none
Может ли Windows Vista периодически обновлять содержимое $BOOT? RRS feed

  • Вопрос

  • К нам на экспертизу пришёл компьютер с предустановленной Windows Vista Home Basic. При загрузке не обнаруживалось наличие операционной системы. Проверка содержимого загрузочной области показала, что в метафайле $BOOT всё содержимое смещено на 20 байт. Добавленные с начала 20 байт заполнены нулями. Естественно, код из MBR не мог найти сигнатуру 55 AA и сообщал, что операционная система не обнаружена. Когда данные кернули на положенное место, операционная система загрузилась. Проверка файловой структуры ошибок не выявила. Подозрение, что дополнительные байты возникли из-за аппаратного сбоя компьютера, но закрадывается сомнение, какой процесс мог писать в эту область. Если это далал вирус, а установленный на компьютере антивирус Касперского возвращал содержимое обратно, на экране бы появилась надпись о вирусной атаке, и антивирус бы добавил запись в журнал о попытке обезвредить вирус. Но этого обнаружено не было. Зато были обнаружены записи, сделанные самой системой, о нехватке ресурсов для некоторых приложений и о избыточном использовании памяти.

    Мне сейчас нужно найти убедительную картину, каким образом могло произойти то, что я обнаружил. Экспертиза проводится для судебного разбирательства.

Все ответы

  • такую картину могли вызвать,в порядке убывания вероятности:

    Вирусы
    Что-либо из стороннего софта
    Шаловливые руки пользователя
    Аппаратный сбой.

    Вариант аппаратного сбоя наименее вероятен, т.к. для возникновения подобной ситуации компьютер пришлось бы подвергнуть сильному внешнему воздействию (проще говоря, с размаху стукнуть им о стену во включенном состоянии той частью корпуса, где находится корзина жестких дисков)
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • 1. На вирусы винчестер был проверен в первую очередь.
    2. Из стороннего софта на этот момент имеется только Winamp и антивирус Касперского.
    3. Руки пользователя не настолько шаловливы. Ему пришлось три раза носить компьютер в сервисный центр на восстановление операционной системы.
    4. Аппаратный сбой вероятен, тем более, что в логе я нашёл ещё нескоько неприятных записей, говорящих о нестабильной работе системы.

    Вы очень плохого мнения об аппаратных сбоях. В описанном вами случае:
    1. Была бы вмятина на корпусе.
    2. Винчестер имел бы царапины на поверхности. Это легко отследилось бы тестовыми программами.

    Для такого аппаратного сбоя, похоже, есть предпосылки, но возникнуть он может не сразу, а при стечении некоторого количества обстоятельств. По крайней мере, клиент носил компьютер в сервис примерно раз в месяц. Когда ему это надоело, он решил вернуть деньги. Теперь судится, уже почти год.
  • А можно ли увидеть эти записи? Возможно, они смогут прояснить проблему.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • В порядке очерёдности:

    Application Hang
    Программа explorer.exe версии 6.0.6000.16386 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, доступны ли дополнительные сведения о проблеме, проверьте историю проблемы в панели управления "Отчеты о проблемах и решения". Идентификатор процесса: 1d8 Время начала: 01c8d836bfcd001e Время завершения: 8688

    VSS
    Ошибка теневого копирования тома: Непредвиденная ошибка CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\,0x80000000,0x00000003,...).. hr = 0x800703ed.

    Операция:
       Обработка PreFinalCommitSnapshots

    Контекст:
       Контекст выполнения: System Provider

    System Restore
    Не удалось создать точку восстановления тома (Процесс = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Описание = Запланированная контрольная точка; HR = 0x8004231f).

    System Restore
    Не удалось создать по расписанию запланированную точку восстановления.  Дополнительные сведения: (0x8004231f).

    VSS
    Служба VSS выключается из-за тайм-аута простоя.

  • Это уже интереснее. Пока что наблюдается сбой службы теневых копий.  Проблема может вызываться чем угодно вплоть до фабричного брака элементов материнской платы. Нужны полные логи ошибок, с источником и ID проблемы

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    1 июня 2009 г. 10:58
    Модератор
  • Каким образом их можно сохранить на внешний носитель и куда отправить?
    1 июня 2009 г. 12:18
  • Зачем сохранять? В журнале событий системы эти ошибки фиксируются полностью. Скопируйте оттуда и выложите сюда

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    1 июня 2009 г. 12:22
    Модератор
  • Не совсем понял, что скопировать. XML представление?
    винчестер - это не место для хранения информации.
    1 июня 2009 г. 12:42
  • Заходите в журнал событий, открываете нужное событие, нажимаете Копировать, вставляете сюда))

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    1 июня 2009 г. 13:04
    Модератор
  • Копировать на одном компьютере, вставлять на другом? Причём, если у них общее только питание. Это что-то новое в практике Copy-Paste.


    винчестер - это не место для хранения информации.
  • Это вы сейчас о чем, простите? Я прошу выложить полный лог ошибки из журнала событий непосредственно в эту тему. Если компьютеру, на котором снимается лог, недоступен интернет, то этот самый лог можно вставить в текстовый файл, перенести на компьютер, у которого доступ к интернету в наличии, после чего вставить содержимое текстового файла в эту тему.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • именно это я и спрашивал три сообщения назад.
    винчестер - это не место для хранения информации.
  • Вот:


    Имя журнала:   Application
    Подача:        Application Hang
    Дата:          27.06.2008 17:47:02
    Код события:   1002
    Категория задачи:(101)
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Сергей-ПК
    Описание:
    Программа explorer.exe версии 6.0.6000.16386 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, доступны ли дополнительные сведения о проблеме, проверьте историю проблемы в панели управления "Отчеты о проблемах и решения". Идентификатор процесса: 1d8 Время начала: 01c8d836bfcd001e Время завершения: 8688
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Application Hang" />
        <EventID Qualifiers="0">1002</EventID>
        <Level>2</Level>
        <Task>101</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2008-06-27T09:47:02.000Z" />
        <EventRecordID>305</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Сергей-ПК</Computer>
        <Security />
      </System>
      <EventData>
        <Data>explorer.exe</Data>
        <Data>6.0.6000.16386</Data>
        <Data>1d8</Data>
        <Data>01c8d836bfcd001e</Data>
        <Data>8688</Data>
        <Binary>55006E006B006E006F0077006E0000000000</Binary>
      </EventData>
    </Event>


    Имя журнала:   Application
    Подача:        VSS
    Дата:          27.06.2008 19:37:01
    Код события:   12289
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Сергей-ПК
    Описание:
    Ошибка теневого копирования тома: Непредвиденная ошибка CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\,0x80000000,0x00000003,...).. hr = 0x800703ed.

    Операция:
       Обработка PreFinalCommitSnapshots

    Контекст:
       Контекст выполнения: System Provider
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="VSS" />
        <EventID Qualifiers="0">12289</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2008-06-27T11:37:01.000Z" />
        <EventRecordID>306</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Сергей-ПК</Computer>
        <Security />
      </System>
      <EventData>
        <Data>CreateFileW(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\,0x80000000,0x00000003,...)</Data>
        <Data>0x800703ed</Data>
        <Data>

    Операция:
       Обработка PreFinalCommitSnapshots

    Контекст:
       Контекст выполнения: System Provider</Data>
        <Binary>2D20436F64653A20494E434943484C4830303030303232322D2043616C6C3A2053505251534E504330303030303331312D205049443A202030303030333636342D205449443A202030303030333135322D20434D443A2020433A5C57696E646F77735C53797374656D33325C737663686F73742E657865202D6B2073777072762D20557365723A204E5420415554484F524954595C53595354454D20202020202D205369643A2020532D312D352D31382D204572726F723A43726561746546696C6557285C5C3F5C474C4F42414C524F4F545C4465766963655C486172646469736B566F6C756D65536861646F77436F7079345C2C307838303030303030302C307830303030303030332C2E2E2E2920</Binary>
      </EventData>
    </Event>


    Имя журнала:   Application
    Подача:        System Restore
    Дата:          27.06.2008 19:37:21
    Код события:   8193
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Сергей-ПК
    Описание:
    Не удалось создать точку восстановления тома (Процесс = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Описание = Запланированная контрольная точка; HR = 0x8004231f).
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="System Restore" />
        <EventID Qualifiers="0">8193</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2008-06-27T11:37:21.000Z" />
        <EventRecordID>307</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Сергей-ПК</Computer>
        <Security />
      </System>
      <EventData>
        <Data>C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation</Data>
        <Data>Запланированная контрольная точка</Data>
        <Data>0x8004231f</Data>
        <Binary>1F23048002020000D60100000000000032CA19E58CAF4DCB010000000000000000000000</Binary>
      </EventData>
    </Event>


    Имя журнала:   Application
    Подача:        System Restore
    Дата:          27.06.2008 19:37:21
    Код события:   8210
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Сергей-ПК
    Описание:
    Не удалось создать по расписанию запланированную точку восстановления.  Дополнительные сведения: (0x8004231f).
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="System Restore" />
        <EventID Qualifiers="0">8210</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2008-06-27T11:37:21.000Z" />
        <EventRecordID>308</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Сергей-ПК</Computer>
        <Security />
      </System>
      <EventData>
        <Data>0x8004231f</Data>
        <Binary>0000000000000000D200000000000000574C29CE5843BE27E26C1C000000000000000000</Binary>
      </EventData>
    </Event>


    Имя журнала:   Application
    Подача:        VSS
    Дата:          27.06.2008 19:40:21
    Код события:   8224
    Категория задачи:Отсутствует
    Уровень:       Сведения
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     Сергей-ПК
    Описание:
    Служба VSS выключается из-за тайм-аута простоя.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="VSS" />
        <EventID Qualifiers="0">8224</EventID>
        <Level>4</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2008-06-27T11:40:21.000Z" />
        <EventRecordID>309</EventRecordID>
        <Channel>Application</Channel>
        <Computer>Сергей-ПК</Computer>
        <Security />
      </System>
      <EventData>
        <Data>
        </Data>
        <Binary>2D20436F64653A2020434F525356434330303030303737322D2043616C6C3A2020434F525356434330303030303735342D205049443A202030303030333239322D205449443A202030303030333036302D20434D443A2020433A5C57696E646F77735C73797374656D33325C76737376632E6578652020202D20557365723A204E5420415554484F524954595C53595354454D20202020202D205369643A2020532D312D352D3138</Binary>
      </EventData>
    </Event>


    винчестер - это не место для хранения информации.
    • Предложено в качестве ответа termi800 30 июня 2009 г. 1:05
  • Отлично. Итак, по пунктам:

    1) 1002 - ошибка, связанная с повреждением системных файлов. В данном случае проблема с графической оболочкой Windows. Причины - любые. За вычетом вирусов и неаккуратного обращения с реестром, такую ошибку может повлечь за собой некорректная установка обновлений. причиной которой может быть как обрыв связи, так и действия антивируса (на время установки обновлений антивирусные сканеры вообще рекомендуется выключать)

    2) далее идут проблемы с VSS - службой теневого копирования. Как правило происходит из-за сбоя регистрации библиотек. Лечится чаще всего так - из командной строки:

    Cd windows\system32

    Net stop vss

    Net stop swprv

    regsvr32 ole32.dll

    regsvr32 vss_ps.dll

    Vssvc /Register

    regsvr32 /i swprv.dll

    regsvr32 /i eventcls.dll

    regsvr32 es.dll

    regsvr32 stdprov.dll

    regsvr32 vssui.dll

    regsvr32 msxml.dll

    regsvr32 msxml3.dll

    regsvr32 msxml4.dll 


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    2 июня 2009 г. 11:35
    Модератор
  • Действительно, в это время на компьютере автоматически запустилась проверка обновлений, а также и установка их на компьютер. Также в это время появляются в журнале записи о нехватке графических ресурсов для Desktop и о изменении частоты кадров.

    По прежнему имеется вопрос о том, в какие моменты операционная система может писать в область метафайла $BOOT.


    винчестер - это не место для хранения информации.
  • Единственное время, когда система обращается к этому файлу - процесс загрузки. Если в процессе загрузки происходит сбой, возможно повреждение файла. Сбой может иметь природу как аппаратного, так и программного характера - детальное выявление причин практически невозможно. Как одну из причин могу назвать активность антивирусного сканера, настроенного на проверку всего подряд при загрузке с включенным эвристическим анализатором кода. Другого времени, когда этот файл уязвим, просто нет
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • До сих пор я считал, что при загрузке эта область только читается. Поэтому прошу уточнить, у Vista она может ещё и модифицироваться при загрузке?
    винчестер - это не место для хранения информации.
  • В процессе чтения система осуществляет доступ к файлу. Повредить его она может и при чтении - запись тут ни при чем. Аналогия - если флешку, с которой считывается информация, резко извлечь в процессе считывания, она с большой долей вероятности будет повреждена. Смысл тут именно такой. В частности, упомянутое в первом посте смещение могло произойти из-за какого-то сбоя в процессе чтения.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • Извините, Юрий, но запись во время чтения не может быть произведена. Это разные команды интерфейса. Команда чтения передаёт данные от жёсткого диска компьютеру, команда записи - от компьютера - жёсткому диску. Если данные недопереданы, запишется только определённое количество секторов. Полусектора писаться не будут. В данном случае, допустим, запись во время чтения могла возникнуть из-за сбоя контроллера SATA на материнской плате, но откуда контроллер мог взять данные для передачи их жёсткому диску? А поскольку данные оказались именно те, что и должны быть в этих секторах (пока смещение не учитываем), то я с определённой долей уверенности считаю, что запись производилась штатно.

    По поводу флэшки вы тоже не совсем правы. у неё информация может быть повреждена не в процессе чтения, а в процессе отложенной записи. Если ничего на неё не писать, она довольно спокойно относится к выниманию из разъёма.
    винчестер - это не место для хранения информации.
  • Возвращаясь к теме... схожая проблема была обнаружена на жестком диске с испорченной прошивкой. Если возникают проблемы чтения с основных блоков, жесткий диск задействует резервные блоки и при проблемах с прошивкой данные на нем могут быть повреждены. Диск стоит проверить утилитой MHDD, а также посмотреть версию прошивки контроллера диска и выяснить, известно ли о проблемах с ней.


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    Модератор
  • Если не секрет, у какого жёсткого диска?

    PS. MHDD отработал нормально. Задержек нет, переназначенных секторов 0.
    винчестер - это не место для хранения информации.
    13 июня 2009 г. 11:04
  • Если не секрет, у какого жёсткого диска?
    У того, с которого собственно и грузится система.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    15 июня 2009 г. 5:20
    Модератор
  • Судя по логам и выше описанному, имеет место быть одна из нижеперечисленных проблем с железом :
     1. Проблема с прошивкой или самим железом HDD ( Может возникать периодически в процессе работы и MHDD здесь не панацея ! )
     2. Проблема с материнской платой - сбоит Южный или Северный мост. В первом случае это напрямую касается контроллера HDD, во втором это естественно память и процессор, также может сбоить непосредственно сам процессор или - же память.

    На вопрос как произошел сбой могу ответить. Касперский начинает проверять бутовую область, в этот момент происходит какая либо коллизия ( вплоть до броска напряжения в сети питания ). В такой ситуации виновных искать тяжело, очень много факторов и совпадений. Рекомендую провести полную проверку железа в компьютере, вплоть до замены блока питания ( тоже может оказывать влияние на HDD ) 

    30 июня 2009 г. 1:16