none
Windows 8.1最近每次重启都蓝屏 RRS feed

  • 问题

  • 最近这几天每次如果重启系统都会蓝屏,请帮忙查询原因,驱动程序用驱动精灵查询都是最新,而且最近几个月就未更新过驱动,查询系统日志发现从1月2日开始出现蓝屏,下面是报错日志,及dumpfile文件,

    蓝屏显示:PAGE_FAULT_IN_NONPAGED_AREA

    日志名称:          System
    来源:            Microsoft-Windows-WER-SystemErrorReporting
    日期:            2014/1/9 15:06:49
    事件 ID:         1001
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           XPS14
    描述:
    计算机已经从检测错误后重新启动。检测错误: 0x00000050 (0xffffd0002184f1b0, 0x0000000000000000, 0xfffff801dc3b6474, 0x0000000000000001)。已将转储的数据保存在: C:\WINDOWS\MEMORY.DMP。报告 ID: 010914-20437-01。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-WER-SystemErrorReporting" Guid="{ABCE23E7-DE45-4366-8631-84FA6C525952}" EventSourceName="BugCheck" />
        <EventID Qualifiers="16384">1001</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-01-09T07:06:49.000000000Z" />
        <EventRecordID>111679</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>System</Channel>
        <Computer>XPS14</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="param1">0x00000050 (0xffffd0002184f1b0, 0x0000000000000000, 0xfffff801dc3b6474, 0x0000000000000001)</Data>
        <Data Name="param2">C:\WINDOWS\MEMORY.DMP</Data>
        <Data Name="param3">010914-20437-01</Data>
      </EventData>
    </Event>


    dumpfile链接 http://sdrv.ms/1dxS6Bq


    2014年1月9日 7:41

答案

  • 请检查一下 NDISKHAZ.SYS 在什么位置?文件是否含有发行者信息?搜索了一下好像与 Azzouzi HotSpot Helper Driver 有关,不排除是恶意软件的可能。

    --
    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    本帖是回复帖,原帖作者是楼上的 "幽阳紫雪"

    nftrack.sys文件又被还原回去了,然后我又把这文件删了,然后看了下证书 Chengdu Xi Hui Tech没还原,然后尝试重启了2次,目前还算正常没蓝屏,第一次蓝屏的dumpfile文件,我分析了,里面写的是与ndiskhaz.sys相关
    2014年1月18日 8:58

全部回复

  • 只有选择重启时会出现问题么?直接关机会不会蓝屏?

    --
    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    本帖是回复帖,原帖作者是楼上的 "幽阳紫雪"

    最近这几天每次如果重启系统都会蓝屏,请帮忙查询原因,驱动程序用驱动精灵查询都是最新,而且最近几个月就未更新过驱动,查询系统日志发现从1月2日开始出现蓝屏,
    2014年1月10日 2:04
  • 重启肯定会蓝屏,但正常关机不一定会,现在蓝屏后只能强制关机再开机,然后会多次蓝屏,直到有一次不蓝屏恢复正常,我只好现在不关机,不用时就系统睡眠。
    2014年1月10日 2:41
  • ******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    Use !analyze -v to get detailed debugging information.
    
    BugCheck 50, {ffffd0002184f1b0, 0, fffff801dc3b6474, 1}
    
    *** WARNING: Unable to verify timestamp for nftrack.sys
    *** ERROR: Module load completed but symbols could not be loaded for nftrack.sys
    
    Could not read faulting driver name
    Probably caused by : nftrack.sys ( nftrack+250b )
    
    Followup: MachineOwner
    ---------
    
    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    PAGE_FAULT_IN_NONPAGED_AREA (50)
    Invalid system memory was referenced.  This cannot be protected by try-except,
    it must be protected by a Probe.  Typically the address is just plain bad or it
    is pointing at freed memory.
    Arguments:
    Arg1: ffffd0002184f1b0, memory referenced.
    Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
    Arg3: fffff801dc3b6474, If non-zero, the instruction address which referenced the bad memory
    	address.
    Arg4: 0000000000000001, (reserved)
    
    Debugging Details:
    ------------------
    
    
    Could not read faulting driver name
    
    READ_ADDRESS: fffff801dc528340: Unable to get special pool info
    fffff801dc528340: Unable to get special pool info
    GetUlongFromAddress: unable to read from fffff801dc5c3208
     ffffd0002184f1b0 
    
    FAULTING_IP: 
    nt!output_l+338
    fffff801`dc3b6474 443800          cmp     byte ptr [rax],r8b
    
    MM_INTERNAL_CODE:  1
    
    CUSTOMER_CRASH_COUNT:  1
    
    DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
    
    BUGCHECK_STR:  AV
    
    PROCESS_NAME:  System
    
    CURRENT_IRQL:  0
    
    TRAP_FRAME:  ffffd00022806390 -- (.trap 0xffffd00022806390)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=ffffd0002184f1b0 rbx=0000000000000000 rcx=000000007ffffffe
    rdx=0000000000000007 rsi=0000000000000000 rdi=0000000000000000
    rip=fffff801dc3b6474 rsp=ffffd00022806520 rbp=ffffd00022806620
     r8=0000000000000000  r9=ffffd00022806573 r10=00000000ffffffff
    r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei pl nz na pe nc
    nt!output_l+0x338:
    fffff801`dc3b6474 443800          cmp     byte ptr [rax],r8b ds:ffffd000`2184f1b0=00
    Resetting default scope
    
    LAST_CONTROL_TRANSFER:  from fffff801dc3eba91 to fffff801dc3c3ca0
    
    STACK_TEXT:  
    ffffd000`228061a8 fffff801`dc3eba91 : 00000000`00000050 ffffd000`2184f1b0 00000000`00000000 ffffd000`22806390 : nt!KeBugCheckEx
    ffffd000`228061b0 fffff801`dc2b25ad : 00000000`00000000 ffffe000`04090880 ffffd000`22806390 fffff800`01cf4010 : nt! ?? ::FNODOBFM::`string'+0x178f1
    ffffd000`22806250 fffff801`dc3cdf2f : 00000000`00000000 ffffd000`2184f1b0 00000000`00000000 ffffd000`22806390 : nt!MmAccessFault+0x7ed
    ffffd000`22806390 fffff801`dc3b6474 : ffffd000`2280678d 00000000`00000003 00000000`00000040 ffffe000`0020bdc0 : nt!KiPageFault+0x12f
    ffffd000`22806520 fffff801`dc3b2c95 : ffffe000`00eba900 00000000`00194647 00000000`000001ff ffffe000`029a96b0 : nt!output_l+0x338
    ffffd000`228067e0 fffff801`dc3b2c19 : 00000000`000001ff ffffe000`04090880 ffffd000`22806c90 fffff801`dc3c707d : nt!vsnprintf_l+0x75
    ffffd000`22806850 fffff800`01d0b50b : fffff800`01d0b6f4 ffffd000`2184f100 00000000`00000000 fffff801`dc3c6b36 : nt!vsnprintf+0x11
    ffffd000`22806890 fffff800`01d0b6f4 : ffffd000`2184f100 00000000`00000000 fffff801`dc3c6b36 00000000`00000089 : nftrack+0x250b
    ffffd000`22806898 ffffd000`2184f100 : 00000000`00000000 fffff801`dc3c6b36 00000000`00000089 ffffd000`2184f1b0 : nftrack+0x26f4
    ffffd000`228068a0 00000000`00000000 : fffff801`dc3c6b36 00000000`00000089 ffffd000`2184f1b0 00000000`895d407d : 0xffffd000`2184f100
    
    
    STACK_COMMAND:  kb
    
    FOLLOWUP_IP: 
    nftrack+250b
    fffff800`01d0b50b ??              ???
    
    SYMBOL_STACK_INDEX:  7
    
    SYMBOL_NAME:  nftrack+250b
    
    FOLLOWUP_NAME:  MachineOwner
    
    MODULE_NAME: nftrack
    
    IMAGE_NAME:  nftrack.sys
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  5265208f
    
    FAILURE_BUCKET_ID:  AV_nftrack+250b
    
    BUCKET_ID:  AV_nftrack+250b
    
    Followup: MachineOwner
    ---------
    
    0: kd> lmvm nftrack
    start             end                 module name
    fffff800`01d09000 fffff800`01d26000   nftrack  T (no symbols)           
        Loaded symbol image file: nftrack.sys
        Image path: \SystemRoot\system32\DRIVERS\nftrack.sys
        Image name: nftrack.sys
        Timestamp:        Mon Oct 21 20:39:43 2013 (5265208F)
        CheckSum:         0001788A
        ImageSize:        0001D000
        Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
    

    你好,

    根据分析问题应该是nftrack.sys引起的,我不清楚这个是一个什么驱动,或者可能是恶意软件,请问你安装过port tracker这个软件吗?

    为了确定引起的原因,我建议你使用Verfier 工具来检查驱动。同时使用杀毒软件扫描整个电脑。


    Kelvin hsu
    TechNet Community Support

    2014年1月10日 8:02
    版主
  • 多谢解答,port tracker我没用过,nftrack.sys我找到了,用verifier检查是未知驱动,然后看文件属性,显示的数字签名是Chengdu Xi Hui Tech,我未查询到此数字证书的相关信息,我把证书添加到未信任里面了,并把nftrack.sys转移到其他地方,用windows8.1自带的windows defener未查到有病毒,我怀疑是恶意软件,但不知道如何能清除,暂时除了蓝屏未发现其他故障,不过不太敢重启,因为之前重启就蓝屏。

    2014年1月10日 10:16
  • 你好,

    请检查证书是否跟银行或者一些安全网站有关,建议更新最新证书或或者卸载。


    Kelvin hsu
    TechNet Community Support

    2014年1月10日 13:06
    版主
  • 就是不知道这证书跟什么有关,请问如何卸载?
    2014年1月10日 14:13
  • 卸载证书:打开IE,切换到“内容”选项卡,点击“证书”,然后有几个选项卡,找到你的证书,删除掉就行。

    注意:删除前务必注意,请先导出,然后再卸载,备份很重要。

    2014年1月11日 8:18
  • 多谢解答,我之前没表达清除,我是想问,如何卸载那个nftrack.sys驱动,我只知道在设备管理器里找对应的驱动卸载,但找不到nftrack.sys的对应驱动,我用SREng删除了这个nftrack.sys驱动,但一直还没重启,不知是否会修复此故障。
    2014年1月11日 15:49
  • 找不到有关 NFTRACK.SYS 的有关信息。如果这个文件删除之后还是会自动出现,建议用 Process Monitor 监控一下。

    另外你有没有安装过与 Chengdu Xi Hui Tech 有关的东西?

    --
    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    本帖是回复帖,原帖作者是楼上的 "幽阳紫雪"

    多谢解答,我之前没表达清除,我是想问,如何卸载那个nftrack.sys驱动,我只知道在设备管理器里找对应的驱动卸载,但找不到nftrack.sys的对应驱动,
    2014年1月13日 1:31
  • 多谢回复,我没有主动安装过跟 Chengdu Xi Hui Tech有关的东西,并且也查不到这是什么,NFTRACK.SYS我已经删了,证书也删了,等我哪天重启后将结果放上来。
    2014年1月13日 4:39
  • 如果是这样真没准是个什么国产的流氓软件。正经软件除了安全防护需要外,一般轻易不需要以驱动形式挂载。

    --
    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    本帖是回复帖,原帖作者是楼上的 "幽阳紫雪"

    多谢回复,我没有主动安装过跟 Chengdu Xi Hui Tech有关的东西,并且也查不到这是什么,NFTRACK.SYS我已经删了,证书也删了,等我哪天重启后将结果放上来。
    2014年1月14日 2:16
  • 今天刚重启了,结果又是蓝屏,但蓝屏显示跟驱动有关,并且自动重启了2次后,自动修复,修复结果是系统还原,我点还原后,没选还原点就自动还原了,然后又出现之前的蓝屏效果,我进安全模式发现,nftrack.sys文件又被还原回去了,然后我又把这文件删了,然后看了下证书 Chengdu Xi Hui Tech没还原,然后尝试重启了2次,目前还算正常没蓝屏,第一次蓝屏的dumpfile文件,我分析了,里面写的是与ndiskhaz.sys相关

    下面附上第一次蓝屏的dumpfile文件链接

    http://sdrv.ms/1asiXyc

    2014年1月16日 17:51
  • 请检查一下 NDISKHAZ.SYS 在什么位置?文件是否含有发行者信息?搜索了一下好像与 Azzouzi HotSpot Helper Driver 有关,不排除是恶意软件的可能。

    --
    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    本帖是回复帖,原帖作者是楼上的 "幽阳紫雪"

    nftrack.sys文件又被还原回去了,然后我又把这文件删了,然后看了下证书 Chengdu Xi Hui Tech没还原,然后尝试重启了2次,目前还算正常没蓝屏,第一次蓝屏的dumpfile文件,我分析了,里面写的是与ndiskhaz.sys相关
    2014年1月18日 8:58