Winring0x64 sys что это за файл и как его удалить
Привет. Со вчерашнего дня вдруг система стала вылетать в Синий экран смерти с ошибками. 16.09 было установлено накопительное обновление.
Возможно оно влияет на ошибки?
Код остановки и что вызвало проблему может быть разное но вот пример того что я сфотографировал.
Я делал проверку файлов системы через командную строку. Ошибок не было.
Проверку ЖД через интерфейс и через команду в командной строке. Ошибок не было.
Проверку памяти через программу из раздела Администрирование. Ошибок не найдено.
Обновление видео драйвера до последней версии с сайта Nvidia через удаление старого и чистую установку нового.
Полная проверка системы на вирусы с помощью Касперский антивирус.
До вчерашнего дня проблем не было подобных вообще.
Разместите пожалуйста в OneDrive последние пять дампов памяти, записанных при сбоях, предоставьте к ним доступ и опубликуйте здесь на них ссылку, чтобы мы могли попытаться проанализировать происходящее на Вашей машине.
Восстановление не затронет личные файлы, но приложения, драйверы и обновления, установленные после создания точки восстановления, будут удалены.
В поле поиска на панели задач введите панель управления и выберите соответствующий пункт из списка результатов
В поле поиска на панели управления введите восстановление.
Выберите "Восстановление" - > "Запуск восстановления системы".
В окне "Восстановление системных файлов и параметров" нажмите кнопку "Далее".
Выберите точку восстановления из списка результатов и нажмите Поиск затрагиваемых программ.
Примечания:
Если нужная точка восстановления не отображается, установите флажок Показать другие точки восстановления, чтобы увидеть больше точек восстановления.
Вы увидите список элементов, которые будут удалены в случае удаления точки восстановления. Если вас все устраивает, нажмите "Закрыть" - > "Далее" - > "Готово".
К сожалению, это не помогло.
Благодарим за отзыв, он поможет улучшить наш сайт.
Благодарим за отзыв.
В ответ на запись пользователя Gennadij Chernikov от 19 сентября, 2021Вот 5 файлов из папки minidump.
К сожалению, это не помогло.
Благодарим за отзыв, он поможет улучшить наш сайт.
Благодарим за отзыв.
В ответ на запись пользователя GhostGhost888 от 19 сентября, 2021Вот на всякий случай ссылки на OneDrive.
К сожалению, это не помогло.
Благодарим за отзыв, он поможет улучшить наш сайт.
Благодарим за отзыв.
Вот результаты анализа:
On Sun 19.09.2021 22:02:45 your computer crashed or a problem was reported
crash dump file: C:\TMP\DUMP\091921-12937-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x3F71C0)
Bugcheck code: 0x3B (0xC0000005, 0xFFFFF80752B26EC9, 0xFFFFAB804B359920, 0x0)
Error: SYSTEM_SERVICE_EXCEPTION
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft:registered: Windows:registered: Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that an exception happened while executing a routine that transitions from non-privileged code to privileged code.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.
On Sun 19.09.2021 13:55:40 your computer crashed or a problem was reported
crash dump file: C:\TMP\DUMP\091921-13687-01.dmp
This was probably caused by the following module: bddci.sys (0xFFFFF8050CD7EE73)
Bugcheck code: 0x50 (0xFFFFF8040CD9BE18, 0x0, 0xFFFFF8050CD7EE73, 0x2)
Error: PAGE_FAULT_IN_NONPAGED_AREA
Bug check description: This indicates that invalid system memory has been referenced.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: bddci.sys .
Google query: bddci.sys PAGE_FAULT_IN_NONPAGED_AREA
On Sat 18.09.2021 21:52:41 your computer crashed or a problem was reported
crash dump file: C:\TMP\DUMP\091821-9437-01.dmp
This was probably caused by the following module: bddci.sys (0xFFFFF802572CE7E1)
Bugcheck code: 0xD1 (0xFFFFF8015730C538, 0x2, 0x0, 0xFFFFF802572CE7E1)
Error: DRIVER_IRQL_NOT_LESS_OR_EQUAL
Bug check description: This indicates that a kernel-mode driver attempted to access pageable memory at a process IRQL that was too high.
This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out.
A third party driver was identified as the probable root cause of this system error. It is suggested you look for an update for the following driver: bddci.sys .
Google query: bddci.sys DRIVER_IRQL_NOT_LESS_OR_EQUAL
On Sat 18.09.2021 20:21:06 your computer crashed or a problem was reported
crash dump file: C:\TMP\DUMP\091821-11609-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x3F71C0)
Bugcheck code: 0x3B (0xC0000005, 0xFFFFF8043D926EC9, 0xFFFFAB8182063920, 0x0)
Error: SYSTEM_SERVICE_EXCEPTION
file path: C:\WINDOWS\system32\ntoskrnl.exe
product: Microsoft:registered: Windows:registered: Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that an exception happened while executing a routine that transitions from non-privileged code to privileged code.
This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.
On Sat 18.09.2021 19:57:03 your computer crashed or a problem was reported
crash dump file: C:\TMP\DUMP\091821-8796-01.dmp
This was probably caused by the following module: amdppm.sys (amdppm+0x2ec7)
Bugcheck code: 0x133 (0x1, 0x1E00, 0xFFFFF80011EFA320, 0x0)
Error: DPC_WATCHDOG_VIOLATION
file path: C:\WINDOWS\system32\drivers\amdppm.sys
product: Microsoft:registered: Windows:registered: Operating System
company: Microsoft Corporation
description: Processor Device Driver
Bug check description: The DPC watchdog detected a prolonged run time at an IRQL of DISPATCH_LEVEL or above. This could be caused by either a non-responding driver or non-responding hardware. This bug check can also occur because of overheated CPUs (thermal issue).
The crash took place in a Microsoft module. The description of the module may give a hint about a non responding device in the system.
Все дампы указывают на возможные проблемы с драйверами.
Судя по тому, что в большинстве дампов есть указание на возможные сбои в библиотеке bddci.sys и других библиотеках имеющих отношение к AMD, возможно, проблемы с драйверами материнской платы.
Возможно, требуется переустановить, или обновить драйвера материнской платы, с которыми возникают проблемы, до актуальной версии.
Попробуйте обратится с вопросом о путях решения возникшей у Вас проблемы в техподдержку производителя Вашей материнской платы. Потому, что никто, кроме производителя, разрабатывать драйвера для выпускаемых им устройств не станет. Это исключительно прерогатива производителя. Microsoft не разрабатывает драйвера для устройств сторонних производителей.
Здравствуйте! Сразу прошу прощения за столько текста – хочу подробнее описать ситуацию. Окончательно замучал вирус майнер. Не пойму, откуда у него конкретно растут ноги… Началось это давно. Есть у меня два ноутбука и два модема для подключения Интернета. Провайдер украинский – Интертелеком. Использовались они раздельно по парах. Почти год назад нужда в двух модемах отпала – пользовались одним только на своём, а когда нужно было – раздавал интернет со своего ноута через прогу VirtualRouter. И тут один раз я заметил, что что-то грузит систему на 52-54%. Захожу в Диспетчер задач – ничего. Нагрузка тоже падает моментально до нормальной. Закрываю Диспетчер, и нагрузка снова повышается до вышеуказанной. Если же открыть Диспетчер и не трогать ноут, то через какое-то время Диспетчер сам закроется, и майнер опять запустится. Мучился я с этим неделю. В конце концов переустановил Винду. Скажу сразу – образ Windows оригинальный, чистый, безо всяких дополнений.
После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог.
P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят».
P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом.
__________________Помощь в написании контрольных, курсовых и дипломных работ здесь
Не могу избавиться от вируса майнера. notepad.exe
Здравствуйте, обнаружился на компьютере вирус майнер, Dr. Web cureit нашел 2 файла и я их удалил.
Не могу избавиться от вируса Neshta
Прошу помочь, недавно(вчера), подхватил Нешту. Провёл проверку Vba32Check, сделал всё как сказано.
Помогите, не могу избавиться от вируса!
Помогите, не могу избавиться от вируса! Антивирусник не находит, не могу скачать музыку, выдаёт.
Команда разработчиков майнера xmrig не сидит сложа руки. 15.12.2019 они выпустили очередной релиз майнера xmrig 3.0, в котором встроена поддержка оптимизации майнинга с помощью MSR мода CPU под Windows (эта опция уже реализована для Linux в версиях 5.2.0+ для Intel и 5.2.1+ для Ryzen).
Воздействие на регистры процессора непосредственно в операционной системе дает прирост в хешрейте при майнинге на алгоритме RandomX на не менее, чем 5% на процессорах Intel и до 15% на CPU AMD Ryzen.
Что такое MSR мод?
Этот драйвер выполняет функцию отключения в BIOS опций Hardware Prefetcher и Adjacent Cache Line Prefetch, которые негативно влияют на хешрейт при майнинге на алгоритме RandomX.
Эта полезная опция дает возможность более эффективно проводить вычисления на RandomX даже на компьютерах, у которых в BIOS отсутствует опция отключения функций Hardware Prefetcher и Adjacent Cache Line Prefetch.
Запуск программы xmrig от имени админа и включение функции MSR дает выигрыш в производительности на RandomX порядка 5-15%.
К сожалению, функция оптимизации MSR работает только на относительно новых процессорах, а именно:
- Intel (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell и более новые);
- Ryzen (все Zen CPU: Ryzen, Threadripper, EPYC и т.д.).
Как использовать xmrig с MSR модом?
Для активации MSR мода нужно запустить один раз майнер xmrig с правами администратора.
Это делается в контекстном меню, возникающем после нажатия правой кнопкой мыши на батнике для запуска xmrig:
Также можно выставить запуск исполняемого файла майнера xmrig в его свойствах.
Для этого правой кнопкой мыши вызывают контекстное меню программы xmrig и нажимают на свойства:
Затем на вкладке совместимости активируют опцию запуска от имени админа и применяют изменения:
При самостоятельной компиляции программы xmrig (или xmrig-notls для версии без шифрования трафика) нужно не забыть скопировать в папку с майнером файл драйвера winring под названием WinRing0x64.sys:
Для компиляции новой версии майнера xmrig (для Windows методика описана здесь) нужно обновить папку dependencies, скачав свежий набор библиотек с Github.
Возможные проблемы с запуском xmrig в режиме MSR
Если в директории с майнером xmrig нет драйвера MSR (файла WinRing0x64.sys), то возникает ошибка с кодом failed to start winring0 driver, error 2:
Если майнер не запущен с правами админа, то возникает ошибка вида failed to stop winring0 driver, error 1062:
При успешном запуске обновленной версии майнера с драйвером режима MSR в консоли манера ошибок не возникает и появляется зеленая строка register values for Intel has been set successfully:
В ubuntu при запуске xmrig может возникнуть ошибка msr kernel module is not available. Она решается установкой пакета msr-tools командами:
После этого нужно снова запустить xmrig в режиме суперпользователя:
Кроме того, может понадобиться (повторная) установка библиотек:
Вам также может понравиться
Мультиалгоритменная криптовалюта Myriad (XMY)
Соло-майнинг криптовалюты Wownero (WOW) после форка в июле 2021 года
То, что принято называть «графикой в ядре» обычно относится к win32k. Win32k.sys представляет собой ядерную часть графической подсистемы. Загружается пользовательским процессом smss.exe в процессе инициализации всех остальных подсистем. Путь к исполняемому образу для «kmode» подсистемы прописан здесь:
Как же это происходит?
Здесь (на стек трейсе в нижней части скриншота) хорошо видно, что инициирует загрузку win32k процесс пользовательского режима smss (который в том числе инициализирует файлы подкачки, реестр, переменные окружения, сохраняет дамп памяти, если до этого был bugcheck, при посредстве wininit запускает service control manager и local security authority subsystem, создает logon сессии и т.п..), а одна из первых вещей, которые делает сам win32k — это «налаживание связей» с ядром. И вот зачем: win32k находится на более высоком уровне по сравнению с ядром, поэтому ядро не может иметь зависимость (под «зависимостью» в данном случае понимается классический «reason to change») от (конкретной реализации) win32k, но и ядро и win32k могут безопасно зависеть от интерфейса. Таким интерфейсом является структура KWIN32_CALLOUTS_FPNS и функция для регистрации конкретной реализации этого интерфейса в ядре — PsEstablishWin32Callouts.
Кроме того, win32k регистрирует несколько типов объектов (в частности Desktop и WindowStation) через интерфейсы общего назначения, предоставляемые Object Manager-ом.
Таким образом НИКАКИХ зависимостей от win32k у ядра нет. Более того, до NT4 все user/gdi API обрабатывалось в csrss и, естественно, тормозило. Начиная с NT4 ЧАСТЬ user/gdi примитивов была перенесена в ядро для повышения производительности.
В общем win32k можно полностью убрать, можно заменить собственной ядерной частью, а можно реализовать все полностью в пользовательском режиме (используя, например, ioctl-ы для связи с ядром), но это будет тормозить. Единственная причина, по которой это не делается — потому что это не нужно. Можно написать по-другому — да, написать существенно лучше — вряд ли. Ну а переписывание ради самого переписывания — не лучшая идея.
Практика — критерий истины или «MinWin на коленке»
Для исключения недоразумений, хочу сразу же сказать: то что я буду делать не является MinWin-ом . Не является уже хотя бы потому, что настоящий MinWin содержит минимальный набор пользовательских (user mode) бинарников, я же собираюсь продемонстрировать полностью загруженное ядро (еще одно отличие — MinWin содержит минимальный набор драйверов, у меня же набор драйверов не меняется по сравнению с обычной загрузкой) вообще без пользовательского режима (ок, один процесс и одна dll-ка там все таки есть, но надо же хоть как то показать пользователю, что что-то происходит). Дополнительным поводом к размышлению может служить то, что настоящий MinWin появился в связи с работой по «расслоению» кода Windows 7, то же, что буду делать я в принципе возможно и на XP и даже на NT3.51
Итак, если вдумчиво прочитать то, что написано в предыдущем разделе, можно догадаться, что нам нужно заменить smss на такой, который не инициализирует подсистемы, но при этом все еще остается более-менее интерактивным. smss.exe — это обычный native процесс (приближенно, native приложение — это такое приложение, которое линкуется только с ntdll.dll и соотственно использует для работы только Native API). К счастью для меня Alex Ionescu — бывший главный разработчик ReactOS — уже написал подобное приложение в рамках (давно закрытого) проекта tinykrnl. Это приложение не собирается под amd64, не собирается на последнем WDK, имеет несколько багов, но в целом работает. Следующую картинку можно открыть архиватором — там содержатся исходники и скомпилированный amd64 бинарник небольшого приложения native.exe:
Прошу меня простить, но я не могу выложить готовый образ потому что это нелегально, поэтому выкладываю код, который может собрать vhd-образ из инсталляционного образа.
Следующий код можно исполнить ТОЛЬКО на Win7. Соханить его куда нибудь во временный каталог под именем, к примеру minwin.ps1, положить рядом install.wim (находится в каталоге \sources) c en-us инсталляционного диска Windows 7 (это важно — копируются только нужные для этой локализации NLS файлы), сохранить в этот каталог файл native.exe из прикрепленной выше картинки, перейти в этот самый каталог в elevated консоли и выполнить следующее:
Для краткости:
1. Рядом в одном каталоге должны лежать следующие файлы: minwin.ps1, install.wim и native.exe
2. Запускать minwin.ps1 нужно только после смены текущего каталога на каталог, содержащий вышеназванные файлы
Дисклеймер: все нижеследующее Вы делаете на свой страх и риск. Команды довольно очевидны и не должны нанести никакого вреда, но это «наколеночное» творчество, поэтому оно не обязано работать в любых условиях. Не выполняйте этот скрипт, если Вы не понимаете значение КАЖДОЙ команды (тем более, что выполнение должно производиться из-под повышенного пользователя). Если нет — ниже приведена картинка того, как это в конце концов выглядит. В упрощенном варианте можно просто переименовать native.exe в smss.exe, скопировать его поверх существующей smss.exe в уже загруженной виртуальной машине (подойдет любая x64 винда — от XP до 7) и перегрузиться.
Сам скрипт:
Выглядит это примерно так:
Если все сделано правильно (и при определенном везении :-) ), то через какое то время в том же каталоге появится файл disk.vhd — его можно запускать в виртуальной машине (тестировалось в VirtualBox, но не вижу причин, по которым это не должно работать в Virtual PC, Hyper-V или еще где нибудь):
Читайте также: