Дополнительные способы устранения STOP-ошибок или "синего экрана"

Примечание

Если вы не являетесь агентом службы поддержки или ИТ-специалистом, вы найдете дополнительные сведения о фатальной ошибке ("синий экран") в устранении неполадок, связанныхс ошибками синего экрана.

Причины возникновения Stopных ошибок

Неустранимые ошибки отображаются в виде синего экрана, который содержит имя неисправного драйвера, например любой из следующих примеров драйверов:

  • атикмпаг. sys
  • Igdkmd64. sys
  • нвлддмкм. sys

Не существует простого объяснения причины проблем с остановкой (также известными синим ошибкам экрана или ошибкам проверки ошибок). Может быть задействовано множество разных факторов. Однако различные исследования указывают на то, что ошибки Stop обычно не вызваны компонентами Microsoft Windows. Эти ошибки обычно связаны с неработающими драйверами оборудования или драйверами, установленными сторонними программами. Сюда входят видеокарты, карты беспроводной сети, программы для обеспечения безопасности и т. д.

Наш анализ основных причин сбоев указывает на следующее:

  • 70 процентов вызваны кодом стороннего драйвера
  • 10 процентов вызваны неполадками оборудования
  • 5 процентов появилось в коде Майкрософт
  • на 15 процентов есть неизвестные причины (из-за того, что память слишком повреждена для анализа)

Общие инструкции по устранению неполадок

Для устранения проблем с сообщением о фатальной ошибке выполните указанные ниже действия.

  1. Проверьте код ошибки, найденный в журналах событий. Найдите определенные коды Stop-ошибок, чтобы узнать, есть ли у вас известные проблемы, решения и временное решение проблемы.
  2. Для оптимальной методики рекомендуется выполнить указанные ниже действия.

    А. Убедитесь, что вы установили последние обновления для Windows, накопительные обновления и сведения о накопительных обновлениях. Чтобы проверить состояние обновления, обратитесь к соответствующему журналу обновлений для вашей системы.

  3. Запустите пакет диагностики Windows из сборщика дампов памяти компьютера . Это средство диагностики используется для сбора файлов дампа памяти компьютера и проверки известных решений.

  4. Запустите средство проверки безопасности Microsoft или другие программы обнаружения вирусов, которые включают в себя проверки основной загрузочной записи для заражения.

  5. Убедитесь в том, что на жестком диске достаточно свободного места. Точное требование зависит от того, что для свободного места на диске рекомендуется от 10 до 15 процентов.

  6. Обратитесь к соответствующему поставщику оборудования или программного обеспечения, чтобы обновить драйверы и приложения в указанных ниже случаях.

    • Сообщение об ошибке указывает на то, что проблема связана с определенным драйвером.
    • Вы видите сообщение о том, что служба запускается или завершает работу, пока не произошел сбой. В этом случае убедитесь, что поведение службы согласовано во всех экземплярах сбоя.
    • Вы внесли изменения в программное обеспечение или оборудование.

      Примечание

      Если вы не можете найти обновления от определенного производителя, рекомендуем отключить соответствующую службу.

      В этой статье описано, как выполнить чистую загрузку в Windows

      Вы можете отключить драйвер, выполнив действия, описанные в разделе временное отключение драйвера фильтра режима ядра в Windows.

      Вы также можете изменить вариант отката изменений или возврата к последнему рабочему состоянию. Дополнительные сведения можно найти в разделе откат драйвера устройства к более ранней версии.

Коллекция дампов памяти

Чтобы настроить систему для файлов дампа памяти, выполните указанные ниже действия.

  1. Загрузите средство думпконфигуратор.
  2. Извлеките ZIP-файл и перейдите в папку исходного кода .
  3. Запустите средство Думпконфигуратор. HTA и выберите пункт повышение прав на этот HTA.
  4. Выберите ядро автоматической настройки.
  5. Перезагрузите компьютер, чтобы параметр вступил в силу.
  6. Остановите и отключите функцию автоматического перезапуска системы (ASR), чтобы не допустить написания файлов дампа.
  7. Если сервер виртуализирован, отключите автоматическую перезагрузку после создания файла дампа памяти. Это позволяет сделать снимок сервера в состоянии, а также в случае повторения проблемы.

Файл дампа памяти сохраняется в указанных ниже папках.

Тип файла дампа Назначение
ничего %Системрут%\мемори. DMP (неактивен или затенен)
Файл малого дампа памяти (256 КБ) %Системрут%\минидумп
Файл дампа памяти ядра %Системрут%\мемори. DMP
Файл полного дампа памяти %Системрут%\мемори. DMP
Файл автоматического дампа памяти %Системрут%\мемори. DMP
Файл активного дампа памяти %Системрут%\мемори. DMP

Вы можете использовать средство Microsoft DumpChk (средство проверки файлов аварийного дампа), чтобы убедиться в том, что файлы дампа памяти не повреждены или недействительны. Дополнительные сведения можно найти в видеоролике ниже.

Дополнительные сведения об использовании Dumpchk. exe для проверки файлов дампа.

Параметры файла подкачки

Анализ дампа памяти

Поиск корневой причины сбоя может быть непростым. Проблемы оборудования особенно сложно диагностировать, так как они могут приводить к непредсказуемым и непредсказуемом последствиям для выполнения различных проблем.

При возникновении STOP-ошибки сначала необходимо изолировать проблемные компоненты, а затем попытаться снова запустить ее. Если вы можете реплицировать проблему, вы обычно можете определить ее причину.

Вы можете использовать инструменты, такие как пакет средств разработки программного обеспечения для Windows (SDK) и символы, для диагностики журналов дампа. В следующем разделе описано, как использовать это средство.

Дополнительные действия по устранению неполадок

Примечание

Расширенное устранение неполадок при аварийном дампе может быть очень проблематичным, если у вас нет опыта работы с программированием и внутренними механизмами Windows. Мы попытались предоставить краткое представление о некоторых используемых методиках, в том числе в некоторых примерах. Тем не менее, чтобы эффективно работать с аварийным дампом, вы должны тратить время на улучшенные методы отладки. Для получения видеообзора ознакомьтесь со статьей Расширенный Отладка и отладка Windows при сбоях режима ядра и зависаний. Также ознакомьтесь с дополнительными ссылками, приведенными ниже.

Дополнительные отладочные ссылки

Расширенная отладка Windows
Средства отладки для Windows (WinDbg, KD, CDB, NTSD)

Действия по отладке

  1. Убедитесь, что на компьютере настроено создание полного дампа памяти при возникновении сбоя. Для получения дополнительных сведений ознакомьтесь с приведенными ниже инструкциями.
  2. Найдите файл Memory. dmp в каталоге Windows на компьютере, на котором происходит сбой, и скопируйте его на другой компьютер.
  3. На другом компьютере Скачайте пакет SDK для Windows 10.
  4. Запустите установку и выберите инструменты отладки для Windows. Будет установлена программа WinDbg.
  5. Откройте средство WinDbg и задайте путь к символам, щелкнув файл , а затем щелкнув путь к файлу символов.
    А. Если компьютер подключен к Интернету, введите общедоступный сервер символов Майкрософт (https://msdl.microsoft.com/download/symbols) и нажмите кнопку ОК). Это рекомендуемый метод.
    Б. Если компьютер не подключен к Интернету, необходимо указать путь клокальному символу.
  6. Нажмите кнопку Открыть аварийный дампи откройте файл Memory. dmp, который вы скопировали. Ниже приведен пример. Отладчик WinDbg
  7. В разделе анализ критическойошибки должна быть ссылка на сообщение ! analyze-v . Щелкните эту ссылку. В окне приглашения в нижней части страницы будет введена команда! Analyze-v.
  8. Появится подробный анализ критической ошибки. Ниже приведен пример. Анализ отладки
  9. Прокрутите экран вниз до раздела, в котором написано стакк_текст. В каждой строке, за которой следует двоеточие и некоторый текст, должны быть строки с цифрами. Этот текст должен сообщать о том, какая библиотека вызывает сбой, и, если применимо, какая служба вызывает сбой в библиотеке DLL.
  10. Подробные сведения о том, как интерпретировать Ексенсионный вывод СТАКК_ТЕКСТ, можно найти в разделе! Analyze .

Существует множество возможных причин возникновения критической ошибки, и каждый случай является уникальным. В приведенном выше примере важные строки, которые можно идентифицировать из СТАКК_ТЕКСТ, — это 20, 21 и 22.

(ШЕСТНАДЦАТЕРИЧные данные удаляются здесь, а линии пронумерованы для ясности)

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Проблема связана с MPSSVC , который является компонентом брандмауэра Windows. Эта проблема была устранена, и вы временно отключите брандмауэр и переустановите политики брандмауэра.

Дополнительные примеры приведены в разделе Примеры отладки в нижней части этой статьи.

Видеоматериалы

В следующих видеороликах показаны различные методы устранения неполадок, возникающих при анализе файлов дампа.

Дополнительные действия по устранению неполадок с помощью средства проверки драйверов

Мы предполагаем, что около 75 процентов всех фатальных ошибок возникло в результате проблемных драйверов. В средстве проверки драйверов есть несколько способов, которые помогут вам устранить неполадки. Они включают запущенные драйверы в пуле изолированной памяти (без общего объема памяти для других компонентов), создавая нехватку памяти и проверяя параметры. Если средство обнаруживает ошибки при выполнении кода драйвера, оно создает исключение, которое позволяет проанализировать часть кода.

Предупреждение

Средство проверки драйверов потребляет большое количество ресурсов процессора и может значительно замедлить работу компьютера. Кроме того, вы можете столкнуться с дополнительными сбоями. Средство проверки отключает неисправные драйверы после возникновения критической ошибки и продолжает выполнять эти действия, пока вы не сможете загрузить систему и получить доступ к рабочему столу. Вы также можете ожидать создания нескольких файлов дампа.

Не пытайтесь проверить все драйверы за один раз. Это может привести к снижению производительности и невозможности использования системы. Это также ограничивает эффективность инструмента.

Ниже приведены рекомендации по использованию средства проверки драйверов.

  • Протестируйте подозрительные драйверы (драйверы, которые были недавно обновлены или известны проблемным).
  • Если вы продолжаете работу со сбоями, отличными от анализабле, попробуйте включить проверку на всех независимых и неподписанных драйверах.
  • Включите одновременную проверку групп из 10 – 20 драйверов.
  • Кроме того, если компьютер не может загрузиться с рабочего стола из-за средства проверки драйверов, вы можете отключить его, запустив безопасный режим. Это связано с тем, что средство не работает в безопасном режиме.

Дополнительные сведения можно найти в разделе средство проверки драйверов.

Общие неустранимые ошибки Windows

Этот раздел не содержит список всех кодов ошибок, но так как многие коды ошибок имеют одинаковые возможные решения, вам будет предложено выполнить указанные ниже действия для устранения ошибки.

В приведенной ниже таблице перечислены общие процедуры устранения неполадок для распространенных кодов ошибок.

Сообщение о фатальной ошибке и код Упреждающая мера
ВИДЕО_ЕНГИНЕ_ТИМЕАУТ_ДЕТЕКТЕД или ВИДЕО_ТДР_ТИМЕАУТ_ДЕТЕКТЕД
Код ошибки 0x00000141 или 0x00000117
Обратитесь к поставщику указанного видеодрайвера, чтобы получить подходящее обновление для этого драйвера.
ДРИВЕР_ИРКЛ_НОТ_ЛЕСС_ОР_ЕКУАЛ
Код системной ошибки 0x0000000D1
Установите последние обновления для драйвера, применив последние накопительные обновления для системы с помощью веб-сайта каталога Центра обновления Майкрософт. Обновите устаревший драйвер NIC. Виртуализированные системы VMware часто работают с сетевым подключением Intel (R) PRO/1000 MT (e1g6032e. sys). Этот драйвер вы можете найти http://downloadcenter.intel.comна странице. Обратитесь к поставщику оборудования, чтобы обновить драйвер NIC для устранения проблемы. В системах VMware вы можете использовать драйвер NIC Integrated (Types ВМКСНЕТ или VMXNET2, VMXNET3) вместо Intel e1g6032e. sys.
ПАЖЕ_ФАУЛТ_ИН_НОНПАЖЕД_АРЕА
Код системной ошибки 0x000000050
Если драйвер указан в сообщении о фатальной ошибке, обратитесь к изготовителю за обновлением. Если обновления недоступны, отключите драйвер и следите за стабильностью работы системы. Выполните команду chkdsk/f/r для обнаружения и исправления ошибок на диске. Перед началом сканирования диска в системном разделе необходимо перезапустить систему. Обратитесь к изготовителю за помощью средств диагностики, которые они могут предоставить для подсистемы жесткого диска. Попробуйте переустановить приложение или службу, которые были недавно установлены или обновлены. Возможно, произошел сбой, когда система запустила приложения и прочитает реестр для настройки параметров. Переустановка приложения может исправить поврежденные разделы реестра. Если проблема сохранится, и вы пропустили последнюю резервную копию состояния системы, попробуйте восстановить кусты реестра из резервной копии.
СИСТЕМ_СЕРВИЦЕ_ЕКСЦЕПТИОН
Ошибка с кодом Stop c000021a {Неустранимая системная ошибка} системная система подсистемы Windows неожиданно завершила работу со статусом 0xc0000005. Система была выключена.
С помощью средства проверки системных файлов Восстановите отсутствующие или поврежденные системные файлы. С помощью средства проверки системных файлов пользователи смогут искать повреждения в системных файлах Windows и восстанавливать поврежденные файлы. Дополнительные сведения можно найти в разделе Использование средства проверки системных файлов.
НТФС_ФИЛЕ_СИСТЕМ
Код системной ошибки 0x000000024
Обычно эта ошибка возникает из-за повреждений в файловой системе NTFS или поврежденных блоках (секторах) на жестком диске. Повреждение драйверов жестких дисков (SATA или IDE) также может негативно сказаться на способности системы читать и записывать записи на диск. Запустите диагностику оборудования, предоставленное производителем подсистемы хранения. Убедитесь в отсутствии ошибок файловой системы с помощью средства сканирования дисков. Для этого щелкните правой кнопкой мыши диск, который вы хотите проверить, выберите пункт Свойства, затем инструменты, а затем нажмите кнопку проверить. Кроме того, мы предлагаем вам обновить драйвер файловой системы NTFS (NTFS. sys) и установить последние накопительные обновления для текущей операционной системы, в которой возникают проблемы.
КМОДЕ_ЕКСЦЕПТИОН_НОТ_ХАНДЛЕД
Сообщение о фатальной ошибке с кодом 0x0000001E
Если в сообщении о фатальной ошибке указан драйвер, отключите или удалите этот драйвер. Отключите или удалите все недавно добавленные драйверы или службы.

Если ошибка возникает во время последовательности загрузки, а системный раздел отформатирован с помощью файловой системы NTFS, вы можете отключить драйвер в диспетчере устройств, используя безопасный режим. Для этого выполните следующие действия:

Перейдите к разделу настройки & > обновление системы безопасности > восстановление. В разделе Дополнительные параметры запусканажмите кнопку перезапустить сейчас. После перезагрузки компьютера на экран выберите параметр нажмите кнопку Устранение неполадок > с дополнительными параметрами > > перезагрузка. После перезапуска компьютера вы увидите список параметров. Нажмите клавишу 4 или F4 , чтобы запустить компьютер в безопасном режиме. Если вы планируете использовать Интернет в безопасном режиме, нажмите клавиши 5 или F5 для параметра безопасный режим с подключением к сети.
ДПК_ВАТЧДОГ_ВИОЛАТИОН
Код системной ошибки 0x00000133
Этот код системной ошибки вызывается неисправной драйвером, который не завершает свою работу в течение выделенного промежутка времени при определенных условиях. Чтобы устранить эту ошибку, соберите файл дампа памяти из системы, а затем воспользуйтесь отладчиком Windows, чтобы найти неисправный драйвер. Если в сообщении о STOP-ошибке указан драйвер, отключите его, чтобы изолировать проблему. Обратитесь к производителю за обновленными драйверами. Просмотрите журнал системы в средстве просмотра событий на предмет дополнительных сообщений об ошибках, которые могут помочь в определении устройства или драйвера, приводящего к фатальной ошибке 0X133. Убедитесь, что новое установленное оборудование совместимо с установленной версией Windows. Например, вы можете получить информацию о требуемом оборудовании в спецификациях Windows 10. Если установлен отладчик Windows и вы получаете доступ к общедоступным символам, вы можете загрузить файл к:\виндовс\мемори.ДМП в отладчик, а затем обратиться к статье Определение источника ошибки 0X133 (дпк_ватчдог_виолатион) в Windows Server 2012 для Найдите неисправный драйвер из дампа памяти.
УСЕР_МОДЕ_ХЕАЛС_МОНИТОР
Код системной ошибки 0x0000009E
Это сообщение об ошибке указывает на то, что проверка работоспособности пользовательского режима завершилась сбоем, так как это не помешает корректному завершению работы. Таким образом, Windows восстанавливает важные службы, перезапуская и обеспечивая отработку отказа приложения на другие серверы. Служба кластеров включает механизм обнаружения, который может обнаружить, что в компонентах пользовательского режима не отвечает.
Обычно эта ошибка может возникать в кластеризованной среде, а указанный неисправный драйвер — RHS. exe. Проверьте журналы событий на наличие ошибок хранилища, чтобы определить сбойный процесс. Попробуйте обновить компонент или процесс, который отображается в журналах событий. Появится следующее событие, записанное:
Код события: 4870
Источник: Microsoft-Windows-Фаиловерклустеринг
Описание: наблюдение за работоспособностью пользовательского режима обнаружило, что система не отвечает на запросы. Виртуальный адаптер отказоустойчивого кластера потерял связь со службой сервера кластеров с ИДЕНТИФИКАТОРом процесса "% 1" в течение "% 2" секунд. Будут предприняты меры по восстановлению. Просмотрите журналы кластеров, чтобы определить процесс, и выясните, какие элементы могут приводить к зависанию процесса.
Дополнительные сведения можно найти в разделе "почему на узле отказоустойчивой кластеризации находится синий отбор с помощью Stop 0x0000009E?" Кроме того, вы можете обратиться к следующему видеоролику Майкрософт, что делать, если возникает 9E.

Примеры отладки

Пример 1

Этот сбой вызывается из-за зависания драйвера во время обновления, что приводит к отладке D1 в NDIS. sys (драйвере Microsoft). Имаже_наме сообщит о неисправном драйвере, но так как это значит, что этот драйвер не может быть заменен или удален. Способ разрешения проблемы — отключение сетевого устройства в диспетчере устройств и повторный попытку обновления.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: http://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Пример 2

В этом примере драйвер, не относящийся к корпорации Майкрософт, вызвал ошибку страницы, поэтому у нас нет символов для этого драйвера. Однако просмотр в имаже_наме и модуле_наме указывает на то, что он вызвал вванусбмп. sys , который привел к возникшей неполадке. Это решение может быть отключено и повторной попыткой обновления.


1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: http://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Ссылки

Ссылка на код проверки ошибок