Avancerad felsökning för stopp- eller blåskärmsfel

Prova vår virtuella agent – Det kan hjälpa dig att snabbt identifiera och åtgärda vanliga windows-startproblem

Obs!

Om du inte är supportagent eller IT-proffs hittar du mer användbar information om stoppfelmeddelanden ("blå skärm") i Felsöka blåskärmsfel.

Gäller för: Versioner av Windows Server och Windows Client som stöds

Vad orsakar stoppfel?

När Windows stöter på ett villkor som äventyrar säker systemdrift stoppas systemet. Exempel är något som misslyckas som kan äventyra säkerheten eller leda till skadade operativsystem och/eller användardata. När datorn stoppas för att förhindra att operativsystemet går framåt under dessa förhållanden kallas den för en buggkontroll (eller en buggkontroll). Det kallas också ofta för en systemkrasch, ett kernelfel, en blå skärm, en blå skärm av döden (BSOD) eller ett stoppfel. I förhandsversioner av Windows kan skärmfärgen vara grön, vilket leder till den gröna dödsskärmen (GSOD).

Det finns ingen enkel förklaring till orsaken till stoppfel. Många olika faktorer kan vara inblandade. Vår analys av grundorsakerna till krascher visar att:

• 70 % orsakas av drivrutinskod från tredje part.
• 10 % orsakas av maskinvaruproblem.
• 5 % orsakas av Microsoft-kod.
• 15 % har okända orsaker eftersom minnet är för skadat för att analyseras.

Obs!

Rotorsaken till stoppfel är sällan en process i användarläge. En process i användarläge (till exempel Anteckningar eller Slack) kan utlösa ett stoppfel, men det exponerar vanligtvis det underliggande problemet i en drivrutin, maskinvara eller ett operativsystem.

Allmänna felsökningssteg

Följ dessa allmänna steg för att felsöka stoppfel:

1. Granska stoppfelkoden som du hittar i händelseloggarna. Sök online efter de specifika stoppfelkoderna för att se om det finns några kända problem, lösningar eller lösningar på problemet.

2. Se till att du installerar de senaste Windows-uppdateringarna, kumulativa uppdateringar och samlade uppdateringar. Information om hur du verifierar uppdateringsstatus finns i lämplig uppdateringshistorik för systemet. Till exempel:

   • Windows 10, version 21H2
   • Windows 10, version 21H1
   • Windows 10, version 20H2

3. Kontrollera att BIOS och den inbyggda programvaran är uppdaterade.

4. Kör relevanta maskinvaru- och minnestester.

5. Kör Microsoft Safety Scanner eller något annat virusidentifieringsprogram som innehåller kontroller av MBR för infektioner.

6. Kontrollera att det finns tillräckligt med ledigt utrymme på hårddisken. Det exakta kravet varierar, men vi rekommenderar 10–15 procent ledigt diskutrymme.

7. Kontakta respektive maskinvaru- eller programvaruleverantör för att uppdatera drivrutiner och program i följande scenarier:

   • Felmeddelandet anger att en specifik drivrutin orsakar problemet.
   • Du ser en indikation på en tjänst som startar eller stoppar innan kraschen inträffade. I den här situationen avgör du om tjänstbeteendet är konsekvent i alla instanser av kraschen.
   • Du har gjort ändringar i programvara eller maskinvara.

   Obs!

   Om det inte finns några tillgängliga uppdateringar från en specifik tillverkare rekommenderar vi att du inaktiverar den relaterade tjänsten.

   Mer information finns i Så här utför du en ren start i Windows.

   Du kan inaktivera en drivrutin genom att följa stegen i Inaktivera filterdrivrutinen för kernelläge tillfälligt i Windows.

   Du kanske också vill överväga alternativet att återställa ändringar eller återgå till det senast kända arbetstillståndet. Mer information finns i Återställa en enhetsdrivrutin till en tidigare version.

Insamling av minnesdumpar

Så här konfigurerar du systemet för minnesdumpfiler:

1. Välj sökrutan i aktivitetsfältet, skriv Avancerade systeminställningar och tryck sedan på Retur.
2. På fliken Avancerat i rutan Systemegenskaper väljer du knappen Inställningar som visas i avsnittet Start och återställning.
3. I det nya fönstret väljer du listrutan under alternativet Skriv felsökningsinformation.
4. Välj Automatisk minnesdump.
5. Välj OK.
6. Starta om datorn för att inställningen ska börja gälla.
7. Om servern är virtualiserad inaktiverar du automatisk omstart när minnesdumpfilen har skapats. Med den här inaktiveringen kan du ta en ögonblicksbild av serverns tillstånd och även om problemet uppstår igen.

Minnesdumpfilen sparas på följande platser:

Typ av dumpfil	Plats
(inget)	%SystemRoot%\MEMORY. DMP (inaktiv eller nedtonad)
Liten minnesdumpfil (256 kb)	%SystemRoot%\Minidump
Kernelminnesdumpfil	%SystemRoot%\MEMORY. DMP
Fullständig minnesdumpfil	%SystemRoot%\MEMORY. DMP
Automatisk minnesdumpfil	%SystemRoot%\MEMORY. DMP
Aktiv minnesdumpfil	%SystemRoot%\MEMORY. DMP

Du kan använda verktyget Microsoft Crash Dump File Checker (DumpChk) för att kontrollera att minnesdumpfilerna inte är skadade eller ogiltiga. Mer information finns i följande video:

Mer information om hur du använderDumpchk.exe för att kontrollera dina dumpfiler finns i följande artiklar:

• Använda DumpChk
• Ladda ned DumpChk

Inställningar för sidfil

Mer information om inställningarna för sidfiler finns i följande artiklar:

• Introduktion till sidfiler
• Så här fastställer du lämplig sidfilstorlek för 64-bitarsversioner av Windows
• Generera en kernel eller fullständig kraschdump

Analys av minnesdump

Det kanske inte är lätt att hitta rotorsaken till kraschen. Maskinvaruproblem är särskilt svåra att diagnostisera eftersom de kan orsaka oberäkneligt och oförutsägbart beteende som kan visa sig i olika symptom.

När ett stoppfel inträffar bör du först isolera de problematiska komponenterna och sedan försöka få dem att utlösa stoppfelet igen. Om du kan replikera problemet kan du vanligtvis fastställa orsaken.

Du kan använda verktyg som Windows Software Development Kit (SDK) och symboler för att diagnostisera dumploggar. I nästa avsnitt beskrivs hur du använder det här verktyget.

Avancerade felsökningssteg

Obs!

Avancerad felsökning av kraschdumpar kan vara mycket utmanande om du inte har erfarenhet av programmering och interna Windows-mekanismer. Vi har försökt ge en kort inblick här i några av de tekniker som används, inklusive några exempel. Men för att verkligen kunna felsöka en kraschdump bör du ägna tid åt att bekanta dig med avancerade felsökningstekniker. För en videoöversikt kraschar och låser sig felsökning av kernelläge. Se även de avancerade referenser som anges nedan.

Avancerade felsökningsreferenser

• Avancerad Windows-felsökning, bok i första utgåvan
• Felsökningsverktyg för Windows (WinDbg, KD, CDB, NTSD)

Felsökningssteg

1. Kontrollera att datorn har konfigurerats för att generera en fullständig minnesdumpfil när en krasch inträffar. Mer information finns i Metod 1: Minnesdump.

2. Leta upp den memory.dmp filen i Windows-katalogen på datorn som kraschar och kopiera filen till en annan dator.

3. Ladda ned Windows 10 SDK på den andra datorn.

4. Starta installationen och välj Felsökningsverktyg för Windows. WinDbg-verktyget är installerat.

5. Gå till menyn Arkiv och välj Sökväg till symbolfil för att öppna WinDbg-verktyget och ange symbolsökvägen.

   1. Om datorn är ansluten till Internet anger du Microsofts offentliga symbolserver: https://msdl.microsoft.com/download/symbols och väljer OK. Den här metoden rekommenderas.
   2. Om datorn inte är ansluten till Internet anger du en lokal symbolsökväg.

6. Välj Öppna kraschdump och öppna sedan den memory.dmp fil som du kopierade.

   

7. Under Bugcheck Analysis (Felsökningsanalys) väljer du !analyze -v. Kommandot !analyze -v anges i prompten längst ned på sidan.

8. En detaljerad buggkontrollanalys visas.

   

9. Rulla ned till avsnittet STACK_TEXT . Det kommer att finnas rader med tal med varje rad följt av ett kolon och lite text. Den texten bör tala om för dig vad DLL orsakar kraschen. I förekommande fall står det även vilken tjänst som kraschar DLL:en.

10. Mer information om hur du tolkar utdata för STACK_TEXT finns i Använda !analyze-tillägget.

Det finns många möjliga orsaker till en buggkontroll och varje fall är unikt. I exemplet ovan är de viktiga raderna som kan identifieras från STACK_TEXT 20, 21 och 22:

Obs!

HEX-data tas bort här och rader numreras för tydlighetens skull.

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Det här problemet beror på mpssvc-tjänsten, som är en komponent i Windows-brandväggen. Problemet reparerades genom att inaktivera brandväggen tillfälligt och sedan återställa brandväggsprinciper.

Fler exempel finns i Felsökningsexempel.

Videoresurser

Följande videor illustrerar olika felsökningstekniker för att analysera dumpfiler.

• Analysera dumpfil
• Installera felsökningsverktyget för Windows (x64 och x86)
• Felsöka kraschminnesdumpar i kernelläge
• Särskild pool

Avancerad felsökning med hjälp av drivrutinsverifierare

Vi uppskattar att cirka 75 procent av alla stoppfel orsakas av felaktiga drivrutiner. Verktyget Drivrutinsverifierare innehåller flera metoder som hjälper dig att felsöka. Dessa inkluderar att köra drivrutiner i en isolerad minnespool (utan att dela minne med andra komponenter), generera extremt minnestryck och verifiera parametrar. Om verktyget stöter på fel i körningen av drivrutinskoden skapar det proaktivt ett undantag. Den kan sedan undersöka den delen av koden ytterligare.

Varning

Drivrutinsverifieraren förbrukar mycket cpu och kan göra datorn betydligt långsammare. Du kan också uppleva ytterligare krascher. Verifieraren inaktiverar felaktiga drivrutiner när ett stoppfel inträffar och fortsätter att göra detta tills du kan starta om systemet och komma åt skrivbordet. Du kan också förvänta dig att se flera dumpfiler som skapats.

Försök inte verifiera alla drivrutiner samtidigt. Den här åtgärden kan försämra prestanda och göra systemet oanvändbart. Det begränsar också verktygets effektivitet.

Använd följande riktlinjer när du använder drivrutinsverifierare:

• Testa eventuella "misstänkta" drivrutiner. Till exempel drivrutiner som nyligen har uppdaterats eller som är kända för att vara problematiska.
• Om du fortsätter att uppleva icke-analysbara krascher kan du prova att aktivera verifiering på alla drivrutiner från tredje part och osignerade drivrutiner.
• Aktivera samtidig verifiering för grupper med 10–20 drivrutiner.
• Om datorn inte kan starta på skrivbordet på grund av drivrutinsverifieraren kan du dessutom inaktivera verktyget genom att starta i felsäkert läge. Den här lösningen beror på att verktyget inte kan köras i felsäkert läge.

Mer information finns i Drivrutinsverifierare.

Vanliga Windows-stoppfel

Det här avsnittet innehåller inte en lista över alla felkoder, men eftersom många felkoder har samma möjliga lösningar är det bästa valet att följa stegen nedan för att felsöka felet. En fullständig lista över stoppfelkoder finns i Referens för felkontrollkod.

I följande avsnitt visas allmänna felsökningsprocedurer för vanliga stoppfelkoder.

VIDEO_ENGINE_TIMEOUT_DETECTED eller VIDEO_TDR_TIMEOUT_DETECTED

Stoppa felkoden 0x00000141 eller 0x00000117

Kontakta leverantören av den angivna visningsdrivrutinen för att få en lämplig uppdatering för drivrutinen.

DRIVER_IRQL_NOT_LESS_OR_EQUAL

Stoppa felkoden 0x0000000D1

Tillämpa de senaste uppdateringarna för drivrutinen genom att tillämpa de senaste kumulativa uppdateringarna för systemet via webbplatsen för Microsoft Update Catalog. Uppdatera en inaktuell nätverksdrivrutin. Virtualiserade VMware-system kör ofta "Intel(R) PRO/1000 MT Network Connection" (e1g6032e.sys). Du kan ladda ned drivrutinen från webbplatsen intel download drivers & Software. Kontakta maskinvaruleverantören för att uppdatera nätverksdrivrutinen för en lösning. För VMware-system använder du den integrerade VMware-nätverksdrivrutinen i stället för Intels e1g6032e.sys. Använd till exempel VMware-typerna VMXNET, VMXNET2 eller VMXNET3.

PAGE_FAULT_IN_NONPAGED_AREA

Stoppa felkod 0x000000050

Om en drivrutin identifieras i stoppfelmeddelandet kontaktar du tillverkaren för en uppdatering. Om inga uppdateringar är tillgängliga inaktiverar du drivrutinen och övervakar systemet för stabilitet. Kör chkdsk /f /r för att identifiera och reparera diskfel. Starta om systemet innan diskgenomsökningen börjar på en systempartition. Kontakta tillverkaren för eventuella diagnostikverktyg som de kan tillhandahålla för hårddiskundersystemet. Försök att installera om program eller tjänster som nyligen har installerats eller uppdaterats. Det är möjligt att kraschen utlöstes när systemet startade program och läste registret för inställningsinställningar. Om du installerar om programmet kan du åtgärda skadade registernycklar. Om problemet kvarstår och du har kört en säkerhetskopia av systemtillståndet nyligen kan du försöka återställa registreringsdatafilerna från säkerhetskopian.

SYSTEM_SERVICE_EXCEPTION

Stoppa felkoden c000021a {Fatal System Error} Systemprocessen för Windows-undersystemet avslutades oväntat med statusen 0xc0000005. Systemet har stängts av.

Använd verktyget Systemfilkontroll för att reparera saknade eller skadade systemfiler. Med systemfilkontrollen kan användarna söka efter skador i Windows-systemfiler och återställa skadade filer. Mer information finns i Använda verktyget Systemfilkontroll.

NTFS_FILE_SYSTEM

Stoppa felkod 0x000000024

Det här stoppfelet orsakas ofta av skador i NTFS-filsystemet eller felaktiga block (sektorer) på hårddisken. Skadade drivrutiner för hårddiskar (SATA eller IDE) kan också påverka systemets möjlighet att läsa och skriva till disk. Kör eventuell maskinvarudiagnostik som tillhandahålls av tillverkaren av underlagringssystemet. Använd genomsökningsdiskverktyget för att kontrollera att det inte finns några filsystemfel. Om du vill göra det här steget högerklickar du på den enhet som du vill genomsöka, väljer Egenskaper, väljer Verktyg och väljer sedan knappen Kontrollera nu. Uppdatera NTFS-filsystemdrivrutinen (Ntfs.sys). Tillämpa de senaste kumulativa uppdateringarna för det aktuella operativsystemet som har problem.

KMODE_EXCEPTION_NOT_HANDLED

Stoppa felkoden 0x0000001E

Om en drivrutin identifieras i stoppfelmeddelandet inaktiverar eller tar du bort drivrutinen. Inaktivera eller ta bort drivrutiner eller tjänster som nyligen har lagts till.

Om felet inträffar under startsekvensen och systempartitionen formateras med hjälp av NTFS-filsystemet kan du kanske använda felsäkert läge för att inaktivera drivrutinen i Enhetshanteraren. Så här inaktiverar du drivrutinen:

1. Gå till Inställningar>Uppdatera &säkerhetsåterställning>.
2. Under Avancerad start väljer du Starta om nu.
3. När datorn har startats om till skärmen Välj ett alternativ väljer du Felsöka>avancerade alternativ>Starta om startinställningar>.
4. När datorn har startats om visas en lista med alternativ. Tryck på 4 eller F4 för att starta datorn i felsäkert läge. Om du tänker använda Internet i felsäkert läge trycker du på 5 eller F5 för alternativet Felsäkert läge med nätverk .

DPC_WATCHDOG_VIOLATION

Stoppa felkoden 0x00000133

Den här stoppfelkoden orsakas av en felaktig drivrutin som inte slutför sitt arbete inom den tilldelade tidsramen under vissa förhållanden. Du kan åtgärda det här felet genom att samla in minnesdumpfilen från systemet och sedan använda Windows-felsökningsprogrammet för att hitta den felaktiga drivrutinen. Om en drivrutin identifieras i stoppfelmeddelandet inaktiverar du drivrutinen för att isolera problemet. Kontakta tillverkaren om det finns drivrutinsuppdateringar. Kontrollera systemloggen i Loggboken efter andra felmeddelanden som kan hjälpa dig att identifiera enheten eller drivrutinen som orsakar stoppfelet 0x133. Kontrollera att all ny maskinvara som är installerad är kompatibel med den installerade versionen av Windows. Du kan till exempel få information om nödvändig maskinvara på Windows 10 Specifikationer. Om Windows Debugger är installerat och du har åtkomst till offentliga symboler kan du läsa in filen c:\windows\memory.dmp i felsökningsprogrammet. Se sedan Fastställa källan till felkontrollfel 0x133 (DPC_WATCHDOG_VIOLATION) på Windows Server 2012 för att hitta den problematiska drivrutinen från minnesdumpen.

USER_MODE_HEALTH_MONITOR

Stoppa felkoden 0x0000009E

Det här stoppfelet anger att en hälsokontroll i användarläge misslyckades på ett sätt som förhindrar en korrekt avstängning. Windows återställer kritiska tjänster genom att starta om eller aktivera programredundans till andra servrar. Klustringstjänsten innehåller en identifieringsmekanism som kan identifiera att komponenterna i användarläge inte svarar.

Det här stoppfelet inträffar vanligtvis i en klustrad miljö och den angivna felaktiga drivrutinen är RHS.exe. Kontrollera händelseloggarna för eventuella lagringsfel för att identifiera den misslyckade processen. Försök att uppdatera komponenten eller processen som anges i händelseloggarna. Följande händelse bör spelas in:

• Händelse-ID: 4870
• Källa: Microsoft-Windows-FailoverClustering
• Beskrivning: Hälsoövervakning i användarläge har upptäckt att systemet inte svarar. Det virtuella nätverkskortet för redundanskluster har förlorat kontakten med klusterserverprocessen med process-ID :t %1 i %2 sekunder. Återställningsåtgärder vidtas. Granska klusterloggarna för att identifiera processen och undersöka vilka objekt som kan orsaka att processen låser sig.

Mer information finns i "0x0000009E" Stoppfel på klusternoder i en Windows Server-baserad klustermiljö med flera noder . Se även följande Microsoft-video Vad gör du om en 9E inträffar.

Felsökningsexempel

Exempel 1

Den här felkontrollen orsakas av att en drivrutin låser sig under uppgraderingen, vilket resulterar i en felkontroll D1 i NDIS.sys, som är en Microsoft-drivrutin. Den IMAGE_NAME anger feldrivrutinen, men eftersom den här drivrutinen är En Microsoft-drivrutin kan den inte ersättas eller tas bort. Lösningsmetoden är att inaktivera nätverksenheten i enhetshanteraren och försöka uppgradera igen.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame doesn't contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Exempel 2

I det här exemplet orsakade en drivrutin som inte kommer från Microsoft sidfel, så vi har inte symboler för den här drivrutinen. Men om du tittar på IMAGE_NAME och eller MODULE_NAME indikerar det att det är WwanUsbMP.sys som orsakade problemet. Att koppla från enheten och försöka uppgradera igen är en möjlig lösning.

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This can't be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Referenser

Referens för felkontrollkod