嗨,通常我会问更多编程类型的问题,但今天我遇到了一个好问题,天哪,我太迷茫了。我只想告诉你重要的部分。
让我们解释一下环境:
我在一家大公司工作,这里所有的应用程序都分布在网络上。我负责应用程序和操作系统(Windows 7 32x)的安装和分发,这当然是通过服务器-客户端系统和脚本完成的。一切都是自动化的,可以轻松部署。在新安装操作系统时,驱动程序会自动安装。
现在的问题是:
几周以来,我们在客户端上遇到了一个问题,即在经过一段不确定的时间段或触发后,客户端在自行启动时会出现蓝屏。我正在客户端上部署映像,这些客户端是笔记本电脑型号 CF-53 和 L420。我正在预先在虚拟机中创建映像,并在其上安装必要的软件或 Windows 更新。通过这种方式,我可以确保它们上没有恶意软件。蓝屏说明了所有愤怒的根源:IRQL_NO_LESS_OR_EQUAL,一些驱动程序无法加载。我尝试使用 Windows 构建修复系统来解决问题,它确实对 Mir 有帮助,但并非每次都有效。通过这种方式,我可以得到一些日志。
我的问题:
- 我现在应该怎么做?
- 您能告诉我其他可以寻求帮助的网站吗?
我做了什么,也就是调查:我开始搜索软件问题。这不是西门子的某些专有驱动程序第一次导致蓝屏。我在笔记本电脑型号 L420 上安装了新映像,并使用了一个脚本,该脚本会自动登录到客户端并重新启动它们。一段时间后,我让脚本再次自动运行。结果是应用程序不是触发器。蓝屏再次出现。此后,我开始查看日志。第一个日志是 Windows 事件管理器,它显示已安装的防病毒软件存在问题。通常,它会安装在映像上以获得更好的保护。我创建了一个没有它的新映像,并在阅读其他日志时再次运行测试。测试失败,防病毒软件也不负责任。我阅读了 Windows minidump 和 NTBTlogs,它们指出SynTP.sys并acpi.sys可能对此负责。SynTP.sys是 Touchpad UltraNav 的驱动程序。
我下载了最新版本的驱动程序并将其导入服务器系统。经过另外两个测试队列后,我可以确认驱动程序和 Windows 更新都不是导致此问题的原因。在一个测试队列中,我安装了驱动程序并更新了操作系统,直到它告诉我没有进一步的更新。在另一个测试队列中,我还手动安装了触摸板的最新驱动程序,但没有更新 Windows。结果是一样的(蓝屏和相同的错误)
总结:我做了一些研究并得到以下结果:蓝屏仍然会发生:
- 已安装 Windows 更新,完整更新和无更新
- 安装了 Touchpad UltraNav 的最新驱动程序,已安装和未安装
- 从 Windows 更新驱动程序,有一个特定于此更新的更新
- 安装或未安装防病毒软件
- 恶意软件也可能不是问题,因为我用于测试的每个图像都是专门为此创建的。
Der NTBTLOG 1: ul.to/ehdsdl5a
Der NTBTLOG 2: ul.to/dpv4j513
Der MiniDump: ul.to/x6dq16cv
更新
我现在有两个测试客户端。第一个是联想 L420,通过 Windows-DVD 安装。我安装了服务器系统 (baramundi) 的代理,到目前为止没有蓝屏。我想测试服务器系统是否对蓝屏负责。到目前为止没有蓝屏
第二个是通过服务器系统 baramundi 安装的 Panasonic CF-53 MK3。服务器系统使用来自虚拟机的克隆映像作为客户端。我安装了 synapsis 的最新驱动程序,适用于 win7(感谢 magicandre1981 提供链接)。我还安装了防病毒客户端。我想测试一下,在使用非通用驱动程序和防病毒软件的克隆系统上,我是否会出现蓝屏。在其他测试中,这足以生成蓝屏。到目前为止还没有蓝屏。
答案1
转储显示SynTP.sys(Synaptics Touchpad Driver)是原因:
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 00001120, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 930e7cfe, address which referenced memory
Debugging Details:
------------------
Unable to load image \SystemRoot\system32\DRIVERS\SynTP.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for SynTP.sys
*** ERROR: Module load completed but symbols could not be loaded for SynTP.sys
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 7601.23677.x86fre.win7sp1_ldr.170209-0600
SYSTEM_MANUFACTURER: Panasonic Corporation
SYSTEM_PRODUCT_NAME: CF-53SAWZ5MG
SYSTEM_SKU: CF-53SAWZ5MG
SYSTEM_VERSION: 003
BIOS_VENDOR: American Megatrends Inc.
BIOS_VERSION: V3.00L11
BIOS_DATE: 07/03/2014
BASEBOARD_MANUFACTURER: Panasonic Corporation
BASEBOARD_PRODUCT: CF53-3
BASEBOARD_VERSION: 1
STACK_TEXT:
00 nt!KiTrap0E
WARNING: Stack unwind information not available. Following frames may be wrong.
01 SynTP
02 SynTP
03 SynTP
04 nt!PopCallPowerSettingCallback
05 nt!PopDispatchPowerSettingCallbacks
06 nt!PopPolicyWorkerNotify
07 nt!PopPolicyWorkerThread
08 nt!ExpWorkerThread
09 nt!PspSystemThreadStartup
0a nt!KiThreadStartup
Image path: \SystemRoot\system32\DRIVERS\SynTP.sys
Image name: SynTP.sys
Browse all global symbols functions data
Timestamp: Tue Nov 11 20:58:21 2014
由于驱动程序是 2014 年的,请尝试安装最新版本。
答案2
确实,似乎大多数 BSOD 错误都是由您特别提到的损坏的系统文件引起的acpi.sys,而我就曾是此类攻击的受害者。
可能的解决方案包括:
检查完整性通过
acpi.sys查看文件大小变化(有时损坏时会显示为 0 字节文件)替换 acpi.sys与
C:\Windows\System32\drivers存储在系统文件的文件存储中的位置一致C:\Windows\WinSxS\- (这通常是存储正确系统文件的地方,sfc/scannow如果发生损坏,可以从此存储中检索)在线恢复图像健康使用以下命令:
Dism /Online /Cleanup-Image /StartComponentCleanup Dism /Online /Cleanup-Image /RestoreHealth
有时最好彻底清理 Windows 组件存储并从 Microsoft 服务器检索新的文件,在大多数情况下可以解决问题。
希望这可以帮助