Erweiterte Problembehandlung für Stoppfehler und Bluescreens

Hinweis

Wenn Sie kein Support-Mitarbeiter oder IT-Experte sind, finden Sie weitere hilfreiche Informationen zu Abbruchfehlern ("Blue Screen")-Meldungen unter Beheben von Bluescreen-Fehlern.

Was sind die Ursachen für Abbruchfehler?

Ein Stopp-Fehler wird als blauer Bildschirm angezeigt, der den Namen des fehlerhaften Treibers enthält, wie beispielsweise die folgenden Beispieltreiber:

  • atikmpag.sys
  • igdkmd64.sys
  • nvlddmkm.sys

Es gibt keine einfache Erläuterung für die Ursache von Abbruchfehlern (auch bekannt als Bluescreen-Fehler oder Fehler Prüfungsfehler). Viele verschiedene Faktoren können einbezogen werden. Verschiedene Studien deuten jedoch darauf hin, dass Abbruchfehler in der Regel nicht von Microsoft Windows-Komponenten verursacht werden. Stattdessen beziehen sich diese Fehler im Allgemeinen auf fehlerhafte Hardwaretreiber oder Treiber, die von Software von Drittanbietern installiert werden. Dazu gehören Videokarten, Drahtlosnetzwerkkarten, Sicherheitsprogramme usw.

Unsere Analyse der Ursachen von Abstürzen gibt Folgendes an:

  • 70 Prozent werden durch Treibercode von Drittanbietern verursacht
  • 10 Prozent werden durch Hardwareprobleme verursacht
  • 5 Prozent werden durch Microsoft-Code verursacht
  • 15 Prozent haben unbekannte Ursachen (weil der Arbeitsspeicher zu fehlerhaft ist, um analysiert zu werden).

Allgemeine Schritte zur Problembehandlung

Führen Sie die folgenden allgemeinen Schritte aus, um Fehlermeldungen in Abbruch zu beheben:

  1. Überprüfen Sie den STOPP-Fehlercode, den Sie in den Ereignisprotokollen finden. Suchen Sie online nach den spezifischen Stoppfehler Codes, um festzustellen, ob es bekannte Probleme, Lösungen oder Problemumgehungen für das Problem gibt.
  2. Als bewährte Methode empfehlen wir, dass Sie die folgenden Schritte ausführen:

    a. Stellen Sie sicher, dass Sie die neuesten Updates für Windows-Updates, kumulative Updates und Rollups installieren. Wenn Sie den Updatestatus überprüfen möchten, lesen Sie den entsprechenden Updateverlauf für Ihr System:

  3. Führen Sie das Windows-Diagnosepaket " Machine memory dump Collector " aus. Dieses Diagnosetool wird verwendet, um Speicherabbilddateien des Computers zu erfassen und auf bekannte Lösungen zu überprüfen.

  4. Führen Sie den Microsoft Safety Scanner oder ein anderes virenerkennungsprogramm aus, das die Überprüfung des Master-Boot-Eintrags für Infektionen umfasst.

  5. Stellen Sie sicher, dass genügend freier Speicherplatz auf der Festplatte vorhanden ist. Die genaue Anforderung ist unterschiedlich, aber wir empfehlen 10 – 15 Prozent freien Speicherplatz.

  6. Wenden Sie sich an den jeweiligen Hardware-oder Softwarehersteller, um die Treiber und Anwendungen in den folgenden Szenarien zu aktualisieren:

    • Die Fehlermeldung weist darauf hin, dass ein bestimmter Treiber das Problem verursacht.
    • Es wird ein Hinweis auf einen Dienst angezeigt, der gestartet oder beendet wird, bevor der Absturz aufgetreten ist. Ermitteln Sie in dieser Situation, ob das Dienstverhalten für alle Instanzen des Absturzes konsistent ist.
    • Sie haben Software-oder Hardwareänderungen vorgenommen.

      Hinweis

      Wenn für einen bestimmten Hersteller keine Updates verfügbar sind, wird empfohlen, den zugehörigen Dienst zu deaktivieren.

      Informationen dazu finden Sie unter so wird es gemacht: Ausführen eines sauberen Starts in Windows

      Sie können einen Treiber deaktivieren, indem Sie die Schritte unter vorübergehende Deaktivierung des Kernelmodus-Filtertreibers in Windowsausführen.

      Möglicherweise möchten Sie auch die Option zum Zurücksetzen von Änderungen oder zum Wiederherstellen des letzten bekannten Arbeits Zustands in Frage stellen. Weitere Informationen finden Sie unter Zurücksetzen eines Gerätetreibers auf eine vorherige Version.

Speicherabbild Sammlung

Führen Sie die folgenden Schritte aus, um das System für Speicherabbilddateien zu konfigurieren:

  1. DumpConfigurator-Tool herunterladen.
  2. Extrahieren Sie die ZIP-Datei, und navigieren Sie zum Ordner " Quell Code ".
  3. Führen Sie das Tool DumpConfigurator. hta aus, und wählen Sie dann diese HTA erweiternaus.
  4. Wählen Sie Auto config Kernelaus.
  5. Starten Sie den Computer neu, damit die Einstellung wirksam wird.
  6. Beenden und deaktivieren Sie automatische System Neustart Dienste (ASR), um zu verhindern, dass Dumpdateien geschrieben werden.
  7. Wenn der Server virtualisiert ist, deaktivieren Sie den automatischen Neustart, nachdem die Speicherabbilddatei erstellt wurde. Auf diese Weise können Sie eine Momentaufnahme des Serverzustands aufnehmen und auch dann, wenn das Problem erneut auftritt.

Die Speicherabbilddatei wird an den folgenden Speicherorten gespeichert:

Dump-Dateityp Standort
(keine) %SystemRoot%\Memory. DMP (inaktiv oder abgeblendet)
Kleine Speicherabbilddatei (256 KB) %SystemRoot%\Minidump
Kernel-Speicherabbilddatei %SystemRoot%\Memory. DMP
Vollständige Speicherabbilddatei %SystemRoot%\Memory. DMP
Automatische Speicherabbilddatei %SystemRoot%\Memory. DMP
Aktive Speicherabbilddatei %SystemRoot%\Memory. DMP

Sie können das Tool Microsoft DumpChk (Crash Dump File Checker) verwenden, um sicherzustellen, dass die Speicherabbilddateien nicht beschädigt oder ungültig sind. Weitere Informationen finden Sie im folgenden Video:

Weitere Informationen zur Verwendung von Dumpchk. exe zum Überprüfen Ihrer Dumpdateien:

Einstellungen für Auslagerungsdatei

Speicherabbild Analyse

Die Ursache für den Absturz zu finden, ist möglicherweise nicht einfach. Hardware Probleme sind besonders schwer zu diagnostizieren, da Sie zu unregelmäßigen und unvorhersehbaren Verhaltensweisen führen können, die sich in verschiedenen Symptomen manifestieren können.

Wenn ein Abbruchfehler auftritt, sollten Sie zunächst die problematischen Komponenten isolieren und dann versuchen, den Abbruchfehler erneut auszulösen. Wenn Sie das Problem replizieren können, können Sie die Ursache in der Regel ermitteln.

Sie können die Tools wie Windows Software Development Kit (SDK) und Symbole verwenden, um Dump-Protokolle zu diagnostizieren. Im nächsten Abschnitt wird die Verwendung dieses Tools erläutert.

Erweiterte Schritte zur Problembehandlung

Hinweis

Die erweiterte Problembehandlung für Absturzabbilder kann sehr schwierig sein, wenn Sie nicht mit der Programmierung und internen Windows-Mechanismen vertraut sind. Wir haben versucht, einen kurzen Einblick in einige der verwendeten Techniken zu geben, darunter einige Beispiele. Damit Sie bei der Problembehandlung eines Absturz Speichers wirklich effektiv sein können, sollten Sie sich mit den erweiterten Debugging-Techniken vertraut machen. Eine Video Übersicht finden Sie unter Erweitertes Windows-Debuggen und Debuggen des Kernel Modus stürzt ab und hängt ab. Lesen Sie auch die unten aufgeführten erweiterten Verweise.

Erweiterte Debugging-Verweise

Erweitertes Windows-Debugging
Debugging-Werkzeuge für Windows (WinDbg KD, CDB, NTSD)

Schritte zum Debuggen

  1. Stellen Sie sicher, dass der Computer zum Generieren einer vollständigen Speicherabbilddatei eingerichtet ist, wenn ein Absturz eintritt. Weitere Informationen finden Sie hier .
  2. Suchen Sie die Datei "Memory. dmp" in Ihrem Windows-Verzeichnis auf dem Computer, der abstürzt, und kopieren Sie die Datei auf einen anderen Computer.
  3. Laden Sie auf dem anderen Computer das Windows 10 SDKherunter.
  4. Starten Sie die Installation, und wählen Sie Debugging Tools für Windowsaus. Dadurch wird das WinDbg-Tool installiert.
  5. Öffnen Sie das WinDbg-Tool, und legen Sie den Symbolpfad auf, indem Sie auf Datei und dann auf Symbol Dateipfadklicken.
    a. Wenn der Computer mit dem Internet verbunden ist, geben Sie den öffentlichen Microsoft-Symbolserver ein (https://msdl.microsoft.com/download/symbols) und klicken Sie auf OK. Dies ist die empfohlene Methode.
    b. Wenn der Computer nicht mit dem Internet verbunden ist, müssen Sie einen lokalen Symbolpfadangeben.
  6. Klicken Sie auf Crash Dump öffnen, und öffnen Sie dann die Datei Memory. dmp, die Sie kopiert haben. Sehen Sie sich das Beispiel unten an. WinDbg
  7. Es sollte einen Link geben, der besagt ! analyze-v unter BugCheck-Analyse. Klicken Sie auf diesen Link. Dadurch wird der Befehl! Analyze-v in der Eingabeaufforderung unten auf der Seite angezeigt.
  8. Eine detaillierte BugCheck-Analyse wird angezeigt. Sehen Sie sich das Beispiel unten an. BugCheck-Analyse
  9. Scrollen Sie nach unten zu dem Abschnitt, in dem STACK_TEXTsteht. Es gibt Zeilen mit Zahlen mit jeder Zeile, gefolgt von einem Doppelpunkt und etwas Text. Dieser Text sollte Ihnen mitteilen, welche DLL den Absturz verursacht, und ggf., welcher Dienst die dll abstürzt.
  10. Details zum Interpretieren der STACK_TEXT Ausgabe finden Sie unter Verwenden der! analyze-Erweiterung .

Es gibt viele mögliche Ursachen für einen BugCheck, und jeder Fall ist eindeutig. Im obigen Beispiel sind die wichtigen Zeilen, die aus dem STACK_TEXT identifiziert werden können, 20, 21 und 22:

(Hier werden Hex-Daten entfernt, und Zeilen werden zur Übersichtlichkeit nummeriert)

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Das Problem liegt hier bei mpssvc , einer Komponente der Windows-Firewall. Das Problem wurde behoben, indem die Firewall vorübergehend deaktiviert und dann die Firewall-Richtlinien zurückgesetzt werden.

Weitere Beispiele finden Sie im Abschnitt Debugging examples am Ende dieses Artikels.

Video Ressourcen

Die folgenden Videos veranschaulichen verschiedene Techniken zur Problembehandlung bei der Analyse von Dumpdateien.

Erweiterte Problembehandlung mithilfe der Treiberüberprüfung

Wir schätzen, dass etwa 75 Prozent aller Abbruchfehler durch fehlerhafte Treiber verursacht werden. Das Tool für die Treiberüberprüfung bietet verschiedene Methoden, die Ihnen bei der Problembehandlung helfen. Dazu gehören die Ausführung von Treibern in einem isolierten Speicherpool (ohne Freigabe von Arbeitsspeicher mit anderen Komponenten), wodurch extremer Speicherdruck und die Überprüfung von Parametern generiert werden. Wenn das Tool Fehler bei der Ausführung des Treiber Codes findet, erstellt es proaktiv eine Ausnahme, um zu ermöglichen, dass ein Teil des Codes weiter untersucht wird.

Warnung

Die Treiberüberprüfung beansprucht viele CPUs und kann den Computer erheblich verlangsamen. Möglicherweise werden auch weitere Abstürze auftreten. Die Überprüfung deaktiviert fehlerhafte Treiber, nachdem ein Stoppfehler aufgetreten ist, und wird weiterhin ausgeführt, bis Sie das System erfolgreich neu starten und auf den Desktop zugreifen können. Sie können auch davon ausgehen, dass mehrere Dumpdateien erstellt wurden.

Versuchen Sie nicht, alle Treiber gleichzeitig zu überprüfen. Dies kann die Leistung beeinträchtigen und das System unbrauchbar machen. Dies schränkt auch die Effektivität des Tools ein.

Verwenden Sie die folgenden Richtlinien, wenn Sie die Treiberüberprüfung verwenden:

  • Testen Sie alle "verdächtigen" Treiber (Treiber, die kürzlich aktualisiert wurden oder bekanntermaßen problematisch sind).
  • Wenn weiterhin nicht-analysierbar Abstürze auftreten, versuchen Sie, die Überprüfung auf alle Drittanbieter-und nicht signierten Treiber zu aktivieren.
  • Aktivieren Sie die gleichzeitige Überprüfung für Gruppen von 10 – 20 Treibern.
  • Darüber hinaus können Sie das Tool deaktivieren, indem Sie im abgesicherten Modus starten, wenn der Computer aufgrund der Treiberüberprüfung nicht in den Desktop gestartet werden kann. Dies liegt daran, dass das Tool nicht im abgesicherten Modus ausgeführt werden kann.

Weitere Informationen finden Sie unter Driver Verifier.

Häufige Windows-Stoppfehler

Dieser Abschnitt enthält keine Liste aller Fehlercodes, doch da viele Fehlercodes die gleichen potenziellen Auflösungen aufweisen, sollten Sie die folgenden Schritte ausführen, um die Fehlerbehandlung zu beheben.

In der folgenden Tabelle sind die allgemeinen Problembehandlungsverfahren für häufige Abbruchfehler Codes aufgeführt.

Beenden von Fehlermeldungen und Code Abhilfemaßnahmen
VIDEO_ENGINE_TIMEOUT_DETECTED oder VIDEO_TDR_TIMEOUT_DETECTED
Beenden des Fehlercodes 0x00000141 oder 0x00000117
Wenden Sie sich an den Anbieter des aufgelisteten Bildschirmtreibers, um ein entsprechendes Update für diesen Treiber zu erhalten.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Abbruchfehler Code 0x0000000D1
Wenden Sie die neuesten Updates für den Treiber an, indem Sie die neuesten kumulativen Updates für das System über die Microsoft Update-katalogwebsite anwenden. Aktualisieren eines veralteten NIC-Treibers. Virtualisierte VMware-Systeme führen häufig "Intel (R) pro/1000 MT-Netzwerkverbindung" (e1g6032e. sys). Dieser Treiber steht unter http://downloadcenter.intel.com. Wenden Sie sich an den Hardwarehersteller, um den NIC-Treiber für eine Lösung zu aktualisieren. Verwenden Sie für VMware-Systeme den integrierten VMware-NIC-Treiber (Typen VMXNET oder VMXNET2, VMXNET3 kann verwendet werden) anstelle von Intel e1g6032e. sys.
PAGE_FAULT_IN_NONPAGED_AREA
Abbruchfehler Code 0x000000050
Wenn ein Treiber in der Stop-Fehlermeldung identifiziert wird, wenden Sie sich an den Hersteller, um ein Update zu erhalten. Wenn keine Updates verfügbar sind, deaktivieren Sie den Treiber, und überwachen Sie das System auf Stabilität. Führen Sie chkdsk/f/r aus, um Datenträgerfehler zu erkennen und zu reparieren. Sie müssen das System neu starten, bevor die Datenträgerüberprüfung auf einer Systempartition beginnt. Wenden Sie sich an den Hersteller, um Diagnosetools für das Festplattensubsystem zu erhalten. Versuchen Sie, alle Anwendungen oder Dienste erneut zu installieren, die kürzlich installiert oder aktualisiert wurden. Es ist möglich, dass der Absturz ausgelöst wurde, während das Systemanwendungen startete und die Registrierung für die Einstellungs Einstellungen gelesen hat. Durch eine Neuinstallation der Anwendung können beschädigte Registrierungsschlüssel behoben werden. Wenn das Problem weiterhin besteht und Sie eine aktuelle Systemstatussicherung ausgeführt haben, versuchen Sie, die Registrierungsstrukturen aus der Sicherung wiederherzustellen.
SYSTEM_SERVICE_EXCEPTION
Abbruchfehler Code C000021A {schwerwiegender Systemfehler} der Windows-Subsystem-Systemprozess wurde unerwartet mit einem Status von 0xc0000005 beendet. Das System wurde beendet.
Verwenden Sie das Tool für die Systemdateiprüfung, um fehlende oder beschädigte Systemdateien zu reparieren. Mit der Systemdateiprüfung können Benutzer nach Beschädigungen in Windows-Systemdateien suchen und beschädigte Dateien wiederherstellen. Weitere Informationen finden Sie unter Verwenden des System Datei-Überprüfungstools.
NTFS_FILE_SYSTEM
Abbruchfehler Code 0x000000024
Dieser Abbruchfehler wird häufig durch Beschädigungen im NTFS-Dateisystem oder fehlerhafte Blöcke (Sektoren) auf der Festplatte verursacht. Beschädigte Treiber für Festplatten (SATA oder IDE) können sich auch negativ auf die Lese-und Schreibfähigkeit des Systems auf dem Datenträger auswirken. Führen Sie alle Hardwarediagnosen aus, die vom Hersteller des Speichersubsystems bereitgestellt werden. Verwenden Sie das Tool zum Überprüfen von Datenträgern, um sicherzustellen, dass keine Dateisystemfehler vorliegen. Klicken Sie dazu mit der rechten Maustaste auf das Laufwerk, das Sie scannen möchten, wählen Sie Eigenschaften aus, wählen Sie Extras und dann die Schaltfläche jetzt überprüfen aus. Wir empfehlen außerdem, den NTFS-Dateisystemtreiber (NTFS. sys) zu aktualisieren und die neuesten kumulativen Updates für das aktuelle Betriebssystem anzuwenden, bei dem das Problem auftritt.
KMODE_EXCEPTION_NOT_HANDLED
Abbruchfehler Code 0x0000001E
Wenn ein Treiber in der Stop-Fehlermeldung identifiziert wird, deaktivieren oder entfernen Sie diesen Treiber. Deaktivieren oder entfernen Sie alle Treiber oder Dienste, die vor kurzem hinzugefügt wurden.

Wenn der Fehler während der Startsequenz auftritt und die Systempartition mithilfe des NTFS-Dateisystems formatiert ist, können Sie den Treiber im Geräte-Manager möglicherweise mithilfe des abgesicherten Modus deaktivieren. Gehen Sie hierzu folgendermaßen vor:

Wechseln Sie zu Einstellungen #a0 & Update Security #a1 Recovery. Wählen Sie unter Erweiterter Startdie Option jetzt neu startenaus. Wählen Sie nach dem Neustart des PCs auf dem Bildschirm Option auswählen die Option > Problembehandlung > bei den > Start Einstellungen für erweiterte Optionenaus. Nachdem der Computer neu gestartet wurde, wird eine Liste mit Optionen angezeigt. Drücken Sie 4 oder F4 , um den Computer im abgesicherten Modus zu starten. Wenn Sie beabsichtigen, das Internet im abgesicherten Modus zu verwenden, drücken Sie 5 oder F5 für den abgesicherten Modus mit Netzwerk Option.
DPC_WATCHDOG_VIOLATION
Abbruchfehler Code 0x00000133
Dieser Abbruchfehler Code wird durch einen fehlerhaften Treiber verursacht, der seine Arbeit unter bestimmten Bedingungen nicht innerhalb des zugeteilten Zeitrahmens abschließt. Damit wir diesen Fehler vermeiden können, sammeln Sie die Speicherabbilddatei aus dem System, und verwenden Sie dann den Windows-Debugger, um den fehlerhaften Treiber zu finden. Wenn ein Treiber in der Stop-Fehlermeldung identifiziert wird, deaktivieren Sie den Treiber, um das Problem zu isolieren. Erkundigen Sie sich beim Hersteller nach Treiberupdates. Überprüfen Sie das Systemprotokoll in der Ereignisanzeige auf weitere Fehlermeldungen, die möglicherweise dazu beitragen, das Gerät oder den Treiber zu identifizieren, der den Abbruchfehler 0x133 verursacht. Überprüfen Sie, ob die installierte neue Hardware mit der installierten Windows-Version kompatibel ist. So können Sie beispielsweise Informationen zur erforderlichen Hardware unter Windows 10-Spezifikationen abrufen. Wenn der Windows-Debugger installiert ist und Sie Zugriff auf öffentliche Symbole haben, können Sie die c:\WINDOWS\MEMORY.dmp-Datei in den Debugger laden und dann auf Ermitteln der Quelle der Fehlerüberprüfung 0x133 (DPC_WATCHDOG_VIOLATION)-Fehler unter Windows Server 2012 auf verweisen. Suchen Sie den problematischen Treiber aus dem Speicherabbild.
USER_MODE_HEALTH_MONITOR
Abbruchfehler Code 0x0000009E
Dieser Abbruchfehler weist darauf hin, dass eine Integritätsprüfung im Benutzermodus auf eine Weise fehlgeschlagen ist, die das ordnungsgemäße Herunterfahren verhindert. Daher stellt Windows wichtige Dienste wieder her, indem es neu startet oder das Anwendungsfailover auf andere Server aktiviert. Der Clusterdienst enthält einen Erkennungsmechanismus, der möglicherweise nicht mehr reagiert, wenn sich Benutzermodus-Komponenten befinden.
Dieser Abbruchfehler tritt in der Regel in einer Clusterumgebung auf, und der angegebene fehlerhafte Treiber ist "Rs. exe". Überprüfen Sie die Ereignisprotokolle auf Speicherfehler, um den fehlerhaften Prozess zu identifizieren. Versuchen Sie, die Komponente oder den Prozess zu aktualisieren, die in den Ereignisprotokollen angegeben ist. Das folgende Ereignis sollte aufgezeichnet werden:
Ereignis-ID: 4870
Quelle: Microsoft-Windows-Failoverclustering
Beschreibung: die Überwachung des Benutzermodus-Status hat festgestellt, dass das System nicht mehr reagiert. Der virtuelle Failovercluster-Adapter hat den Kontakt mit dem Cluster Server Prozess mit einer Prozess-ID ' %1 ' für ' %2 ' Sekunden verloren. Die Wiederherstellungsaktion wird ausgeführt. Überprüfen Sie die Cluster Protokolle, um den Prozess zu identifizieren und zu untersuchen, welche Elemente dazu führen können, dass der Prozess hängen bleibt.
Weitere Informationen finden Sie unter "Warum wird mein Failover-Clustering-Knoten blaues Screening mit einem Stopp-0x0000009E?" Weitere Informationen finden Sie im folgenden Microsoft-Video was zu tun ist, wenn ein 9E auftritt.

Debugging-Beispiele

Beispiel 1

Dieser BugCheck wird verursacht, wenn ein Treiber während des Upgrades hängen bleibt, was zu einem BugCheck D1 in NDIS. sys (einem Microsoft-Treiber) führt. Im image_name wird der Fehler Treiber mitgeteilt, aber da es sich um einen Microsoft-Treiber handelt, kann er nicht ersetzt oder entfernt werden. Die Auflösungsmethode besteht darin, das Netzwerkgerät im Geräte-Manager zu deaktivieren und das Upgrade erneut zu versuchen.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Beispiel 2

In diesem Beispiel hat ein nicht-Microsoft-Treiberseiten Fehler verursacht, daher haben wir keine Symbole für diesen Treiber. Wenn Sie jedoch image_name und oder module_name sehen, gibt es WwanUsbMP. sys , die das Problem verursacht hat. Das Trennen des Geräts und das erneute Testen des Upgrades ist eine mögliche Lösung.


1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Verweise

Fehlerüberprüfung-Code Referenz