locked
DRIVER CORRUPTED EXPOOL ntoskrnl.exe RRS feed

  • Вопрос

  • Здравствуйте !

    Помогите решить проблему ! Имеется сервер win 2012R2, периодически перезагружается, может работать дней 5, а может работать 1, а должен работать 24\7, вылетает BSOD - DRIVER CORRUPTED EXPOOL, Bluescreenview  говорит


    • Изменено viperonator 15 октября 2020 г. 10:27
    15 октября 2020 г. 10:24

Ответы

  • Здравствуйте
    Привожу несколько статьей, которые могут Вам помочь:

    How to Configure Windows Server to Generate a Dump File in the Event of a Blue-Screen

    Troubleshooting Windows Server 2012 R2 Crashes. Analysis of Dump Files & Options. Forcing System Server Crash (Physical/Virtual)

    Reading a memory.dmp or other .dmp file


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    4 ноября 2020 г. 9:06
    Модератор
  • Здравствуйте,

    Похоже вам лучше обратиться в тех. поддержку Лаборатории Касперского.

    ================================================
    Debug session time: Mon Nov  2 04:16:28.781 2020 (UTC - 5:00)
    Loading Dump File [110220-16718-01.dmp]
    Built by: 9600.16404.amd64fre.winblue_gdr.130913-2141
    System Uptime: 0 days 0:12:32.302
    BugCheck Info: KMODE_EXCEPTION_NOT_HANDLED (1e)
    Bugcheck code 0000001E
    Arguments: 
    Arg1: ffffffffc0000005, The exception code that was not handled
    Arg2: fffff802d399dd06, The address that the exception occurred at
    Arg3: 0000000000000000, Parameter 0 of the exception
    Arg4: 0000000000000210, Parameter 1 of the exception
    *** WARNING: Unable to verify timestamp for kl1.sys
    BUGCHECK_STR:  0x1E_c0000005_R
    PROCESS_NAME:  avp.exe
    Probably caused by: kl1.sys ( kl1+4f4c7e )
    FAILURE_BUCKET_ID:  0x1E_c0000005_R_kl1!unknown_function
    MaxSpeed:     1800
    CurrentSpeed: 1800
    BiosVersion = 6.00
    BiosReleaseDate = 06/22/2012
    SystemManufacturer = VMware, Inc.
    BaseBoardManufacturer = Intel Corporation
    SystemProductName = VMware Virtual Platform
    BaseBoardProduct = 440BX Desktop Reference Platform
    ---------------------------------------------------------------
    ffffd000`25b41700  fffff802`d392b800 nt!BcpCursor <PERF> (nt+0x31e800)
    ffffd000`25b41708  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41710  fffff802`d391db3c nt!BcpCursor <PERF> (nt+0x310b3c)
    ffffd000`25b41718  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41720  fffff802`d391d590 nt!BcpCursor <PERF> (nt+0x310590)
    ffffd000`25b41728  fffff800`00862000 kl1
    ffffd000`25b41730  fffff800`00f6f29c kl1+0x70d29c
    ffffd000`25b41738  fffff800`00862000 kl1
    ffffd000`25b41740  fffff800`00f6f158 kl1+0x70d158
    ffffd000`25b41748  fffff800`00862000 kl1
    ffffd000`25b41750  fffff800`00f473cc kl1+0x6e53cc
    ffffd000`25b41758  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41760  fffff802`d392c878 nt!BcpCursor <PERF> (nt+0x31f878)
    ffffd000`25b41768  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41770  fffff802`d392c884 nt!BcpCursor <PERF> (nt+0x31f884)
    ffffd000`25b41778  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ...
    ffffd000`25b41998  fffff800`016944beUnable to load image \SystemRoot\system32\DRIVERS\klflt.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for klflt.sys
     klflt+0x134be
    ----------------------------------------------------------------
    ЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁ

    ================================================
    Debug session time: Mon Nov  2 04:00:14.088 2020 (UTC - 5:00)
    Loading Dump File [110220-21843-01.dmp]
    Built by: 9600.16404.amd64fre.winblue_gdr.130913-2141
    System Uptime: 0 days 23:56:40.187
    BugCheck Info: KERNEL_SECURITY_CHECK_FAILURE (139)
    Bugcheck code 00000139
    Arguments: 
    Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
    Arg2: ffffd00021e20120, Address of the trap frame for the exception that caused the bugcheck
    Arg3: ffffd00021e20078, Address of the exception record for the exception that caused the bugcheck
    Arg4: 0000000000000000, Reserved
    *** WARNING: Unable to verify timestamp for klif.sys
    BUGCHECK_STR:  0x139
    DEFAULT_BUCKET_ID:  FAIL_FAST_CORRUPT_LIST_ENTRY
    PROCESS_NAME:  amrserver.exe
    Probably caused by: Pool_Corruption ( nt!ExDeferredFreePool+fa2 )
    FAILURE_BUCKET_ID:  0x139_3_CORRUPT_LIST_ENTRY_nt!ExDeferredFreePool
    MaxSpeed:     1800
    CurrentSpeed: 1800
    BiosVersion = 6.00
    BiosReleaseDate = 06/22/2012
    SystemManufacturer = VMware, Inc.
    BaseBoardManufacturer = Intel Corporation
    SystemProductName = VMware Virtual Platform
    BaseBoardProduct = 440BX Desktop Reference Platform
    ЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁ


    Подозреваю конфликт с Крипто Про.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    7 ноября 2020 г. 0:31
    Модератор
  • В другом дампе вижу что проблема возникает в сетевом пространстве драйверов:

    ffffd000`2b7fe378  fffff800`a10f7df3 nt!EtwpEventWriteFull+0xfeb
    ffffd000`2b7fe380  00000000`00000000
    ffffd000`2b7fe388  ffffd000`2b7fe3d0
    ffffd000`2b7fe390  00000000`00000001
    ffffd000`2b7fe398  00000000`00000000
    ffffd000`2b7fe3a0  ffffe000`9ef103e9
    ffffd000`2b7fe3a8  fffff800`00000005
    ffffd000`2b7fe3b0  ffffd000`2b7fe840
    ffffd000`2b7fe3b8  00000000`00000300
    ffffd000`2b7fe3c0  00000000`00001000
    ffffd000`2b7fe3c8  fffff800`f42b6600 tcpip!CcmDispatchTable
    ffffd000`2b7fe3d0  00000050`00006700
    ffffd000`2b7fe3d8  00000050`0000f100
    ffffd000`2b7fe3e0  ffffe000`00000000
    ffffd000`2b7fe3e8  fffff800`f4d8be00 afd!AfdFreeNPConnectionResources+0xc0
    ffffd000`2b7fe3f0  fffff800`a12d9d08 nt!NonPagedPoolDescriptor+0x8
    ffffd000`2b7fe3f8  00000000`00000000
    ffffd000`2b7fe400  00000000`00000000
    ffffd000`2b7fe408  00000000`00000000
    ffffd000`2b7fe410  fffff800`a12d9d00 nt!NonPagedPoolDescriptor
    ffffd000`2b7fe418  00000000`00000000
    ffffd000`2b7fe420  ffffd000`2b7fe810
    ffffd000`2b7fe428  fffff800`a11415a4 nt!KeBugCheckEx+0x104
    ffffd000`2b7fe430  00000000`00000000
    ffffd000`2b7fe438  00000000`00000000
    ffffd000`2b7fe440  00000000`00000000
    ffffd000`2b7fe448  ffffe000`a056a7c0
    ffffd000`2b7fe450  00000000`00000000
    ffffd000`2b7fe458  00000000`00000000
    ffffd000`2b7fe460  00000000`00000282
    ffffd000`2b7fe468  fffff800`a1151769 nt!KiBugCheckDispatch+0x69
    ffffd000`2b7fe470  00000000`00000139
    
    tcpip.sys
    afd.sys

    Также вижу следующий драйвер: CProCtrl.4.0.0.19.sys который в некоторых случаях может вызывать BSoD.

    2: kd> lmDvmCProCtrl_4_0_0_19
    Browse full module list
    start             end                 module name
    fffff800`f4a23000 fffff800`f4a3e000   CProCtrl_4_0_0_19   (deferred)             
        Image path: \SystemRoot\system32\DRIVERS\CProCtrl.4.0.0.19.sys
        Image name: CProCtrl.4.0.0.19.sys
        Browse all global symbols  functions  data
        Timestamp:        Fri Nov 16 10:27:55 2018 (5BEEE1FB)
        CheckSum:         0002AE6A
        ImageSize:        0001B000
        Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
        Information from resource tables:

    Если есть у Вас лицензия на корпоративные продукты попробуйте обратить в тех. поддержку Лаборатории Касперского, если нет то обратитесь пожалуйста на специализированный форум ЛК ФК.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    9 ноября 2020 г. 1:56
    Модератор

Все ответы

  • что с обновлениями и антивирусом? после чего (каких действий) начали возникать бсоды?что предпринимали для решения проблем и каковы результаты?

    The opinion expressed by me is not an official position of Microsoft

    15 октября 2020 г. 10:34
    Модератор
  • Обновления накатывал при установке, но потом после бсодов удалил их, антивирус стоит кес11, прекрасно работает с этой же политикой на многих серверах, там такой проблемы нет, после чего начали возникать хз, поставил винду (виртаулка vmware), накатил обновления, поставил каспера (кстати после его отключения машина тоже ребутиться), поставил крипто про и спец ПО для работы (оно так же много где установлено и проблем нет) Пробовал менять конфиг ВМ, так же не помогает
    15 октября 2020 г. 12:34
  • крипто про частый гость этих форумов как предвестник рандомных сбоев поэтому если есть возможность попробуйте посмотреть дамп более детальнона предмет этого. 

    а если не поможет то можно поставить рядом еще одну вм и накатывать на нее все тоже самое но постепенно - обновы > ребут > подождать день -два > кес > ребут > подождать итд


    The opinion expressed by me is not an official position of Microsoft

    15 октября 2020 г. 14:47
    Модератор
  • Подскажите пожалуйста как его более детально посмотреть ?
    16 октября 2020 г. 7:23
  • Здравствуйте
    Привожу несколько статьей, которые могут Вам помочь:

    How to Configure Windows Server to Generate a Dump File in the Event of a Blue-Screen

    Troubleshooting Windows Server 2012 R2 Crashes. Analysis of Dump Files & Options. Forcing System Server Crash (Physical/Virtual)

    Reading a memory.dmp or other .dmp file


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    4 ноября 2020 г. 9:06
    Модератор
  •  поставил каспера (кстати после его отключения машина тоже ребутиться), поставил крипто про и спец ПО для работы (оно так же много где установлено и проблем нет) 

    Здравствуйте viperonator,

    Уточните пожалуйста, если у Вас случайно не сервер HP?

    Также уточните пожалуйста версию Крипто Про?

    Если ваш вопрос еще актуален, то в некоторых случаев Крипто ПРО может быть причиной BSoD, а также антивирусный продукт КЕС 11 может конфликтовать с Крипто ПРО.  

    Могли бы приложить ссылку на дампы, для анализа возможной причины падания?
    P.S. Если нет то попробойте обратится в антивирусному вендору за помощью.



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    5 ноября 2020 г. 2:26
    Модератор
  • Здравствуйте, спасибо, вот ссылка на файл https://yadi.sk/d/DKodBWP4LDpNOw?w=1
    • Изменено viperonator 6 ноября 2020 г. 6:42
    6 ноября 2020 г. 6:37
  • Здравствуйте,

    Похоже вам лучше обратиться в тех. поддержку Лаборатории Касперского.

    ================================================
    Debug session time: Mon Nov  2 04:16:28.781 2020 (UTC - 5:00)
    Loading Dump File [110220-16718-01.dmp]
    Built by: 9600.16404.amd64fre.winblue_gdr.130913-2141
    System Uptime: 0 days 0:12:32.302
    BugCheck Info: KMODE_EXCEPTION_NOT_HANDLED (1e)
    Bugcheck code 0000001E
    Arguments: 
    Arg1: ffffffffc0000005, The exception code that was not handled
    Arg2: fffff802d399dd06, The address that the exception occurred at
    Arg3: 0000000000000000, Parameter 0 of the exception
    Arg4: 0000000000000210, Parameter 1 of the exception
    *** WARNING: Unable to verify timestamp for kl1.sys
    BUGCHECK_STR:  0x1E_c0000005_R
    PROCESS_NAME:  avp.exe
    Probably caused by: kl1.sys ( kl1+4f4c7e )
    FAILURE_BUCKET_ID:  0x1E_c0000005_R_kl1!unknown_function
    MaxSpeed:     1800
    CurrentSpeed: 1800
    BiosVersion = 6.00
    BiosReleaseDate = 06/22/2012
    SystemManufacturer = VMware, Inc.
    BaseBoardManufacturer = Intel Corporation
    SystemProductName = VMware Virtual Platform
    BaseBoardProduct = 440BX Desktop Reference Platform
    ---------------------------------------------------------------
    ffffd000`25b41700  fffff802`d392b800 nt!BcpCursor <PERF> (nt+0x31e800)
    ffffd000`25b41708  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41710  fffff802`d391db3c nt!BcpCursor <PERF> (nt+0x310b3c)
    ffffd000`25b41718  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41720  fffff802`d391d590 nt!BcpCursor <PERF> (nt+0x310590)
    ffffd000`25b41728  fffff800`00862000 kl1
    ffffd000`25b41730  fffff800`00f6f29c kl1+0x70d29c
    ffffd000`25b41738  fffff800`00862000 kl1
    ffffd000`25b41740  fffff800`00f6f158 kl1+0x70d158
    ffffd000`25b41748  fffff800`00862000 kl1
    ffffd000`25b41750  fffff800`00f473cc kl1+0x6e53cc
    ffffd000`25b41758  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41760  fffff802`d392c878 nt!BcpCursor <PERF> (nt+0x31f878)
    ffffd000`25b41768  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25b41770  fffff802`d392c884 nt!BcpCursor <PERF> (nt+0x31f884)
    ffffd000`25b41778  fffff802`d360d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ...
    ffffd000`25b41998  fffff800`016944beUnable to load image \SystemRoot\system32\DRIVERS\klflt.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for klflt.sys
     klflt+0x134be
    ----------------------------------------------------------------
    ЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁ

    ================================================
    Debug session time: Mon Nov  2 04:00:14.088 2020 (UTC - 5:00)
    Loading Dump File [110220-21843-01.dmp]
    Built by: 9600.16404.amd64fre.winblue_gdr.130913-2141
    System Uptime: 0 days 23:56:40.187
    BugCheck Info: KERNEL_SECURITY_CHECK_FAILURE (139)
    Bugcheck code 00000139
    Arguments: 
    Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
    Arg2: ffffd00021e20120, Address of the trap frame for the exception that caused the bugcheck
    Arg3: ffffd00021e20078, Address of the exception record for the exception that caused the bugcheck
    Arg4: 0000000000000000, Reserved
    *** WARNING: Unable to verify timestamp for klif.sys
    BUGCHECK_STR:  0x139
    DEFAULT_BUCKET_ID:  FAIL_FAST_CORRUPT_LIST_ENTRY
    PROCESS_NAME:  amrserver.exe
    Probably caused by: Pool_Corruption ( nt!ExDeferredFreePool+fa2 )
    FAILURE_BUCKET_ID:  0x139_3_CORRUPT_LIST_ENTRY_nt!ExDeferredFreePool
    MaxSpeed:     1800
    CurrentSpeed: 1800
    BiosVersion = 6.00
    BiosReleaseDate = 06/22/2012
    SystemManufacturer = VMware, Inc.
    BaseBoardManufacturer = Intel Corporation
    SystemProductName = VMware Virtual Platform
    BaseBoardProduct = 440BX Desktop Reference Platform
    ЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁЁ


    Подозреваю конфликт с Крипто Про.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    7 ноября 2020 г. 0:31
    Модератор
  • Спасибо, у меня остались не большие сомнения, так как в windbg при analyze-v, он часто ссылается на процесс amrc.exe, это программа для опроса приборов, не могли бы еще дампы глянуть ? там их 6 шт., точно ли касперский виноват, я грешу как раз на amrc.exe, и кстати подскажите вы дампы так же расшифровываете ? имею ввиду в windbg - !analyze-v или еще доп. опции какие то включаете
    8 ноября 2020 г. 10:12
  • Здравствуйте,

    Другом дампе также вижу драйвер от антивруса Касперского:

    2: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    KERNEL_SECURITY_CHECK_FAILURE (139)
    A kernel component has corrupted a critical data structure.  The corruption
    could potentially allow a malicious user to gain control of this machine.
    Arguments:
    Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
    Arg2: ffffd00025d5d790, Address of the trap frame for the exception that caused the bugcheck
    Arg3: ffffd00025d5d6e8, Address of the exception record for the exception that caused the bugcheck
    Arg4: 0000000000000000, Reserved
    
    Debugging Details:
    ------------------
    
    GetUlongPtrFromAddress: unable to read from fffff8011276c308
    
    KEY_VALUES_STRING: 1
    
    
    PROCESSES_ANALYSIS: 1
    
    SERVICE_ANALYSIS: 1
    
    STACKHASH_ANALYSIS: 1
    
    TIMELINE_ANALYSIS: 1
    
    
    DUMP_CLASS: 1
    
    DUMP_QUALIFIER: 400
    
    BUILD_VERSION_STRING:  9600.19538.amd64fre.winblue_ltsb_escrow.191014-1700
    
    SYSTEM_MANUFACTURER:  VMware, Inc.
    
    VIRTUAL_MACHINE:  VMware
    
    SYSTEM_PRODUCT_NAME:  VMware Virtual Platform
    
    SYSTEM_VERSION:  None
    
    BIOS_VENDOR:  Phoenix Technologies LTD
    
    BIOS_VERSION:  6.00
    
    BIOS_DATE:  06/22/2012
    
    BASEBOARD_MANUFACTURER:  Intel Corporation
    
    BASEBOARD_PRODUCT:  440BX Desktop Reference Platform
    
    BASEBOARD_VERSION:  None
    
    DUMP_TYPE:  2
    
    BUGCHECK_P1: 3
    
    BUGCHECK_P2: ffffd00025d5d790
    
    BUGCHECK_P3: ffffd00025d5d6e8
    
    BUGCHECK_P4: 0
    
    TRAP_FRAME:  ffffd00025d5d790 -- (.trap 0xffffd00025d5d790)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=ffffe0003e9df7d0 rbx=0000000000000000 rcx=0000000000000003
    rdx=ffffe000406bd010 rsi=0000000000000000 rdi=0000000000000000
    rip=fffff801126ac3c5 rsp=ffffd00025d5d920 rbp=000000000000001c
     r8=ffffe0003f51cd80  r9=0000000000000000 r10=0000000000000001
    r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei pl nz na pe cy
    nt!ExDeferredFreePool+0x9b5:
    fffff801`126ac3c5 cd29            int     29h
    Resetting default scope
    
    EXCEPTION_RECORD:  ffffd00025d5d6e8 -- (.exr 0xffffd00025d5d6e8)
    ExceptionAddress: fffff801126ac3c5 (nt!ExDeferredFreePool+0x00000000000009b5)
       ExceptionCode: c0000409 (Security check failure or stack buffer overrun)
      ExceptionFlags: 00000001
    NumberParameters: 1
       Parameter[0]: 0000000000000003
    Subcode: 0x3 FAST_FAIL_CORRUPT_LIST_ENTRY
    
    CPU_COUNT: 4
    
    CPU_MHZ: 708
    
    CPU_VENDOR:  GenuineIntel
    
    CPU_FAMILY: 6
    
    CPU_MODEL: 2d
    
    CPU_STEPPING: 7
    
    CPU_MICROCODE: 6,2d,7,0 (F,M,S,R)  SIG: AFFF0001'00000000 (cache) AFFF0001'00000000 (init)
    
    CUSTOMER_CRASH_COUNT:  1
    
    DEFAULT_BUCKET_ID:  FAIL_FAST_CORRUPT_LIST_ENTRY
    
    BUGCHECK_STR:  0x139
    
    PROCESS_NAME:  amrc.exe
    
    CURRENT_IRQL:  2
    
    ERROR_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
    
    EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
    
    EXCEPTION_CODE_STR:  c0000409
    
    EXCEPTION_PARAMETER1:  0000000000000003
    
    ANALYSIS_SESSION_HOST:  SQ-PC
    
    ANALYSIS_SESSION_TIME:  11-08-2020 17:22:21.0589
    
    ANALYSIS_VERSION: 10.0.18362.1 amd64fre
    
    LAST_CONTROL_TRANSFER:  from fffff8011256d769 to fffff8011255d4a0
    
    STACK_TEXT:  
    ffffd000`25d5d468 fffff801`1256d769 : 00000000`00000139 00000000`00000003 ffffd000`25d5d790 ffffd000`25d5d6e8 : nt!KeBugCheckEx
    ffffd000`25d5d470 fffff801`1256dad0 : 00000000`00000000 fffff801`12513df3 00000000`00000000 ffffd000`25d5d610 : nt!KiBugCheckDispatch+0x69
    ffffd000`25d5d5b0 fffff801`1256c4a2 : fffff580`10804000 00000000`0000299b 0000ffff`ffffffff 00000000`00002877 : nt!KiFastFailDispatch+0xd0
    ffffd000`25d5d790 fffff801`126ac3c5 : 00000000`00000000 fffffa80`00000000 fffff801`00000082 fffff801`125f0000 : nt!KiRaiseSecurityCheckFailure+0x2e2
    ffffd000`25d5d920 fffff801`126aa874 : ffffe000`3b70ad70 ffffe000`3b70ac80 00000000`52777445 fffff801`126f5d00 : nt!ExDeferredFreePool+0x9b5
    ffffd000`25d5d9a0 fffff801`127f3844 : ffffe000`3cfbd200 00000000`00000000 ffffe000`00000000 ffffe000`0000000e : nt!ExFreePoolWithTag+0x874
    ffffd000`25d5da40 fffff801`1247e05f : 00000000`00000000 ffffd000`25d5db99 ffffe000`3b70acf0 ffffe000`3b70acc0 : nt!ObpRemoveObjectRoutine+0x6c
    ffffd000`25d5daa0 fffff801`12802535 : ffffe000`3a3d34a0 00000000`00000000 ffffd000`25d5db99 ffffe000`3a3d34a0 : nt!ObfDereferenceObjectWithTag+0x8f
    ffffd000`25d5dae0 fffff801`1256d3e3 : 00000000`75b5b350 00000000`0000000d 00000000`0008fdb0 00000000`0018f9ac : nt!NtClose+0x205
    ffffd000`25d5dc00 00000000`7ff9b002 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
    00000000`0008ee08 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7ff9b002
    
    
    THREAD_SHA1_HASH_MOD_FUNC:  a2c62f80edd3d1fbe316bfbeeea84242f001e7aa
    
    THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  0924f765d2c77350894ca6ebf1ad5dae11dd8d30
    
    THREAD_SHA1_HASH_MOD:  bc100a5647b828107ac4e18055e00abcbe1ec406
    
    FOLLOWUP_IP: 
    nt!ExDeferredFreePool+9b5
    fffff801`126ac3c5 cd29            int     29h
    
    FAULT_INSTR_CODE:  8b4d29cd
    
    SYMBOL_STACK_INDEX:  4
    
    SYMBOL_NAME:  nt!ExDeferredFreePool+9b5
    
    FOLLOWUP_NAME:  Pool_corruption
    
    IMAGE_NAME:  Pool_Corruption
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  0
    
    IMAGE_VERSION:  6.3.9600.19538
    
    MODULE_NAME: Pool_Corruption
    
    STACK_COMMAND:  .thread ; .cxr ; kb
    
    BUCKET_ID_FUNC_OFFSET:  9b5
    
    FAILURE_BUCKET_ID:  0x139_3_CORRUPT_LIST_ENTRY_nt!ExDeferredFreePool
    
    BUCKET_ID:  0x139_3_CORRUPT_LIST_ENTRY_nt!ExDeferredFreePool
    
    PRIMARY_PROBLEM_CLASS:  0x139_3_CORRUPT_LIST_ENTRY_nt!ExDeferredFreePool
    
    TARGET_TIME:  2020-11-06T06:00:52.000Z
    
    OSBUILD:  9600
    
    OSSERVICEPACK:  19538
    
    SERVICEPACK_NUMBER: 0
    
    OS_REVISION: 0
    
    SUITE_MASK:  16
    
    PRODUCT_TYPE:  3
    
    OSPLATFORM_TYPE:  x64
    
    OSNAME:  Windows 8.1
    
    OSEDITION:  Windows 8.1 Server TerminalServer
    
    OS_LOCALE:  
    
    USER_LCID:  0
    
    OSBUILD_TIMESTAMP:  2019-10-14 22:04:17
    
    BUILDDATESTAMP_STR:  191014-1700
    
    BUILDLAB_STR:  winblue_ltsb_escrow
    
    BUILDOSVER_STR:  6.3.9600.19538.amd64fre.winblue_ltsb_escrow.191014-1700
    
    ANALYSIS_SESSION_ELAPSED_TIME:  f41
    
    ANALYSIS_SOURCE:  KM
    
    FAILURE_ID_HASH_STRING:  km:0x139_3_corrupt_list_entry_nt!exdeferredfreepool
    
    FAILURE_ID_HASH:  {7ef5a43a-ed8f-4a4a-f936-b37f9eaa1b29}
    
    Followup:     Pool_corruption
    ---------
    
    
    2: kd> !THREAD
    GetPointerFromAddress: unable to read from fffff8011276c000
    THREAD ffffe0003ddbc3c0  Cid 1e58.0bbc  Teb: 000000007ffdb000 Win32Thread: fffff901406d35d0 RUNNING on processor 2
    Not impersonating
    GetUlongFromAddress: unable to read from fffff801126b8b70
    Owning Process            ffffe0003cfbd200       Image:         amrc.exe
    Attached Process          N/A            Image:         N/A
    fffff78000000000: Unable to get shared data
    Wait Start TickCount      1144280      
    Context Switch Count      822            IdealProcessor: 1             
    ReadMemory error: Cannot get nt!KeMaximumIncrement value.
    UserTime                  00:00:00.000
    KernelTime                00:00:00.000
    Win32 Start Address 0x000000000056e98a
    Stack Init ffffd00025d5dd90 Current ffffd00025d5da80
    Base ffffd00025d5e000 Limit ffffd00025d58000 Call 0000000000000000
    Priority 9 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
    Child-SP          RetAddr           : Args to Child                                                           : Call Site
    ffffd000`25d5d468 fffff801`1256d769 : 00000000`00000139 00000000`00000003 ffffd000`25d5d790 ffffd000`25d5d6e8 : nt!KeBugCheckEx
    ffffd000`25d5d470 fffff801`1256dad0 : 00000000`00000000 fffff801`12513df3 00000000`00000000 ffffd000`25d5d610 : nt!KiBugCheckDispatch+0x69
    ffffd000`25d5d5b0 fffff801`1256c4a2 : fffff580`10804000 00000000`0000299b 0000ffff`ffffffff 00000000`00002877 : nt!KiFastFailDispatch+0xd0
    ffffd000`25d5d790 fffff801`126ac3c5 : 00000000`00000000 fffffa80`00000000 fffff801`00000082 fffff801`125f0000 : nt!KiRaiseSecurityCheckFailure+0x2e2 (TrapFrame @ ffffd000`25d5d790)
    ffffd000`25d5d920 fffff801`126aa874 : ffffe000`3b70ad70 ffffe000`3b70ac80 00000000`52777445 fffff801`126f5d00 : nt!ExDeferredFreePool+0x9b5
    ffffd000`25d5d9a0 fffff801`127f3844 : ffffe000`3cfbd200 00000000`00000000 ffffe000`00000000 ffffe000`0000000e : nt!ExFreePoolWithTag+0x874
    ffffd000`25d5da40 fffff801`1247e05f : 00000000`00000000 ffffd000`25d5db99 ffffe000`3b70acf0 ffffe000`3b70acc0 : nt!ObpRemoveObjectRoutine+0x6c
    ffffd000`25d5daa0 fffff801`12802535 : ffffe000`3a3d34a0 00000000`00000000 ffffd000`25d5db99 ffffe000`3a3d34a0 : nt!ObfDereferenceObjectWithTag+0x8f
    ffffd000`25d5dae0 fffff801`1256d3e3 : 00000000`75b5b350 00000000`0000000d 00000000`0008fdb0 00000000`0018f9ac : nt!NtClose+0x205
    ffffd000`25d5dc00 00000000`7ff9b002 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ ffffd000`25d5dc00)
    00000000`0008ee08 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7ff9b002
    2: kd> dps ffffd00025d58000 ffffd00025d5e000
    ......
    ffffd000`25d5d548  fffff801`12647a89 nt!EtwpApplyEventIdPayloadFilter+0x71
    ffffd000`25d5d550  00000000`00010000
    ffffd000`25d5d558  00000000`00000003
    ffffd000`25d5d560  00000000`0008e470
    ffffd000`25d5d568  00000000`0008e468
    ffffd000`25d5d570  00000000`00000000
    ffffd000`25d5d578  fffff801`126f5d00 nt!NonPagedPoolDescriptor
    ffffd000`25d5d580  00000000`00000000
    ffffd000`25d5d588  00000000`00000000
    ffffd000`25d5d590  00000000`00000000
    ffffd000`25d5d598  00000000`00000000
    ffffd000`25d5d5a0  fffff801`126f5d08 nt!NonPagedPoolDescriptor+0x8
    ffffd000`25d5d5a8  fffff801`1256dad0 nt!KiFastFailDispatch+0xd0
    ffffd000`25d5d5b0  00000000`00000000
    ffffd000`25d5d5b8  fffff801`12513df3 nt!EtwpEventWriteFull+0xfeb
    ffffd000`25d5d5c0  00000000`00000000
    ffffd000`25d5d5c8  ffffd000`25d5d610
    ffffd000`25d5d5d0  00000000`00000001
    ffffd000`25d5d5d8  00000000`00000000
    ffffd000`25d5d5e0  6b72622c`383a3d64
    ffffd000`25d5d5e8  652c393a`3d746e63
    ffffd000`25d5d5f0  313a3d74`6e637272
    ffffd000`25d5d5f8  20657265`68772030
    ffffd000`25d5d600  00000000`00000000
    ffffd000`25d5d608  00000000`00000000
    ffffd000`25d5d610  00000000`00000000
    ffffd000`25d5d618  00000000`00000000
    ffffd000`25d5d620  00000000`00000000
    ffffd000`25d5d628  00000000`00000000
    ffffd000`25d5d630  00000000`00000000
    ffffd000`25d5d638  00000000`00000000
    ffffd000`25d5d640  00000000`00000000
    ffffd000`25d5d648  00000000`00000000
    ffffd000`25d5d650  00000000`00000000
    ffffd000`25d5d658  00000000`00000000
    ffffd000`25d5d660  00000000`00000000
    ffffd000`25d5d668  00000000`00000000
    ffffd000`25d5d670  00000000`00000000
    ffffd000`25d5d678  00000000`00000000
    ffffd000`25d5d680  00000000`00000002
    ffffd000`25d5d688  ffffe000`3ddbc3c0
    ffffd000`25d5d690  00000000`00000013
    ffffd000`25d5d698  ffffe000`3a3d2e80
    ffffd000`25d5d6a0  ffffd000`25d5da50
    ffffd000`25d5d6a8  00000000`00000000
    ffffd000`25d5d6b0  00000000`00000000
    ffffd000`25d5d6b8  fffff801`126f5d00 nt!NonPagedPoolDescriptor
    ffffd000`25d5d6c0  00000000`00000000
    ffffd000`25d5d6c8  00000000`00000000
    ffffd000`25d5d6d0  00000000`00000000
    ffffd000`25d5d6d8  00000000`00000000
    ffffd000`25d5d6e0  fffff801`126f5d08 nt!NonPagedPoolDescriptor+0x8
    ffffd000`25d5d6e8  00000001`c0000409
    ffffd000`25d5d6f0  00000000`00000000
    ffffd000`25d5d6f8  fffff801`126ac3c5 nt!ExDeferredFreePool+0x9b5
    ffffd000`25d5d700  ffffe000`00000001
    ffffd000`25d5d708  00000000`00000003
    ffffd000`25d5d710  00000000`00000001
    ffffd000`25d5d718  00000000`00000000
    ffffd000`25d5d720  ffffe000`3ac905c0
    ffffd000`25d5d728  ffffe000`3e601968
    ffffd000`25d5d730  ffffe000`3e600000
    ffffd000`25d5d738  ffffe000`3a3d00e8
    ffffd000`25d5d740  00000000`00001968
    ffffd000`25d5d748  00000000`00000060
    ffffd000`25d5d750  00000000`08eec215
    ffffd000`25d5d758  fffff801`1248e424 nt!MiSwapWslEntries+0x344
    ffffd000`25d5d760  00000000`75d1a005
    ffffd000`25d5d768  ffffe000`3cfbd6d8
    ffffd000`25d5d770  fffff580`108186d8
    ffffd000`25d5d778  00000000`08eec215
    ffffd000`25d5d780  00000000`0008e468
    ffffd000`25d5d788  fffff801`1256c4a2 nt!KiRaiseSecurityCheckFailure+0x2e2
    ffffd000`25d5d790  fffff580`10804000
    ffffd000`25d5d798  00000000`0000299b
    ffffd000`25d5d7a0  0000ffff`ffffffff
    ffffd000`25d5d7a8  00000000`00002877
    ffffd000`25d5d7b0  00000000`0000036e
    ffffd000`25d5d7b8  00001f80`0148da1b
    ffffd000`25d5d7c0  ffffe000`3e9df7d0
    ffffd000`25d5d7c8  00000000`00000003
    ffffd000`25d5d7d0  ffffe000`406bd010
    ffffd000`25d5d7d8  ffffe000`3f51cd80
    ffffd000`25d5d7e0  00000000`00000000
    ffffd000`25d5d7e8  00000000`00000001
    ffffd000`25d5d7f0  00000000`00000000
    ffffd000`25d5d7f8  fffff800`8594f8bcUnable to load image \SystemRoot\system32\DRIVERS\kl1.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for kl1.sys
     kl1+0x4888bc
    ffffd000`25d5d800  00000000`00000000
    ffffd000`25d5d808  00000000`00000000
    ffffd000`25d5d810  00031105`11000009
    ffffd000`25d5d818  40000000`00000020
    ffffd000`25d5d820  00000000`00000000
    ffffd000`25d5d828  00000000`00000000
    ffffd000`25d5d830  00000000`00000000
    ffffd000`25d5d838  00000000`00000000
    ffffd000`25d5d840  00000000`00000000
    ffffd000`25d5d848  00000000`00000000
    ffffd000`25d5d850  00000000`00000000
    ffffd000`25d5d858  00000000`00000000
    ffffd000`25d5d860  00000000`00000001
    ffffd000`25d5d868  ffffe000`3e110010
    ffffd000`25d5d870  00000000`00000000
    ffffd000`25d5d878  fffff801`12606064 nt!MiIsPrototypePteVadLookup+0x10
    ffffd000`25d5d880  fffffa80`01303e00
    ffffd000`25d5d888  fffff680`003ae8d0
    ffffd000`25d5d890  00000000`75d1a840
    ffffd000`25d5d898  fffffa80`01303e20
    ffffd000`25d5d8a0  00000000`00000001
    ffffd000`25d5d8a8  fffff801`125ec1eb nt!MiCompleteProtoPteFault+0x80f
    ffffd000`25d5d8b0  ffffbd1d`fafbb6f0
    ffffd000`25d5d8b8  00000000`656a0025
    ffffd000`25d5d8c0  00000000`00000000
    ffffd000`25d5d8c8  00000000`00000001
    ffffd000`25d5d8d0  ffffd000`25d5da50
    ffffd000`25d5d8d8  00000000`00000000
    ffffd000`25d5d8e0  00000000`00000000
    ffffd000`25d5d8e8  00000000`0000001c
    ffffd000`25d5d8f0  00000000`00000000
    ffffd000`25d5d8f8  fffff801`126ac3c5 nt!ExDeferredFreePool+0x9b5
    ffffd000`25d5d900  00000000`00000010
    ffffd000`25d5d908  00000000`00000203
    ffffd000`25d5d910  ffffd000`25d5d920
    ffffd000`25d5d918  00000000`00000018
    ffffd000`25d5d920  00000000`00000000
    ffffd000`25d5d928  fffffa80`00000000
    ffffd000`25d5d930  fffff801`00000082
    ffffd000`25d5d938  fffff801`125f0000 nt!MiResolvePageFileFault+0x190
    ffffd000`25d5d940  ffffe000`3cfb0000
    ffffd000`25d5d948  00000000`00000000
    ffffd000`25d5d950  00000000`00000000
    ffffd000`25d5d958  fffff801`126f5d08 nt!NonPagedPoolDescriptor+0x8
    ffffd000`25d5d960  00000000`00000000
    ffffd000`25d5d968  00000000`0008fdb0
    ffffd000`25d5d970  fffff801`1241d000 nt!_guard_check_icall_fptr <PERF> (nt+0x0)
    ffffd000`25d5d978  00000000`000000e0
    ffffd000`25d5d980  00000000`00000002
    ffffd000`25d5d988  00000000`00000000
    ffffd000`25d5d990  ffffe000`3b70ac90
    ffffd000`25d5d998  fffff801`126aa874 nt!ExFreePoolWithTag+0x874
    ffffd000`25d5d9a0  ffffe000`3b70ad70
    ffffd000`25d5d9a8  ffffe000`3b70ac80
    ffffd000`25d5d9b0  00000000`52777445
    ffffd000`25d5d9b8  fffff801`126f5d00 nt!NonPagedPoolDescriptor
    ffffd000`25d5d9c0  00000000`00000000
    
    

    Возможно из-за какого-то конфликта с другим ПО:

    ffffd000`25d5d7f8  fffff800`8594f8bcUnable to load image \SystemRoot\system32\DRIVERS\kl1.sys, Win32 error 0n2
    *** WARNING: Unable to verify timestamp for kl1.sys
     kl1+0x4888bc
    P.S. возможно MEMORY.dmp имеет более подробную информацию.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    8 ноября 2020 г. 22:38
    Модератор
  • В другом дампе вижу что проблема возникает в сетевом пространстве драйверов:

    ffffd000`2b7fe378  fffff800`a10f7df3 nt!EtwpEventWriteFull+0xfeb
    ffffd000`2b7fe380  00000000`00000000
    ffffd000`2b7fe388  ffffd000`2b7fe3d0
    ffffd000`2b7fe390  00000000`00000001
    ffffd000`2b7fe398  00000000`00000000
    ffffd000`2b7fe3a0  ffffe000`9ef103e9
    ffffd000`2b7fe3a8  fffff800`00000005
    ffffd000`2b7fe3b0  ffffd000`2b7fe840
    ffffd000`2b7fe3b8  00000000`00000300
    ffffd000`2b7fe3c0  00000000`00001000
    ffffd000`2b7fe3c8  fffff800`f42b6600 tcpip!CcmDispatchTable
    ffffd000`2b7fe3d0  00000050`00006700
    ffffd000`2b7fe3d8  00000050`0000f100
    ffffd000`2b7fe3e0  ffffe000`00000000
    ffffd000`2b7fe3e8  fffff800`f4d8be00 afd!AfdFreeNPConnectionResources+0xc0
    ffffd000`2b7fe3f0  fffff800`a12d9d08 nt!NonPagedPoolDescriptor+0x8
    ffffd000`2b7fe3f8  00000000`00000000
    ffffd000`2b7fe400  00000000`00000000
    ffffd000`2b7fe408  00000000`00000000
    ffffd000`2b7fe410  fffff800`a12d9d00 nt!NonPagedPoolDescriptor
    ffffd000`2b7fe418  00000000`00000000
    ffffd000`2b7fe420  ffffd000`2b7fe810
    ffffd000`2b7fe428  fffff800`a11415a4 nt!KeBugCheckEx+0x104
    ffffd000`2b7fe430  00000000`00000000
    ffffd000`2b7fe438  00000000`00000000
    ffffd000`2b7fe440  00000000`00000000
    ffffd000`2b7fe448  ffffe000`a056a7c0
    ffffd000`2b7fe450  00000000`00000000
    ffffd000`2b7fe458  00000000`00000000
    ffffd000`2b7fe460  00000000`00000282
    ffffd000`2b7fe468  fffff800`a1151769 nt!KiBugCheckDispatch+0x69
    ffffd000`2b7fe470  00000000`00000139
    
    tcpip.sys
    afd.sys

    Также вижу следующий драйвер: CProCtrl.4.0.0.19.sys который в некоторых случаях может вызывать BSoD.

    2: kd> lmDvmCProCtrl_4_0_0_19
    Browse full module list
    start             end                 module name
    fffff800`f4a23000 fffff800`f4a3e000   CProCtrl_4_0_0_19   (deferred)             
        Image path: \SystemRoot\system32\DRIVERS\CProCtrl.4.0.0.19.sys
        Image name: CProCtrl.4.0.0.19.sys
        Browse all global symbols  functions  data
        Timestamp:        Fri Nov 16 10:27:55 2018 (5BEEE1FB)
        CheckSum:         0002AE6A
        ImageSize:        0001B000
        Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
        Information from resource tables:

    Если есть у Вас лицензия на корпоративные продукты попробуйте обратить в тех. поддержку Лаборатории Касперского, если нет то обратитесь пожалуйста на специализированный форум ЛК ФК.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    9 ноября 2020 г. 1:56
    Модератор
  • Добрый день, помогите пожалуйста расшифровать код ошибки, этот сервер (ВМ) периодически так и падает. Я установил Debugging tools и kdfe. 

    Analyzing "c:\Windows\Minidump\010821-25875-01.dmp", please wait... Done.


    Crash date:         Fri Jan  8 00:01:07.514 2021 (GMT+3)
    Stop error code:    0x139
    Probably caused by: ntoskrnl.exe ( nt+1404a0 )

    Analyzing "c:\Windows\Minidump\101921-16968-01.dmp", please wait... Done.


    Crash date:         Tue Oct 19 01:33:31.607 2021 (GMT+3)
    Stop error code:    0xC5_2
    Probably caused by: ntoskrnl.exe ( nt+28e200 )


    19 октября 2021 г. 4:56
  • Здравствуйте, 

    Создайте пожалуйста новую тему и приложите ссылку на файл дампа а также опишите более подробнее о проблеме.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    19 октября 2021 г. 21:52
    Модератор
  • https://social.technet.microsoft.com/Forums/ru-RU/088b2235-36f4-478f-96c1-e7fdc6316784/driver-corrupted-expool-ntoskrnlexe?forum=WS8ru
    27 октября 2021 г. 4:10