Win 7 вылетает в BSOD

@1newuser1 · Регистрация: 13.09.2017

Author24 — интернет-сервис помощи студентам

Всем здравия.
Начала проявляться очень нехорошая проблема - операционка уходит в BSOD и перегружается.

Железо:
Xeon E5-1650 v4
Kingston ddr4 16Gb x 4 ecc
Гипервизор Win server 2016

Виртуалки:
a) Linux

б) Windows 7 x64 (виновница торжества)
с последними заплатками
Антивирь Eset 8
Office 2013

Перегрев железа и аппаратные проблемы исключил: victoria, memtest, smart в норме. В логах сервера подозрительных записей нет.
BSOD"ы невозможно привязать к установке нового железа или ПО, полгода все работало стабильно. Железо на гарантии.
Прогнал чекдиском и под сервером и под Win 7, проверил файлы-образы виртуалок и Linux и Windows, ошибок нет.
Проверил CureIT'ом обе системы, все чисто.

Дело в том, что на данном сервере собран лютый колхоз, а именно: семерка работает как виртуалка, а к ней уже подключаются пользователи по rdp (установлен патч, позволяющий это делать). Прошу не бить и не пинать, это делал не я, но разгребать теперь придется мне.
На ней работает около 20 пользователей.

Минидамп во вложении.

Ресурс http://www.osronline.com/ после загрузки дампа выдал следующее:

Кликните здесь для просмотра всего текста

Код

Crash Dump Analysis provided by OSR Open Systems Resources, Inc. (http://www.osr.com)
Online Crash Dump Analysis Service
See http://www.osronline.com for more information
Windows 7 Kernel Version 7601 (Service Pack 1) MP (10 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.23864.amd64fre.win7sp1_ldr.170707-0600
Machine Name:
Kernel base = 0xfffff800`02a0c000 PsLoadedModuleList = 0xfffff800`02c4e750
Debug session time: Thu Dec 21 04:05:02.854 2017 (UTC - 5:00)
System Uptime: 19 days 16:47:06.083
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

ATTEMPTED_WRITE_TO_READONLY_MEMORY (be)
An attempt was made to write to readonly memory.  The guilty driver is on the
stack trace (and is typically the current instruction pointer).
When possible, the guilty driver's name (Unicode string) is printed on
the bugcheck screen and saved in KiBugCheckDriver.
Arguments:
Arg1: fffff8a01aac6000, Virtual address for the attempted write.
Arg2: 80000006ec40d101, PTE contents.
Arg3: fffff8800d636cc0, (reserved)
Arg4: 000000000000000b, (reserved)

Debugging Details:
------------------

TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\modclass.ini, error 2

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

BUGCHECK_STR:  0xBE

PROCESS_NAME:  EXCEL.EXE

CURRENT_IRQL:  0

TRAP_FRAME:  fffff8800d636cc0 -- (.trap 0xfffff8800d636cc0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=00000000000000fc rbx=0000000000000000 rcx=fffff900c01157f4
rdx=0000000000000008 rsi=0000000000000000 rdi=0000000000000000
rip=fffff880054349dc rsp=fffff8800d636e50 rbp=00000000000009eb
 r8=0000000000000003  r9=0000000000000001 r10=fffff8800d637000
r11=0000000000000009 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl nz na pe nc
RDPWD!WriteRLEBytes+0xe0:
fffff880`054349dc 448806          mov     byte ptr [rsi],r8b ds:00000000`00000000=??
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff80002af93d4 to fffff80002a7b980

STACK_TEXT:  
fffff880`0d636b58 fffff800`02af93d4 : 00000000`000000be fffff8a0`1aac6000 80000006`ec40d101 fffff880`0d636cc0 : nt!KeBugCheckEx
fffff880`0d636b60 fffff800`02a79aae : 00000000`00000001 fffff8a0`1aac6000 fffff900`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x3b8fe
fffff880`0d636cc0 fffff880`054349dc : fffff880`0d636f00 00000000`00000000 fffff880`0d636f00 fffff880`05403fc0 : nt!KiPageFault+0x16e
fffff880`0d636e50 fffff880`05434c2a : 00000000`00000000 00000000`000009ed fffff900`c01157fc 00000000`000016a4 : RDPWD!WriteRLEBytes+0xe0
fffff880`0d636ea0 fffff880`05434cd3 : fffff880`0d636fc0 00000000`0000001b 00000000`000000fb 00000000`00000008 : RDPWD!EncodeRLEBytes+0x1aa
fffff880`0d636f00 fffff880`0542cd4d : 00000000`00000ae0 00000000`00000001 00000000`00000000 fffff880`0542a0ce : RDPWD!EncodeBitmapAsRLE+0x73
fffff880`0d636f60 fffff880`0542cfbc : 00000000`00000000 fffff880`00000000 00000000`000029c0 00000000`00000008 : RDPWD!BC_CompressPlanar+0x391
fffff880`0d637070 fffff880`05426624 : fffff900`c00ecc8c 00000000`00000020 00000000`00000020 00000000`0000014e : RDPWD!BC_CompressBitmap+0x19c
fffff880`0d637110 fffff880`05420967 : fffff900`c014dcd0 fffff900`c0600000 00000000`007e9000 fffff880`00000780 : RDPWD!ShareClass::SDGSendSDARectWorker+0x524
fffff880`0d637230 fffff880`0541a97c : fffff8a0`1699a000 fffff900`c0600000 fffff880`007e9000 fffff900`00000780 : RDPWD!ShareClass::SDG_SendScreenDataArea+0x1af
fffff880`0d637460 fffff880`0541ce5d : 01d37a3a`c956a690 fffff900`c0600000 fffff880`007e9000 00000000`00000780 : RDPWD!ShareClass::UP_SendUpdates+0x2ac
fffff880`0d6374f0 fffff880`05413374 : 00000000`00000000 fffff8a0`165f2000 fffff880`0d638240 fffff8a0`1699a000 : RDPWD!ShareClass::DCS_TimeToDoStuff+0x155
fffff880`0d637580 fffff880`054108e8 : fffff8a0`2eac5020 00000000`00000000 00000000`00000005 fffff800`02d6e066 : RDPWD!WDLIB_DDOutputAvailable+0x248
fffff880`0d637600 fffff880`0498c67f : fffff880`0d637f60 fffffa83`068cf2f0 fffffa83`0b095d80 fffff880`0d637f60 : RDPWD!WDSYS_Ioctl+0x28
fffff880`0d637e60 fffff880`0498c4c0 : fffffa83`068cf2f0 fffff880`0d637f60 00000000`00000005 fffff800`02d6dee3 : termdd!IcaCallSd+0x43
fffff880`0d637e90 fffff880`0498b0a9 : fffffa83`0923c010 00000000`00000005 fffffa83`063c6de8 00000000`0015fd01 : termdd!IcaCallStack+0x68
fffff880`0d637ec0 fffff880`0498d8a1 : 00000000`57f29f50 00000000`002aefa4 00000000`00000013 fffff800`02d74b38 : termdd!IcaCallDriver+0x145
fffff880`0d637f30 fffff880`04987793 : 00000000`00000000 00000000`02690615 00000000`00000000 fffff960`001721fb : termdd!IcaDeviceControlVirtual+0x2dd
fffff880`0d637ff0 fffff880`049899e9 : fffffa83`064e07c0 fffff880`0d638128 fffff880`0d638130 fffff800`00000008 : termdd!IcaDeviceControlChannel+0xeb
fffff880`0d6380d0 fffff880`04989689 : 00000000`00000000 fffff880`0d638240 fffff880`0d638230 00000000`00000000 : termdd!IcaDeviceControl+0x75
fffff880`0d638120 fffff960`0026a8fe : fffffa83`064e07c0 fffffa83`064e07c0 fffff880`0d638240 fffffa83`03ac8870 : termdd!IcaDispatch+0x215
fffff880`0d638160 fffff960`00c9125f : fffff900`c00d3020 00000000`00000000 00000000`00000001 fffff900`c00d15e8 : win32k!EngFileIoControl+0xe2
fffff880`0d6381f0 fffff960`00c9139c : 00000000`00000020 fffff900`00000000 00000000`00000000 fffff900`c00d3020 : RDPDD!SCH_DDOutputAvailable+0x24b
fffff880`0d6382d0 fffff960`00ca3169 : 00000000`00000020 fffff900`c00d3020 00000000`00000001 ef0bc9df`544b2fba : RDPDD!SCH_DDOutputAvailable+0x2c
fffff880`0d638300 fffff960`000e6aa6 : 00000000`00000000 fffff900`c00d2028 00000000`00000000 00000000`00000000 : RDPDD!DrvSetPointerShape+0xbf9
fffff880`0d638850 fffff960`000e634f : 00000000`00000615 fffffa83`151be870 00000000`00000000 00000000`00000000 : win32k!vSetPointer+0x5c6
fffff880`0d638970 fffff960`0015748e : fffff900`c00cc000 fffff900`c29354e0 00000000`7efdb000 00000000`00000000 : win32k!GreSetPointer+0x177
fffff880`0d638a20 fffff960`00137e07 : fffff900`c2622010 fffff880`0d638b60 00000000`00000000 fffff900`c3085aa0 : win32k!zzzUpdateCursorImage+0x28e
fffff880`0d638a60 fffff960`001802ab : 00000000`00000000 fffff880`0d638b60 00000000`00000000 fffff800`03017b50 : win32k!zzzSetCursor+0x77
fffff880`0d638ab0 fffff800`02a7ac13 : fffffa83`12bfc060 00000000`7efdb000 fffffa83`12bfc060 00000000`002af0e4 : win32k!NtUserSetCursor+0x4b
fffff880`0d638ae0 00000000`74ce2e09 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`0015e708 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x74ce2e09


STACK_COMMAND:  kb

FOLLOWUP_IP: 
RDPWD!WriteRLEBytes+e0
fffff880`054349dc 448806          mov     byte ptr [rsi],r8b

SYMBOL_STACK_INDEX:  3

SYMBOL_NAME:  RDPWD!WriteRLEBytes+e0

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: RDPWD

IMAGE_NAME:  RDPWD.SYS

DEBUG_FLR_IMAGE_TIMESTAMP:  4f3dde6f

FAILURE_BUCKET_ID:  X64_0xBE_RDPWD!WriteRLEBytes+e0

BUCKET_ID:  X64_0xBE_RDPWD!WriteRLEBytes+e0

Followup: MachineOwner
---------

@1newuser1 · 21.12.2017, 15:57 **[ТС]**

Прочитал расшифровку кодов в соседних ветках

Кликните здесь для просмотра всего текста

Код

ATTEMPTED_WRITE_TO_READONLY_MEMORY

Драйвер попытался записать в read-only (только чтение) память. Обычно возникает после установки неисправного драйвера оборудования, системного сервиса, BIOS`a. Если имя драйвера указано в ошибке, попытайтесь исправть проблему отключением, удалением или откаткой драйверов.

Применяется к следующим системам:
Windows 2000 Datacenter Server
ATTEMPTED_WRITE_TO_READONLY_MEMORY

Обычная причина: плохой или повреждённый драйвер неправильно функционирует.

Решение:

1. Отключите драйвер, указанный на стоп-экране или все, только что установленные драйвера. Если вы не можете загрузить компьютер, попробуйте воспользоваться Last Known Good Configuration или загрузиться в безопасном режиме (safe mode). И после этого отключите или удалить все новоустановленные драйвера и программное обеспечение.
Для большей информации смотрите статью Safe mode startup options. Если ваш компьютер не запускается в безопасном режиме, воспользуйтесь Recover a system that will not start.

Важно:
Когда вы используете Last Known Good Configuration, системные установки с последней успешной загрузки, будут утеряны.

2. Попытайтесь заменить драйвер хорошей копией с инсталляционного диска или скачать новую версию с сайта производителя.

Кликните здесь для просмотра всего текста

0x000000BE: ATTEMPTED_WRITE_TO_READONLY_MEMORY

Драйвер попытался записать данные в постоянное запоминающее устройство (ПЗУ), куда запись невозможна. Проблема обычно связана с установкой плохого драйвера устройства, запуском некорректной службы или установкой программно-аппаратного обеспечения.

Но это не прояснило ситуацию.

@vavun · 21.12.2017, 16:39

Сообщение от 1newuser1

к ней уже подключаются пользователи по rdp (установлен патч, позволяющий это делать)

И виновник именно RDPWD.SYS

Дамп только один ?

Проблема может быть в несовместимости версий файлов из патча и версий файлов самой ОС
Подроблее пока не могу сказать

gecata · 21.12.2017, 16:46

Crash date: Thu Dec 21 12:05:02.854 2017 (UTC + 3:00)
Stop error code: 0xBE
Process name: EXCEL.EXE
Probably caused by: RDPWD.SYS ( RDPWDWriteRLEBytes+e0 )

Ну да. Виноват системный файл RDPWD.SYS
Может, он повреждён. Попробуйте sfc /scannow

@vavun · 21.12.2017, 17:02

Если верить гуглу то во всех случаях патчится только termsrv.dll.
Можно попробовать сделать бекап всей виртуалки и таки восстановить все системные файлы, обновить ОС и перепатчить termsrv.dll заново (если x64, то оба файла в system32 и syswow64 ибо хз как оно работает)

@1newuser1 · 22.12.2017, 09:14 **[ТС]**

Сообщение от vavun

Дамп только один ?

Да. Как мне сказали, полгода все работало без сучка и задоринки.

На днях попробую выполнить рекомендации, тему добавил себе в закладки и по результатам отпишусь.

@ibarg · 29.12.2017, 03:20

Сообщение от 1newuser1

Гипервизор Win server 2016

Сообщение от 1newuser1

Антивирь Eset 8

Возможно Eset глючит. Пытается писать обновление своей базы в ячейки памяти, которые предназначены только для операции чтения.

@1newuser1 · 23.01.2018, 16:34 **[ТС]**

Переставил Excel, 3 недели полет нормальный.
Если будут проблемы, то обязательно отпишусь в теме.

@1newuser1 · 29.01.2018, 15:16 **[ТС]**

Снова был BSOD

012418-14390-01.7z

@vavun 10582 / 5545 / 864 Регистрация: 07.04.2013 Сообщений: 15,660
	21.12.2017, 16:39	3
	Сообщение от 1newuser1 к ней уже подключаются пользователи по rdp (установлен патч, позволяющий это делать) И виновник именно RDPWD.SYS Дамп только один ? Проблема может быть в несовместимости версий файлов из патча и версий файлов самой ОС Подроблее пока не могу сказать 0

gecata Модератор 15900 / 7922 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	21.12.2017, 16:46	4
	Crash date: Thu Dec 21 12:05:02.854 2017 (UTC + 3:00) Stop error code: 0xBE Process name: EXCEL.EXE Probably caused by: RDPWD.SYS ( RDPWDWriteRLEBytes+e0 ) Ну да. Виноват системный файл RDPWD.SYS Может, он повреждён. Попробуйте sfc /scannow 2

@vavun 10582 / 5545 / 864 Регистрация: 07.04.2013 Сообщений: 15,660
	21.12.2017, 17:02	5
	Если верить гуглу то во всех случаях патчится только termsrv.dll. Можно попробовать сделать бекап всей виртуалки и таки восстановить все системные файлы, обновить ОС и перепатчить termsrv.dll заново (если x64, то оба файла в system32 и syswow64 ибо хз как оно работает) 2

@1newuser1 2 / 2 / 1 Регистрация: 13.09.2017 Сообщений: 12
	22.12.2017, 09:14 [ТС]	6
	Сообщение от vavun Дамп только один ? Да. Как мне сказали, полгода все работало без сучка и задоринки. На днях попробую выполнить рекомендации, тему добавил себе в закладки и по результатам отпишусь. 0

@ibarg 6251 / 2837 / 560 Регистрация: 09.09.2017 Сообщений: 10,410
	29.12.2017, 03:20	7
	Сообщение от 1newuser1 Гипервизор Win server 2016 Сообщение от 1newuser1 Антивирь Eset 8 Возможно Eset глючит. Пытается писать обновление своей базы в ячейки памяти, которые предназначены только для операции чтения. 0

@1newuser1 2 / 2 / 1 Регистрация: 13.09.2017 Сообщений: 12
	23.01.2018, 16:34 [ТС]	8
	Переставил Excel, 3 недели полет нормальный. Если будут проблемы, то обязательно отпишусь в теме. 2

@1newuser1 2 / 2 / 1 Регистрация: 13.09.2017 Сообщений: 12
	29.01.2018, 15:16 [ТС]	9
	Снова был BSOD 012418-14390-01.7z 0