Anzeige

Am Puls von Microsoft

Anzeige

BSOD - Fehlermeldungen, leichte Diagnose mit Hilfe von Windows Tools

Franz

Moderator
Der nachfolgende Artikel wurde für Windows Vista erstellt - alle Informationen gelten aber analog auch für Windows 7.

Da es, gerade unter Vista, immer wieder zu Systemabstürzen und Bluescreenmeldungen (BSOD) kommt,
die für uns nicht immer leicht nach zu vollziehen sind, hier ein kurzes Tutorial, wie ihr mithilfe von Windows Tools zumindest die Software
oder den Treiber lokalisieren könnt, der dafür verantwortlich ist.
Denn es ist eher wahrscheinlich, dass eine Software, oder die Konfiguration einer Software, Bluescreens auslöst, und seltener defekte Hardware dafür in Frage kommt.
Zunächst stellen wir unser System für ein Speicherabbild ein, das erzeugt wird, wenn ein BSOD das gesamte System stoppt.
In der Systemsteuerung wählen wir 'System' aus, gehen in die erweiterten Einstellungen und dort zu den Einstellungen im Bereich 'Starten und Wiederherstellen':

bsod01.jpg

Hier legen wir erst die Art des Speicherabbildes fest und wählen das 'Kernelspeicherbild'

bsod02.jpg

Wichtig: Ihr dürft den Pfad nicht vergessen, in dem das Abbild abgelegt ist.
Default ist %systemroot%\Memory.dmp

bsod03.jpg

Als systemroot wird das Windowsverzeichnis auf der Systempartition bezeichnet.
Zu guter letzt erstellen wir einen neuen Ordner namens „symbols“,
direkt auf der Systempartition (e.g. C:\symbols).
2. Anschließend laden wir die 'Debugging Tools for Windows' von Microsoft herunter. Für die jeweiligen Betriebssysteme gibt es unterschiedliche Versionen, allerdings alle in engl.:

Install Debugging Tools for Windows 32-bit Version

Nach dem Download müssen die Tools installiert werden. Der Installations-assistent bedarf sicher keiner weiteren Erklärungen.
Nach der Installation finden wir im Programmverzeichnis die 'Debugging Tools for Windows'. Hier befindet sich die Datei windbg.exe, die wir natürlich sofort starten.
Jetzt sehen wir außer einem großen grauen Fenster erstmal nichts.
Der Debugger muss zunächst noch verschiedene Informationen über installierte Patches, SPs, Treiber, etc., bekommen.
Wir gehen dann auf Files -> Symbol File Path

bsod04.jpg
In das kleine Fenster geben wir folgenden Befehl ein (paste&copy):
Code:
SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
setzen eine Haken bei 'Reload' und bestätigen das Ganze mit OK. Jetzt können alle notwendigen Informationen zum Debuggen von MS geladen werden, das geschieht natürlich automatisch.
Anschließend öffnen wir, nochmals über Files, das Speicherabbild für den Debugger:
Files -> Open Crash Dump

bsod05.jpg

Im anschließend erscheinenden Suchfenster geben wir den Pfad zum Memory.dmp an

bsod06.jpg

und bestätigen mit 'Öffnen'.
So, damit wäre fast alles von unserer Seite aus getan, der Debugger fängt an zu übersetzen und bringt uns nun verschiedene Informationen.
Im letzten Schritt geben wir entweder in die untere Befehlszeile

!analyze –v

ein und führen den Befehl mit der Entertaste aus, oder wir benutzen einfach den anklickbaren Befehl in den Informationen:

bsod07.jpg

Der Debugger debuggt etwas und nach kurzer Zeit haben wir als Ausgabe eine eindeutige Zuweisung der Datei, die uns die ganzen Bluescreens beschert.
In meinem Fall ist es die sptd.sys (Modul_Name), die für virtuelle Laufwerke verwendet wird.

bsod08.jpg

Mit dieser detaillierten Information können wir relativ schnell, auch im Internet, nach einer Lösung des Problems recherchieren, oder, kurzerhand den Treiber oder das Programm deinstallieren und aktualisieren.
 
Zuletzt bearbeitet:
Anzeige
@Franz
Ich danke Dir für diesen Beitrag.(y)
---siehe Bild 1---
Hier gehen wir auf Files -> Symbol Path File
Der heisst bei mir aber Symbol File Path.
---siehe Bild 2---
setzen eine Haken bei Reload
Der Haken lässt sich bei mir nicht setzten.
Was nun.?? das Progi wurde als Admin gestartet.
---siehe Bild 3---

Gedownloadet wurde diese Version:
Download the Debugging Tools for Windows
Current Release version 6.8.4.0 - October 18, 2007
Install 32-bit version 6.8.4.0 [16.7 MB]





Nachtrag: Auf dem Test-Rechner gehts auch nicht, zudem Icon Problem.
---siehe Bild 4---

Fazit:Sorry, weg damit.:(
Progi deinstalliert; alle Icons wieder da.:)
---siehe Bild 5---
 

Anhänge

  • Debugging 1.JPG
    Debugging 1.JPG
    50 KB · Aufrufe: 1.674
  • Debugging 2.JPG
    Debugging 2.JPG
    113,2 KB · Aufrufe: 1.885
  • Debugging 3.JPG
    Debugging 3.JPG
    73 KB · Aufrufe: 1.666
  • Debugging 4.JPG
    Debugging 4.JPG
    79,6 KB · Aufrufe: 1.871
  • Debugging 5.JPG
    Debugging 5.JPG
    90,1 KB · Aufrufe: 1.588
Zuletzt bearbeitet:
Hmm,

erst mal Danke, hab' den Schreibfehler korrigiert.
Ausserdem hatte ich den Pfad komplett falsch dargestellt,
ursprünglich machte die Boardsoftware daraus einen Link und ich löschte nicht alles,
sorry, das war ein deftiger Schnitzer, den ich aber behoben habe.
Jetzt sollte auch alles andere funktionieren.
Vorher bitte den Inhalt des symbols - Ordners löschen.
 
Zuletzt bearbeitet:
@Franz
Wo gehobelt wird fallen Späne oder auch manchmal sieht man vor lauter Bäumen den Wald nicht mehr.
Das kann passieren, also Schwamm drüber.;)

Aber leider kann ich das Progi noch immer nicht ausführen weil sich bei mir noch immer nicht der Haken setzen lässt und ich somit überhaupt nicht weiter komme.

Zudem scheint sich ein weitere Schreibfehler eingeschlichen zu haben.
In das kleine Fenster geben wir folgenden Befehl ein (paste&copy):
Code:
SRV*C:\symbols*Symbol information
In Deiner Abbildung steht aber statt "symbols"--"symbole"

Das wäre aber kein Problem wenn sich bei mir der Haken setzen ließe.
Habe es auch nochmals auf meinem Test-PC installiert und genau das selbe Prob mit dem Haken.
Weiterhin erschließt sich mir der Sinn des Ordners "symbols" nicht, da ich dort überhaupt keine Datei, außer die "exe" für das Debugging vor finden kann.!??

Wenn ich die im weiteren Verlauf, also die vorherigen Schritte überspringe, die Memory.DPM laden will sagt Vista ständig"ich habe kein Berechtigung dafür und müsste mir diese als Admin beschaffen, selbst danach funzt es nicht.

Irgendwie scheint das Progi bei mir nicht laufen wollen.

Anbei noch 2 Bildchen dazu.
 

Anhänge

  • Debugging 8.JPG
    Debugging 8.JPG
    52,7 KB · Aufrufe: 1.127
  • Debugging 7.JPG
    Debugging 7.JPG
    91,5 KB · Aufrufe: 1.536
Lauter kleine Fehler, es tut mir echt leid.
Tuts soll man eben nie mit heißer Nadel stricken.
Es muß natürlich "symbols" im Pfad heißen, da das der Ort der Datei auf dem MS-Server ist.
Allmählich wird's peinlich.

Zu deinem Reload - Problem:

Führe trotzdem den Debug durch. Wenn er beendet ist, schließe das Scriptfenster und gehe nochmals zu "Symbol File Path",
jetzt solltest du einen Haken setzen können.
Der Name des symbols - Ordners, den du erstellst, sollte ebenfalls klein
geschrieben sein, so wie es ausieht, arbeitet der Debugger case sensitive.

Im Anhang noch ein Blick auf den fertigen symbols - Ordner.
 

Anhänge

  • symbols_inhalt.jpg
    symbols_inhalt.jpg
    6,8 KB · Aufrufe: 1.805
@Franz
Führe trotzdem den Debug durch. Wenn er beendet ist, schließe das Scriptfenster und gehe nochmals zu "Symbol File Path",
jetzt solltest du einen Haken setzen können.
Nix zu machen, geht einfach nicht.(n)
Der Name des symbols - Ordners, den du erstellst, sollte ebenfalls klein
geschrieben sein, so wie es ausieht, arbeitet der Debugger case sensitive.
Ist gemacht worden.;)





Aber jetzt kommt es:!!!!

Ich habe die folgenden Schritte gar nicht durchgeführt sondern bin direkt hier hin gesprungen.
.......
Anschließend öffnen wir, nochmals über Files, das Speicherabbild für den Debugger:
Files -> Open Crash Dump
und siehe da: Es FUNZT:!!!!!!!(y)(y)
---siehe dazu die Bildchen---
Nun muss ich nur nochmal den Ordner
auf den fertigen symbols - Ordner.
kontrollieren ob der so aussieht wie bei Dir.
Also bis gleich.

Anmerkung noch dazu:
Es wurde nicht mit der aktuellen Version erneut gearbeitet sondern die Vorgänger-Version Previous Release version 6.7.5.1 - July 3, 2007 dazu benutzt da die aktuelle überhaut nicht funzte.
Alles aus diesem Posting durchgeführte: Auf dem Test-PC.
 

Anhänge

  • Debugging neu 5.jpg
    Debugging neu 5.jpg
    130,5 KB · Aufrufe: 1.523
  • Debugging neu 4.jpg
    Debugging neu 4.jpg
    146,7 KB · Aufrufe: 1.534
  • Debugging neu 3.jpg
    Debugging neu 3.jpg
    145 KB · Aufrufe: 1.616
  • Debugging neu 2.jpg
    Debugging neu 2.jpg
    58,7 KB · Aufrufe: 1.505
  • Debugging neu 1.jpg
    Debugging neu 1.jpg
    100,6 KB · Aufrufe: 1.837
So @Franz
Bis auf das Häkchen(n) ist alles auf dem Test-PC in BUTTER.(y):):)
alles weitere ist in den Bildchen zu sehen und zu lesen.
Mehr geht nicht.!!!!
THX für Deine Unterstützung.
Wie war das doch noch: Wer suchet der findet.:D


Anmerkung: Jetzt muss ich nur noch die LOG auswerten.
Aber das wenn ich mal viel, viel Lust dazu habe.;):eek:

Nachtrag: symbols Ordner Bildchen aus XP Sicht hinzugefügt.!
 

Anhänge

  • Debugging neu 6.JPG
    Debugging neu 6.JPG
    184 KB · Aufrufe: 1.256
  • Debugging neu 7.JPG
    Debugging neu 7.JPG
    100,1 KB · Aufrufe: 1.281
  • Debugging neu 8.JPG
    Debugging neu 8.JPG
    116,4 KB · Aufrufe: 1.222
  • Debugging 9.JPG
    Debugging 9.JPG
    105,6 KB · Aufrufe: 1.331
Zuletzt bearbeitet:
Hallo Franz,
ich verzweifle! Ich bin auch von Abstürzen und Bluescreens meines neuen Notebooks unter Vista geplagt, habe Deinen Beitrag gelesen und den Debugger installiert. Leider funktioniert er nicht wie geplant. Das bekannte Häkchen lässt sich nicht setzen und auch ist die Datei memory.dmp nicht zu finden. Ich habe nun schon die neueste Version und auch den Vorgänger des Debuggers installiert, genau wie Klabautermann, aber nix! :(
Was mache ich falsch? Kannst Du helfen? :eek:
Vielen Dank,
ChrisV
 
@chrisv
die Datei memory.dmp nicht zu finden.
Die memory.dmp ist auf meinem Hauptrechner auch nicht zu finden bzw nicht vorhanden.
Der ist aber auch noch nicht mit einer Bluescreenmeldungen (BSOD) abgestürzt.
Man müsste mal nachlesen wann eine memory.dmp angelegt wird.!?

Nachtrag: Rechtschreibung korrigiert.:D
 
Zuletzt bearbeitet:
@ Franz:
Vielen Dank für Deine Hilfe! Es funktioniert und ich habe Folgendes vom Debugger erhalten.

Da ich jetzt aber kein Windows-Profi bin was Fehlerbehebung angeht, würde mich interessieren, was Du davon hältst? :confused:
Ich tippe aber trotzdem auf einen Treiber, evtl. den Touchpad-Treiber, da der Fehler passierte als ich auf das Touchpad tippte.
Vielen Dank nochmals! :)

@ Klabautermann,

auch Dir vielen Dank für Deine Antwort!

Beste Grüße,
chrisv
 

Anhänge

  • log.txt
    3 KB · Aufrufe: 1.386
Hmm,

Windows Works unter Vista.
Funktioniert das?
Gibt es eine Vista-kompatible Version von Works?
Welche Version hast du?
 
Tja,

wirklich kompatibel scheint mir Works nicht zu sein,
zumindest spuckt das Internet Fehlermeldungen ohne Ende aus.
Versuche die Reparatur von Works, CD einlegen und dem Asisstenten folgen.
Vielleicht hilfts.
 
Hallo mal wieder,

jetzt war lange Ruhe und ich hatte keinen Bluescreen mehr bis vor Kurzem und heute gleich 2x! Ich habe gleich den Debugger benutzt und er spuckte den selben Fehler erneut aus :mad:
Hier die Bugcheck Analysis:

MEMORY_MANAGEMENT (1a)
# Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 00041287, The subtype of the bugcheck.
Arg2: 2f801000
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------

Page 4e32e not present in the dump file. Type ".hh dbgerr004" for details
Page 4e32e not present in the dump file. Type ".hh dbgerr004" for details
Page 4e32e not present in the dump file. Type ".hh dbgerr004" for details

BUGCHECK_STR: 0x1a_41287

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

PROCESS_NAME: firefox.exe

CURRENT_IRQL: 0

TRAP_FRAME: a30778b4 -- (.trap 0xffffffffa30778b4)
ErrCode = 00000002
eax=00808080 ebx=0000006f ecx=0000045c edx=00000590 esi=04110000 edi=04121000
eip=82091860 esp=a3077928 ebp=a307795c iopl=0 nv up ei pl nz ac pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010216
nt!RtlFillMemoryUlong+0x10:
82091860 f3ab rep stos dword ptr es:[edi] es:0023:04121000=????????
Resetting default scope

LAST_CONTROL_TRANSFER: from 8208fbb4 to 820a9ef2

STACK_TEXT:
a3077770 8208fbb4 00000001 2f801000 00000000 nt!MmAccessFault+0x106
a3077770 8208156e 00000001 2f801000 00000000 nt!KiTrap0E+0xdc
a3077818 8203e08a 000650ae 00000006 84d0d308 nt!KiXMMIZeroPagesNoSave+0x6
a3077834 820abb43 00000001 04121000 04110000 nt!MiZeroPhysicalPage+0x9f
a307789c 8208fbb4 00000001 04121000 00000000 nt!MmAccessFault+0x1d51
a307789c 82091860 00000001 04121000 00000000 nt!KiTrap0E+0xdc
a3077928 922ec5fd 04120b30 00001640 00808080 nt!RtlFillMemoryUlong+0x10
a307795c 922e663b a3077c1c 00000001 04110000 win32k!vSolidFillRect1+0x107
a3077afc 922e628f 922ec4f6 a3077c1c 00000000 win32k!vDIBSolidBlt+0x102
a3077b68 922e5eca ffa7c898 00000000 00000000 win32k!EngBitBlt+0x18e
a3077bc8 922e604f fd5c9618 a3077c2c a3077c1c win32k!GrePatBltLockedDC+0x212
a3077c70 922d4d9d a3077d04 0000f0f0 0012f5cc win32k!GrePolyPatBltInternal+0x173
a3077d28 8208caaa 4b010f1d 00f00021 0012f5cc win32k!NtGdiPolyPatBlt+0x16d
a3077d28 770d0f34 4b010f1d 00f00021 0012f5cc nt!KiFastCallEntry+0x12a
WARNING: Frame IP not in any known module. Following frames may be wrong.
0012f5a8 00000000 00000000 00000000 00000000 0x770d0f34


STACK_COMMAND: kb

FOLLOWUP_IP:
win32k!vSolidFillRect1+107
922ec5fd 8b55f4 mov edx,dword ptr [ebp-0Ch]

SYMBOL_STACK_INDEX: 7

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: win32k

IMAGE_NAME: win32k.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 46d4d163

SYMBOL_NAME: win32k!vSolidFillRect1+107

FAILURE_BUCKET_ID: 0x1a_41287_win32k!vSolidFillRect1+107

BUCKET_ID: 0x1a_41287_win32k!vSolidFillRect1+107

Followup: MachineOwner
---------

Scheinbar liegt es nicht an Works sondern an Firefox, da weiter oben als "Process_Name" die firefox.exe genannt wird. Als Modul wird wieder "win32k" genannt. Ich würde aber ungern auf Firefox verzichten, da der Browser mir eigentlich besser als der Internet Explorer erscheint.
Vielleicht sollte ich eine Neuinstallation von Firefox probieren?
Vielen Dank schon mal!

LG,
ChrisV
 
Zuletzt bearbeitet von einem Moderator:
Starte den Firefox über das Startmenü mal im "Safe Mode".
Wenn dann keine Probleme auftreten, ist irgendeine Erweiterung schuld an dem Problem. Hast Du vielleicht kürzlich eine neue Erweiterung installiert?
 
Hier kann man sich auch die Symbol Package downloaden wer kein Internet hat was komisch währe aber man weis es ja nicht.

Download Windows Symbol Packages

Für die Versionen:

Server 2008 32bit/64bit
Vista mit und ohne SP1 32bit/64bit
Windows Server 2003 und Windows x64 Edition
Windows XP
Windows 2000
 
Bluescreens unter Vista Ultimate x64

Hallo Dr Vista,

nach fast 3 wöchigen Bluescreenattacken, habe ich nach einer Lösung des Problems gesucht und bin auf diese Seite gelangt. Nun habe ich mir das Debugger-Tool zum analysieren runtergeladen und kann trotzdem nicht erkennen, ob jetzt die Software oder Hardware defekt ist.

Was kann man konkret mit den unten ausgeführten Daten anfangen, was soll mir das sagen? : )


Wäre dankbar für die Offenbarung


Beste Grüße


BugCheck A, {fffff98000d22000, e, 0, fffff800014949a3}

Missing image name, possible paged-out or corrupt data.
Unable to read NonPagedDebugInfo at ccccc314`c4835e5f - NTSTATUS 0xC0000141
Unable to read KLDR_DATA_TABLE_ENTRY at f685ff33`d1ff5604 - NTSTATUS 0xC0000141
WARNING: .reload failed, module list may be incomplete
Missing image name, possible paged-out or corrupt data.
Unable to read NonPagedDebugInfo at ccccc314`c4835e5f - NTSTATUS 0xC0000141
Unable to read KLDR_DATA_TABLE_ENTRY at f685ff33`d1ff5604 - NTSTATUS 0xC0000141
WARNING: .reload failed, module list may be incomplete
Probably caused by : ntkrnlmp.exe ( nt!RtlVirtualUnwind+1e7 )



IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: fffff98000d22000, memory referenced
Arg2: 000000000000000e, IRQL
Arg3: 0000000000000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff800014949a3, address which referenced memory

Debugging Details:
------------------

Missing image name, possible paged-out or corrupt data.
Unable to read NonPagedDebugInfo at ccccc314`c4835e5f - NTSTATUS 0xC0000141
Unable to read KLDR_DATA_TABLE_ENTRY at f685ff33`d1ff5604 - NTSTATUS 0xC0000141
WARNING: .reload failed, module list may be incomplete
Missing image name, possible paged-out or corrupt data.
Unable to read NonPagedDebugInfo at ccccc314`c4835e5f - NTSTATUS 0xC0000141
Unable to read KLDR_DATA_TABLE_ENTRY at f685ff33`d1ff5604 - NTSTATUS 0xC0000141
WARNING: .reload failed, module list may be incomplete

READ_ADDRESS: fffff98000d22000

CURRENT_IRQL: e

FAULTING_IP:
nt!RtlVirtualUnwind+1e7
fffff800`014949a3 488b02 mov rax,qword ptr [rdx]

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

BUGCHECK_STR: 0xA

LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff80001446599

STACK_TEXT:
fffff980`171f6eb8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!memmove+0xb9


STACK_COMMAND: .bugcheck ; kb

FOLLOWUP_IP:
nt!RtlVirtualUnwind+1e7
fffff800`014949a3 488b02 mov rax,qword ptr [rdx]

SYMBOL_NAME: nt!RtlVirtualUnwind+1e7

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 470c35b4

FAILURE_BUCKET_ID: X64_0xA_nt!RtlVirtualUnwind+1e7

BUCKET_ID: X64_0xA_nt!RtlVirtualUnwind+1e7

Followup: MachineOwner
 
Zuletzt bearbeitet von einem Moderator:
Hmm,

auf den ersten Blieck sieht es danach aus, als ob Vista
nicht in den (Arbeits-) Speicher schreiben kann.

Hast du im BIOS Einstellungen am RAM vorgenommen?

Wenn nicht, kannst du entweder, bei eingelegter Vista - DVD,
einen Speichertest durchführen, indem du den Rechner neu startest,
die Setup-Abfrage bestätigst und danach mehrmals die Leertaste drückst.
Du kommst nun zum Bootmanager, und dort wiederum mithilfe der Tab-Taste zum
“Windows Memory Diagnostic” - Programm, welches den Speicher testet.

Oder
einfach unter Start -> Programme -> Zubehör -> R-Klick auf "Eingabeaufforderung" ->
"Als Administrator ausführen" in der Konsole den Befehl

mdsched.exe

eingeben, mit der Enter-Taste bestätigen und im Dialogfenster
die Option "Jetzt neu starten und Probleme beheben" auswählen.

Nach dem Speichertest wird das Ergebnis in der Ereignisanzeige unter
Anwendungs- und Dienstprotokolle\Microsoft\Windows\MemoryDiagnostics-Result
abgespeichert.
 
Anzeige
Oben