Всем привет. Сразу к делу. В этой статье не будет общих рекомендаций по исправлению BSOD из заголовка — просто расскажем, как нам удалось исправить эту ошибку на одном из ПК клиента.
Исходные данные: ОС Windows 10 (не самый актуальный релиз, сборка из ветки 20H(x), подключена к Центру обновлений), установлен коммерческий антивирус Kaspersky Small Office Security.
Стали поступать обращения от пользователя на внезапное возникновение синего экрана. Моменты «вылета» были произвольными: при включении, в рабочем режиме или простое компьютера.
На первом скриншоте, который мы получили, система ссылалась на ndu (драйвер мониторинга использования сетевых данных Windows):
«Что вызвало проблему: ndu.sys»
Отключение загрузки драйвера через реестр не помогло. Система также зависала, но уже не указывала на него.
Как отключить драйвер мониторинга использования сетевых данных Windows
- Автостарт службы можно отключить с помощью команды (от имени администратора):
sc config NDU start=disabled - Либо через реестр — в ветке
HKLM\SYSTEM\CurrentControlSet\Services\Ndu
Измените значение параметра Start на 4 (REG_DWORD) и перезагрузите компьютер.
В части, связанной с ndu, с необъятных просторов Интернета рекомендуют: отключить быстрый старт Windows, обновить драйверы сетевого адаптера или же вообще откатиться до контрольной точки, когда все работало.
Можно сказать, сама ОС облегчила нам путь — причина не в этом драйвере. Тут что-то другое.
Перед тем как двигаться дальше, желательно сделать контрольную точку системы, а также выполнить стандартные проверки на ошибки диска, состояние хранилища компонентов и целостность системных файлов:
- chkdsk c:\
- sfc /scannow
- DISM /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /ScanHealth
Подход номер 2
Подключили программы для разбора дампов — BlueScreenView и MiniDumper.
«Картина» начала проявляться детальнее, т. к. появились ссылки на конкретные библиотеки и драйверы. Например, из крайних отчетов MiniDumper 1.8:
Дамп: 120121-9265-01.dmp (01.12.2021 10:49:17)
Код: 0x1E - KMODE_EXCEPTION_NOT_HANDLED
Процесс: System, вероятно вызвано: memory_corruption
FAILURE_BUCKET_ID: MEMORY_CORRUPTION_LARGE
Дамп: 113021-6312-01.dmp (30.11.2021 13:45:03)
Код: 0xD1 - DRIVER_IRQL_NOT_LESS_OR_EQUAL
Процесс: chrome.exe, вероятно вызвано: memory_corruption
Сторонние модули в стеке: bddci.sys
Сторонние модули в Raw-стеке: bddci.sys, klflt.sys
FAILURE_BUCKET_ID: MEMORY_CORRUPTION_LARGE
Нас заинтересовал не klflt.sys (компонент защиты от «Лаборатории Касперского»), а странный bddci.sys.
По описанию — драйвер от антивируса Bitdefender, который на машину точно не ставился. При этом, стандартная утилита удаления Bitdefender Uninstall Tool не обнаруживает наличие компонентов (т. е. удалять нечего), антивирусная защита KSOS угроз не находит.
Можно сделать промежуточный вывод, что возникает некий конфликт между этими двумя защитными фильтрами. Вполне возможно, это и приводит к краху системы.
Таким образом, наша задача сводится к поиску приложений или сервисов, которые используют драйвер bddci.sys. Для корректного удаления его из системы.
Часть третья. Финальная
Главным «вредителями» в этом деле оказались службы стороннего программного обеспечения от издателя Lavasoft. Когда и как их установили в системе — отдельный вопрос.
1. Проверьте наличие программы WebCompanion в «Панель управления — Программы и компоненты» и удалите её.
Например,
2. Проверьте, какие сторонние службы стартуют в системе через «Конфигурация системы (msconfig) — Службы — «Не отображать службы Microsoft"» — увидите список служб прочих издателей (графа "Производитель").
Далее через оснастку services.msc (Службы), по какому пути запускаются. Все подозрительные — на отключение и/или последующее удаление.
По итогу мы отключили около 3-4 служб. Например, службу «WC Assistant»:
3. После остановки и отключения сторонних служб зачистите каталоги их запуска. В нашем случае: «C:\Program Files (x86)\Lavasoft\Web Companion».
4. На этом шаге мы переименовали драйвер bddci.sys в системном каталоге и выполнили перезагрузку. Либо можете использовать программу Autoruns для отключения загрузки этого драйвера.
✅ После такой зачистки наша система перестала вылетать в синий экран и заработала стабильно.
_____________________________________
⚡ Подписывайтесь на канал или задавайте вопрос на сайте — постараемся помочь всеми техническими силами. Безопасной и производительной работы в Windows и 1С.
