスの一覧がある。
    ・Start4を無効にした何が破損している。
    ・その破損したファイルの修復を考えておられる。
    [ログ抜粋]
    Kernel base = 0xfffff801`17e00000
     PsLoadedModuleList = 0xfffff801`18248170
    lmDvm nt
    Browse full module list
    start             end                 module name
    fffff801`17e00000 fffff801`188b7000   

    [参考にしたURL]
    https://docs.microsoft.com/ja-jp/windows-hardware/drivers/debugger/-chkimg
    2020年4月21日 13:05
  • > 因みに破損した何がfffff80117fcade0からfffff80117fcae30に
    > あると推測されておられるのでしょうか。

    破損していると考えている訳ではありません。
    (そもそも NT カーネルが破損した場合は、即 BSOD です。)
    SSDT (System Service Descriptor Table) に、書き換えられた形跡がないかを確認したいのです。
    あくまでも私見ですが。。。
    今回の現象において、usbstor ドライバの Start 値を 4 に書き換えたのにも関わらず、この値が 3 のときと同じ挙動していることが、本質的な問題だと考えています。
    Service Control Manager は、レジストリ内に保持されている Start 値に従って、対応するドライバのロードの有無およびそのタイミングを決定しているはずです。
    となると、RegEdit プロセス等の User Process に対しては Start 値が 4 であるように見せかけて、Services プロセスには Start 値 3 を通知している何かがいるのではないか、というのが現段階での私の推測です。
    もしそのような何かが存在する場合、この現象を実現する方法として、以下の2つのいずれかが考えられると思います。

    ☆ レジストリ アクセス監視用のコールバック ルーチンの登録
    ☆ SSDT 内のレジストリ関連サービス関数の書き換え

    前者はカーネル モード デバッグでトレースする以外に、確実に確認する方法はありません。
    後者は、SSDT を書き換えた痕跡が残る可能性があるのでそれを確認したい。。。ということです。
    2020年4月22日 1:36
  • お馬鹿様
    ご指示のありましたログ下記に記載いたします。
    ご高覧の程お願い致します。
    これはアセンブリ言語と呼べばいいかはわからないのですが、
    知識がなく丸投げになる事お許しください。

    また、Processモニターのログですが、HxDと言うアプリで内容の閲覧はできました。しかし、Wordで調べましたが文字数20000以下ですが、テックネットの投稿の文字数制限4-60000により記載出来ておりません。

    [HxDについて]

    https://www.it-swarm.dev/ja/windows/%E5%A4%A7%E3%81%8D%E3%81%AA%EF%BC%88%E5%B7%A8%E5%A4%A7%E3%81%AA%E3%80%81%E5%B7%A8%E5%A4%A7%E3%81%AA%E3%80%81%E5%A4%A7%E3%81%8D%E3%81%AA%EF%BC%89%E3%83%86%E3%82%AD%E3%82%B9%E3%83%88%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%82%92%E9%96%8B%E3%81%8F%E3%81%9F%E3%82%81%E3%81%AE%E3%83%86%E3%82%AD%E3%82%B9%E3%83%88%E3%82%A8%E3%83%87%E3%82%A3%E3%82%BF/958370445/

    [ログ]

    ||2:6: kd> u fffff80117fcade0
    nt!guard_check_icall:
    fffff801`17fcade0 488b15791a3c00  mov     rdx,qword ptr [nt!guard_icall_bitmap (fffff801`1838c860)]
    fffff801`17fcade7 4885c9          test    rcx,rcx
    fffff801`17fcadea 7d39            jge     nt!guard_check_icall+0x45 (fffff801`17fcae25)
    fffff801`17fcadec 4885d2          test    rdx,rdx
    fffff801`17fcadef 741d            je      nt!guard_check_icall+0x2e (fffff801`17fcae0e)
    fffff801`17fcadf1 4c8bd1          mov     r10,rcx
    fffff801`17fcadf4 49c1ea09        shr     r10,9
    fffff801`17fcadf8 4a8b14d2        mov     rdx,qword ptr [rdx+r10*8]
    ||2:6: kd> u fffff80117fcae30
    nt!guard_dispatch_icall:
    fffff801`17fcae30 4c8b1d291a3c00  mov     r11,qword ptr [nt!guard_icall_bitmap (fffff801`1838c860)]
    fffff801`17fcae37 4885c0          test    rax,rax
    fffff801`17fcae3a 0f8d7a000000    jge     nt!guard_dispatch_icall+0x8a (fffff801`17fcaeba)
    fffff801`17fcae40 4d85db          test    r11,r11
    fffff801`17fcae43 741c            je      nt!guard_dispatch_icall+0x31 (fffff801`17fcae61)
    fffff801`17fcae45 4c8bd0          mov     r10,rax
    fffff801`17fcae48 49c1ea09        shr     r10,9
    fffff801`17fcae4c 4f8b1cd3        mov     r11,qword ptr [r11+r10*8]

    • 編集済み kazulosu 2020年4月22日 8:48 加筆のため2020/4/22 17:48頃
    2020年4月22日 4:38
  • うーーーん、レジストリ関連サービス関数をフックしている形跡はありませんね。。。。
    今更ですが PC の再起動は、「再起動」のメニューを選んでるんですよね?
    つまり、電源メニューで「シャットダウン」を選択して PC 電源が落ちた後に電源を再投入してるのではなく、電源メニューで「再起動」を選択して行っているんですよね?
    2020年4月22日 8:40
  • はい。間違いなく、[スタート]>[電源メニュー]>[再起動]です。

    一般的な方法により再起動をしてます。

    因みに回収したプロセスメモリ、すべては無理ですが、

    限定すれば可能と考えています。

    ダンプとおなじ、fffff80117fcade0~ fffff80117fcae30辺りのログだけに限定しログ提出しましょうか

     u fffff80117fcade0のログを記載しました投稿に下記加筆し訂正しました。

    見落とされてましたら申し訳ありません。

    [加筆内容]

    また、Processモニターのログですが、HxDと言うアプリで内容の閲覧はできました。しかし、Wordで調べましたが文字数20000以下ですが、テックネットの投稿の文字数制限4-60000により記載出来ておりません。

    • 編集済み kazulosu 2020年4月22日 9:08 加筆訂正のため
    2020年4月22日 8:55
  • > また、Processモニターのログですが、
    > HxDと言うアプリで内容の閲覧はできました。

    なんか、勘違いしているような。。。。とりあえず、Process Minitor のログはいいです。

    それにしても、原因がさっぱりわからない。
    何か見落としているかもしれないので、採取するのが面倒かもしれませんが、下記情報の提供をお願いします。
    ------------------------------------------------
    <確認して欲しい項目>

    ☆ 起動している 3rd ベンダー製サービスおよびスタートアップ プログラムの確認
    msconfig.exe を起動し、"サービス" タブと "スタートアップ" タブにリストされているプログラムを教えて下さい。
    なお "サービス" タブにつては、3rd ベンダー製サービスのみを列挙してください。

    ☆ 完全メモリ ダンプの再確認
    下記コマンドを実行しダンプ ログ ファイル (dump.log) を採取し、そのログ ファイルをどこかのオンライン ストレージ上にアップしてください。
    +++++++++++++++++++++++++++++++++++
    <実行するコマンド>
    .reload
    .cls
    .logopen /t "C:\Users\<Logon Account Name>\dump.log"
    !dh -f btfilter
    !dh -f dptf_acpi
    !dh -f dptf_cpu
    !dh -f esif_lf
    !dh -f HidEventFilter
    !dh -f iaLPSS2_GPIO2
    !dh -f iaLPSS2_I2C
    !dh -f iaStorAC
    !dh -f igdkmdn64
    !dh -f IntcAudioBus
    !dh -f IntcDAud
    !dh -f IntcOED
    !dh -f Qcamain10x64
    !dh -f rt640x64
    !dh -f RTKVHD64
    !dh -f SmbCo10X64
    !dh -f TeeDriverW8x64
    !process 0 0
    lmi
    .logclose
    +++++++++++++++++++++++++++++++++++
    ☆ 上記 ".logopen" コマンドの <Logon Account Name> は、Windows ログオン時のアカウント名です。
    ("dump.log" を公開する前に、このログ データの中に PC ホスト名やアカウント名か含まれていないか、事前に確認してください。)
    ------------------------------------------------
    2020年4月23日 3:01
  • お馬鹿様
    毎日有り難うございます。
    明日下記の[作業手順]で実施します。

    念のため確認させていただきたいのですが、
    データの中に PC ホスト名やアカウント名か含まれていないか確認する。とありますが、

    これは〈実行するコマンド〉lmiの後に下記[追加コマンド]を実行すれば宜しいでしょうか。
    恥ずかしながらデバッグを知らず具体的な方法が分かりません。

    [追加コマンド]
    s 〈半角スペース〉〈コンピュータ名〉
    s〈半角スペース〉〈ユーザー名〉

    [参考URL]
    s (メモリの検索)
    https://docs.microsoft.com/ja-jp/windows-hardware/drivers/debugger/s--search-memory-

    [作業手順]
    1.ファイル名をして実行>msconfig
    2.[システム構成]>[サービス]タグ
    3.☑️Microsoftのサービスをすべて隠す
    4.スクリーンショット
    5.[スタートアップ]タグ>[タスクマネージャーを開く]を選択
    6.[タスクマネージャー]>[スタートアップ]タグ
    7.スクリーンショット
    8.タスクマネージャーを閉じる
    9.[システム構成]をキャンセルで閉じる
    10.WinDbgを起動する
    11.〈実行するコマンド〉に記載のコマンドを実行する
    12.データの中に PC ホスト名やアカウント名か含まれていないか確認する。
    13.https://gigafile.nu/ へのアップロードする。

    2020年4月23日 14:27
  • > 念のため確認させていただきたいのですが、
    > データの中に PC ホスト名やアカウント名か含まれていないか確認する。
    > とありますが、これは〈実行するコマンド〉lmiの後に下記[追加コマンド]を
    > 実行すれば宜しいでしょうか。

    違います。
    WinDbg 上で先に示したコマンドを実行すると、"C:\Users\<Logon Account Name>" フォルダに "dump.log" というテキスト ファイルが生成されるので、それをメモ帳 (notepad.exe) 等のテキスト エディタで開き、PC ホスト名やアカウント名等が含まれている場合は削除し、その上で "dump.log" をオンライン ストレージ上にアップしてください。。。ということです。
    もっとも先に示したコマンドでは、その出力結果に、PC ホスト名やアカウント名等が含まれることは無いとは思います。
    (「個人情報を不正に入手しようとしている!!」と騒ぎ出すアホが昔居たので、一応念のため。)
    2020年4月24日 0:18
  • お馬鹿様お世話になっております。
    ご指示のありましたログ提出致します。よろしくお願い致します。
    ご高覧の程お願い致します。

    個人情報等かどうかは分かりませんが、ログファイル内は%username%または、%compuntername%に変更しました。
    画面コピーですが、一部加工しております。
    業務で使用している基幹ソフト名から社名が特定される可能性がありますので、ご理解の程お願い致します。
    また、同じ画面が続くのは、サービス名が一部隠れておりましたので、隠れているサービス名を表示させたときのスクリーンショットです。

    [dump.log]
    https://31.gigafile.nu/0501-badbbf4555bc91fd1cc258eeebe87eb5b
    パスワード:424
    ダウンロード期限:2020年5月1日(金)

    [作業手順]
    1.ファイル名をして実行>msconfig
    2.[システム構成]>[サービス]タグ
    3.☑️Microsoftのサービスをすべて隠す
    4.スクリーンショット
    5.[スタートアップ]タグ>[タスクマネージャーを開く]を選択
    6.[タスクマネージャー]>[スタートアップ]タグ
    7.スクリーンショット
    8.タスクマネージャーを閉じる
    9.[システム構成]をキャンセルで閉じる
    10.WinDbgを起動する
    11.〈実行するコマンド〉に記載のコマンドを実行する
    12.dump.logより%computername%、%username%がないことを確認し、リネーム。
    13.https://gigafile.nu/ へすべてのログをアップロード。

    (画像およびURLの記載ができないため、ログはFTPサーバーにアップしました。後日設定いたします。申し訳ありません)

    2020年4月24日 6:06
  • 下記コマンドを実行しダンプ ログ ファイル (dump.log) を採取し、そのログ ファイルを再度アップしてください。
    +++++++++++++++++++++++++++++++++++
    <実行するコマンド>
    .reload
    .cls
    .logopen /t "C:\Users\<Logon Account Name>\dump.log"
    dqs btfilter+0xB000 l(0x270/0x08)
    dqs dptf_acpi+0xA000 l(0x118/0x08)
    dqs dptf_cpu+0x9000 l(0x108/0x08)
    dqs esif_lf+0x4C000 l(0x1f0/x08)
    dqs HidEventFilter+0xD000 l(0xb0/0x08)
    dqs iaLPSS2_GPIO2+0x12000 l(0xe8/0x08)
    dqs iaLPSS2_I2C+0x20000 l(0xc0/0x08)
    dqs iaStorAC+0xE4000 l(0x3f8/0x08)
    dqs igdkmdn64+0x695000 l(0x698/0x08)
    dqs IntcAudioBus+0x29000 l(0x238/0x08)
    dqs IntcDAud+0xB000 l(0x1e8/0x08)
    dqs IntcOED+0x60000 l(0x308/0x08)
    dqs Qcamain10x64+0x1B5000 l(0x570/0x08)
    dqs rt640x64+0x10D000 l(0x3f8/0x08)
    dqs RTKVHD64+0x211000 l(0x550/0x08)
    dqs SmbCo10X64+0x18000 l(0x310/0x08)
    dqs TeeDriverW8x64+0x2E000 l(0x1f8/0x08)
    lmDv
    .logclose
    +++++++++++++++++++++++++++++++++++

    なお先のダンプ ログに、再起動時に usbstor ドライバがロードされた痕跡がばっちり残っていました。
    再起動するまでの間。。。つまり "Start" 値を 4 に変更してから、"NotMyFault" でシステム クラッシュさせるまでの間、USB 経由のストレージ デバイス (DVD/CD ドライブ, HDD, メモリ, SD カード, etc.) は接続していないはずなので、やはり usbstor ドライバを明示的にロードさせている「何か」が存在しているようです。
    その「何か」を特定できれば、本現象は改善できると思います。
    ちなみに、問題 PC には下記 USB デバイスが接続されていると思いますが、取り外し可能なモノをすべて取り外した状態で、問題現象が起きるか確認してみてください。
    -------------------------------
    ☆ Realtek Web Camera
    DeviceInst is "USB\VID_0BDA&PID_5520\200901010001"
    ☆ Lenovo HID Mouse
    DeviceInst is "USB\VID_17EF&PID_608D\5&37ea2673&0&3"
    ☆ Dell Wireless 1810 Bluetooth 4.0LE
    DeviceInst is "USB\VID_0CF3&PID_E009\5&37ea2673&0&10"
    ☆ USB 3.0 Root Hub
    DeviceInst is "USB\ROOT_HUB30\4&380e247e&0&0"
    -------------------------------
    2020年4月24日 7:03
  • お馬鹿様

    追加ログアップロード完了しました。

    ご確認お願い致します。

    事象の確認は諸事情があり週明け月曜日に行います。

    先ほどと同様%username%に変更済みです。

    [ログ]

    https://11.gigafile.nu/0501-da9af266478cac2a1db4b14f7d88a0736

    パスワードなし

    ダウンロード期限:2020年5月1日(金)

    2020年4月24日 7:23
  • 見落としてました。。。。
    へんなサービスとスタート アップ プログラムが登録されています。
    サービスとスタートアップに名前が空白なのがありますが、これは非常に怪しいです。
    簡単に止めることができるとは思いませんが、一応それら無効にしてどうなるかも試してみてください。
    根拠もなく無責任なことを言って不安を煽りたくなかったので、今まであえて言及しませんでしたが、クラック デバイスが存在している可能性があります。
    2020年4月24日 9:11
  • お馬鹿様

    すみません、社名が特定されるため小生が空白に加工したものです。

    1つは、基幹システムのメインのプログラムです。

    もう1つは、その基幹システムを動かす為のバッチファイルです。


    2020年4月24日 9:48
  • お馬鹿様
    ご指示いただきましたデバイスの取り外しをおこないましたが、
    事象変わらずで改善しておりません。
    該当端末は、ノート型パソコンで、BluetoothDiviceは付属しております。
    カメラ、デバイスはマウス以外取り外しが不可能な物です。
    実施した作業手順は下記のとおりです。

    [作業手順]
    1.デバイスマネージャー起動
      カメラ
        >Integrated Webcam :無効
      ネットワーク
        >BluetoothDivice(Peasonal Area Network)
      マウスとそのほかのポインティングデバイス
        >HID準拠マウス>無効
        >PS/2マウス>アンインストール
    2.マウス取り外し、取り外し可能なマウス以外のデバイスが刺さっていないことを確認
    3.USBSTOR>start :4を確認
    4.スタート>電源>再起動
    5.USBSTOR>start :4を確認
    6.USBメモリ挿入
    7.エクスプローラでUSBメモリの認識を確認
    2020年4月27日 5:58
  • 下記事項を実施してください。
    ----------------------------------------------------
    <手順>

    1. USB デバイスを取り外す。
    取り外せる USB デバイスは、全部取り外す。

    2. 環境変数を設定する。
    下記サイトを参考に、"devmgr_show_nonpresent_devices" 環境変数を設定し、phantom device を表示させる。
    ++++++++++++++++++++++++++++
    Windowsで接続されていないデバイスの情報を表示させる
    https://www.atmarkit.co.jp/ait/articles/0303/29/news003.html
    ++++++++++++++++++++++++++++

    3. ストレージ系の phantom Device を削除する。
    上記 1 の設定を行い Device Manager を立ち上げたら、下記デバイス クラス配下の「グレーアウト表示になっている」phantom device をすべて削除する。
    ++++++++++++++++++++++++++++
    [確認すべきデバイス クラス]
    ☆ "DVD/CD-ROM ドライブ"
    ☆ "ディスク ドライブ"
    ☆ "ポータブル デバイス"
    ☆ "ユニバーサル シリアル バス コントローラー"
    ☆ "記憶域ボリューム"
    ++++++++++++++++++++++++++++

    4. PC 再起動後の状態を確認する。
    PC 再起動後再度 Device Manager を起動し、"非表示のデバイスの表示" にチェックを入れ、上記 3 で示したデバイス クラスの配下に、「グレーアウト表示になっている」phantom device が列挙されているかを確認する。
    phantom device が存在する場合、プロパティを開き、「詳細」タブの "親" に表示されている "USB\VID_xxxx\PID_xxxx" の文字列を、ここにコピペしてください。
    ----------------------------------------------------

    • 編集済み お馬鹿 2020年4月27日 6:52 追記
    2020年4月27日 6:42
  • お馬鹿様
    本作業は未経験である事、そして基幹システムであるため、一旦別の端末で試してから実施したいと考えています。
    別の端末ですが、基幹システムに属さない端末(windows10 pro 64bit ver1909)があります。
    この端末も同様にusbstorが4であるが、usbメモリが認識する事象が発生しました。

    因みに作業は、下記の通り実施予定です。

    [作業手順]
    1、"devmgr_show_nonpresent_devices" 環境変数を設定し、phantom device を表示させる。
    2、ファントムデバイス表示
    3、デバイスクラス配下のphantom Deviceの削除
    ☆ "DVD/CD-ROM ドライブ"
    >microsoft 仮想DVD-ROM

    ☆ "ディスク ドライブ"
    >BUFFALO USB FLASH DISK USB DEVICE
    >ELECOM MF-APSU2A USB DEVICE
    >ELECOM MF-APSU2A USB DEVICE
    >SONY STORAGEMEDIA USB DEVICE

    ☆ "ポータブル デバイス"◀️phantom Device存在せず実施なし

    ☆ "ユニバーサル シリアル バス コントローラー"
    >USB COMPOSITE DEVICE
    >USB大容量記憶装置
    >USB大容量記憶装置
    >USB大容量記憶装置
    >USB大容量記憶装置

    ☆ "記憶域ボリューム"
    >記憶域ボリューム
    >記憶域ボリューム
    >記憶域ボリューム
    >記憶域ボリューム




    • 編集済み kazulosu 2020年4月28日 9:41 再度訂正の為
    2020年4月28日 9:33
  • 提示された手順で問題無いと思いますが、下記事項に注意してください。
    -----------------------------------------
    <注意事項>
    ☆ 先に提示した Device Manager 上の各デバイス クラス配下の phantom device は、全部削除してください。
    ☆ 私の方での一連の確認が終わるまで、USB デバイスは一切接続しないでください。
    ☆ 再起動後に "ユニバーサル シリアル バス コントローラー" 配下に phantom device が出現した場合、"C:\Windows\INF" フォルダにある "setupapi.dev.log" のタイムスタンプを確認し、更新されている場合はそのファイル内に "usbstor" に関連するログ情報が記録されてるか、確認してください。
    -----------------------------------------
    2020年4月30日 0:32
  • お馬鹿様

    追記の指示に従いUsbを接続しないことに注意を払い作業を進めます。

    因みに念のため確認させていただきたいのですが。

    記憶域シャドウコピークラス配下のphantom Deviceの削除は不要でしょうか。

    下記内容より、削除の必要性を感じています。

    https://answers.microsoft.com/ja-jp/windows/forum/all/%E8%A8%98%E6%86%B6%E5%9F%9F%E3%83%9C%E3%83%AA/330303f1-568c-4311-a499-fffcb6f28c25

    https://social.technet.microsoft.com/Forums/ja-JP/b6c96695-27a9-4ce9-be5c-1d16ba8d0d21?forum=Wcsupportja

    2020年4月30日 14:21
  • > 記憶域シャドウコピークラス配下のphantom Deviceの削除は不要でしょうか。
    > 下記内容より、削除の必要性を感じています。

    提示されたサイト情報を確認しましたが、なぜ削除の必要性を感じたのか、私には理解できませんでした。
    (そもそも、Microsoft Community のような「ごみ溜め」情報を信じる根拠が、私にはさっぱりわからない。)
    USB メモリのような Removable Storage Device に対して Shadow Copy Volume を作成するメリットが私には思い浮かびませんが、もしそのような運用をしているのであれば、消しても構わないのかもしれませんが、USB 接続以外の Shadow Copy Volume を削除しないよう、気を付ける必要があると思います。

    というか、今回のテストの目的はご理解いただけているのでしょうか?
    今回のテストの目的は。。。。
    前回採取してもらった完全メモリ ダンプでは、再起動後に USB Storage Device が一度接続されて取り外された形跡が残っていました。
    ですが、再起動後から完全メモリ ダンプを採取するまでの間、USB Storage Device は接続されていなかったはずです。
    つまり、PC 起動時に「一時的に接続される」表面的には確認できない USB Storage Device が存在しているのでは。。。。ということです。
    もしそのような USB Storage Device が存在してるのであれば、今回のテストで phantom device として、あるいは "setupapi.dev.log" のログ情報として検出できるのはと考え、今回のテストを提案したわけです。

    今回のテストは以前とは別の PC で行うとのことなので、あらかじめ「完全メモリ ダンプ」を採取できる設定をしといてください。
    再起動後に Device Manager および "setupapi.dev.log" の確認後、BSOD を発生させ「完全メモリ ダンプ」を採取し、下記コマンドの結果をアップロードしてください。("!process 0 1f" コマンドは、時間がかかります。)
    +++++++++++++++++++++++++++++++++++
    <実行するコマンド>
    .reload
    .cls
    .logopen /t "C:\Users\<Logon Account Name>\dump.log"
    !process 0 1f
    lmDv
    .logclose
    +++++++++++++++++++++++++++++++++++
    2020年5月1日 1:43
  • お馬鹿様
    今回は別の端末で試す方向で進めたいと考えております。
    なお手順は下記[作業手順]で進めます。
    社内の事情により、不具合の出ている端末は運用させねばならず、
    USBマウスは外し続けることは困難なため、この方向性で進めます。

    度々申し訳ありません。
    恥ずかしながら、4/8以降は知識・理解とも追いついておらず理解不十分で混乱していると感じています。
    デバック、シャドーコピー、記憶域ボリュームについても現段階十分に理解できておらず、
    この過去のスレッドより得た情報を参考に、日々少しづつ理解を進めているところです。
    申し訳ありません。
    無知で不勉強の小生にご指導ご教授頂ける事本当に感謝します。

    [作業手順]
    1.USBSTORが4であるがUSBが認識する異なる端末を用意する。
        i.USBSTOR:4であることを確認する。
       ii.USBメモリが認識することを確認する。
      iii.USBメモリが外れていることを確認する。
    2.phantom device削除
        i.コマンドプロンプトを起動し下記実行する
       C:\>set devmgr_show_nonpresent_devices=1
       C:\>start devmgmt.msc
       ii."devmgr_show_nonpresent_devices" 環境変数を設定し、phantom device を表示させる。
      iii.ファントムデバイス表示
       iv.デバイスクラス配下のphantom Deviceの削除
      ☆ "DVD/CD-ROM ドライブ"
      ☆ "ディスク ドライブ"
      ☆ "ポータブル デバイス"◀️phantom Device存在せず実施なし
      ☆ "ユニバーサル シリアル バス コントローラー"
      ☆ "記憶域ボリューム"
    3.再起動する
    4. Device Manager および "setupapi.dev.log" の確認
        i."C:\Windows\INF" フォルダにある "setupapi.dev.log" のタイムスタンプを確認
      ※更新されている場合はそのファイル内に "usbstor" に関連するログ情報が記録されてるか、確認する。
    5.BSOD を発生させ「完全メモリ ダンプ」を採取
        i. NotMyFault起動。
       ii.crashタブ>option high IRQL fault (kernel-mode)
      iii.crashタブ>crashボタン

    6.コマンドを実行する。
        i.WinDbgを起動する
       ii.下記<実行するコマンド>を実行する
    +++++++++++++++++++++++++++++++++++
    <実行するコマンド>
    .reload
    .cls
    .logopen /t "C:\Users\<Logon Account Name>\dump.log"
    !process 0 1f
    lmDv
    .logclose
    +++++++++++++++++++++++++++++++++++
    7.ログのアップロード
        i.dump.logより%computername%、%username%がないことを確認し、リネーム。
       ii.ギガファイル便https://gigafile.nu/ へアップロードする。
    8.USBは刺さず、お馬鹿様の返答を待つ
    [参考URL]
    http://norimaki2000.blog48.fc2.com/blog-entry-1211.html


    2020年5月2日 5:16