Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Bluescreen / BSOD (meist ntoskrnl.exe)

M

MortenJordan

bekommt Übersicht
Hey, ich bin neu hier und hoffe auf Hilfe da ich nicht mehr weiter weiß.

Letzte Woche hatte ich bereits einen dieser Bluescreens und hab mit BlueScreenView gesehen, dass es an der "ntoskrnl.exe" lag. Da mein PC-Wissen allerdings nicht so tiefgreifend ist bin ich bei der Recherche auf eigene Faust nicht weit gekommen, da ich mit dem restlichen Inhalt des Dumpfiles leider nicht viel anfangen kann :'D

Rechner lief bisher stabil (auch bei hoher Belastung) und fing eben erneut an und schmierte mir innerhalb von ca 15 Minuten drei Mal ab, jedes Mal wieder mit "CRITICAL_PROCESS_DIED" aufgrund von "ntoskrnl.exe", dabei freezed zuerst das Bild und erst nach kurzer Zeit kommt der Bluescreen.

Ich hoffe sehr, dass mir jemand helfen kann (oder mich vlt zumindest in die richtige Richtung weisen kann)
 

Anhänge

  • Dumpfile 10 11 19.zip
    283,7 KB · Aufrufe: 134
Anzeige
Guten Morgen @MortenJordan! Willkommen bei Dr. Windows. :)
Als erstes: ich debugge schon einige Jahre die Dumpfiles, aber noch nie ist die ntoskrnl.exe der Übeltäter gewesen.
Diese Systemdatei bearbeitet den BugcheckError und fährt das System, soweit möglich, geordnet herunter. Deshalb erscheint die Datei meist als letztes auf dem Stack und Tools, wie Bluescreen Viewer oder WhoCrashed betrachten dann diese Datei als Auslöser.

In deinem Fall war der Fehler
FAILURE_BUCKET_ID: 0xEF_csrss.exe_BUGCHECK_CRITICAL_PROCESS_7c69f080_nt!PspCatchCriticalBreak
Hier der letzte Thread dazu
Code: 
!thread
THREAD ffffab037c69f080  Cid 01e8.0dd4  Teb: 00000041c80d0000 Win32Thread: ffffab037c4caef0 RUNNING on processor 7
Not impersonating
GetUlongFromAddress: unable to read from fffff8053ac2ca14
[COLOR="#FF0000"]Owning Process            ffffab037a217140       Image:         csrss.exe[/COLOR]
Attached Process          N/A            Image:         N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount      405219       
Context Switch Count      806            IdealProcessor: 6             
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address 0x00007fff75bf5670
Stack Init ffffee8dae1dfb90 Current ffffee8dae1de8f0
Base ffffee8dae1e0000 Limit ffffee8dae1d9000 Call 0000000000000000
Priority 13 BasePriority 13 PriorityDecrement 0 IoPriority 2 PagePriority 5
Der Besitzer des letzten Thread ist diese bereits genannte Systemdatei csrss.exe.
(ClientServerRuntimeSubSystem) Das ist der auf den Benutzermodus bezogene Teil des Win32-Subsystems.
Einen Attached Process gab es nicht, also sind keine Fremdtools (Tuner, AV-Programme usw) verantwortlich.

Bitte führe sfc /scannow in einer Eingabeaufforderung (Administrator) aus.
Wenn Fehler gefunden wurden, die repariert wurden, bitte nach einem Neustart sfc /scannow noch mal laufen lassen.
Danach bitte den Code aus der Codebox kopieren und in eine Eingabeaufforderung (Administrator) einfügen.
Code: 
findstr /C:"[SR]" %windir%\Logs\CBS\CBS.Log >%userprofile%\Desktop\SfcDetails.txt
Nach drücken von >ENTER< liegt fast augenblicklich die Datei SfcDetails.txt. Diese bitte an deine nächste Antwort anfügen.

Noch ein Tipp für die Zukunft:
Wenn in C:\Windows\Minidump mehrere Dateien liegen, dann die 3 bis 5 neuesten kopieren. Dann können wir eventuell durch Vergleich eine Fehler-Tendenz erkennen.
 
Morgen, vielen dank schonmal für die bisherige Hilfe :anbet

Ich habe scannow laufen lassen und bekam die Meldung, dass Fehler gefunden wurden aber nicht behoben werden konnten (Screenshot des console Fensters liegt bei)
Habe die dort genannte LOG Datei zusammen mit der SfcDetails.txt beigefügt.

Noch ein Tipp für die Zukunft:
Wenn in C:\Windows\Minidump mehrere Dateien liegen, dann die 3 bis 5 neuesten kopieren. Dann können wir eventuell durch Vergleich eine Fehler-Tendenz erkennen.
Zum Vergrößern anklicken....

Weiß ich fürs nächste Mal bescheid, danke :angel
 

Anhänge

  • CBS log Sfc Details und console screenshot.zip
    35,1 KB · Aufrufe: 160
Öffne bitte eine Eingabeaufforderung mit Rechtsklick als Administrator

Dism /Online /Cleanup-Image /CheckHealth - ab W8 Prüft ob ein Fehler schon in der Registry enthalten ist.

Dism /Online /Cleanup-Image /ScanHealth - Prüft die Datensätze (Partition) nach Fehlern.

Dism /Online /Cleanup-Image /RestoreHealth - ab W8 Prüft und behebt Fehler über Windows Update.

Danach PC neu starten und noch einmal sfc /scannow laufen lassen.
 
Hallo @MortenJordan!
Die Datei SfcDetails.txt ist ein Auszug aus der Datei CBS.LOG und enthält nur die hier relevanten Log-Zeilen. Die CBS.LOG brauchen wir also garnicht.
Da SfcDetails.txt von unserem Upload-Modul akzeptiert wird (Dateityp TXT ), brauch sie nicht gepackt werden und kann direkt als Datei angehängt werden.
Wenn die drei DISM-Befehle und anschließend noch mal sfc gelaufen sind, lasse bitte den Code aus #2 noch mal laufen und hänge diese SfcDetails.txt noch mal an.

@Pete
Vielen Dank für die Ergänzung in #3. Irgendwie war ich heute früh nicht so richtig bei der Sache. Wahrscheinlich war ich in Gedanken schon beim Quittenmarmelade kochen. :ROFLMAO:
Sind gerade damit fertig geworden.
 
Die DISM-Befehle konnten das Problem scheinbar beheben, sfc /scannow hat dieses mal alles erfolgreich reparieren können :D

Vielen Dank für eure Hilfe!
 

Anhänge

  • SfcDetails.txt
    112,3 KB · Aufrufe: 79
@HerrAbisZ, das hat er doch gemacht.
Hier war der vorhergehende Scan fertig
2019-10-12 11:43:57, Info CSI 000002bb [SR] Verify and Repair Transaction completed. All files and registry keys listed in this transaction have been successfully repaired
Zum Vergrößern anklicken....
Und hier begann der letzte Scan
2019-10-12 13:06:35, Info CSI 00000006 [SR] Verifying 100 components
Zum Vergrößern anklicken....

@MortenJordan
Dein Log ist sauber. Die paar Zeilen mit angeblichen Fehlern sind Fehlinformationen durch Windows, also keine Fehler.
Sie beziehen sich auf den Defender und wurden hier im Forum schon ausgiebig diskutiert.
Also die Logfile ist in Ordnung.
 
Ich kenne drei Meldungen nach SFC:

1. In etwa :
dass Fehler gefunden wurden aber nicht behoben werden konnten
Zum Vergrößern anklicken....

Sieht man in SFCdetails.txt z.B.:
2019-10-12 11:43:19, Info CSI 0000019e [SR] Could not reproject corrupted file \??\C:\WINDOWS\System32\WindowsPowerShell\v1.0\Modules\Defender\\MSFT_MpComputerStatus.cdxml; source file in store is also corrupted
Zum Vergrößern anklicken....

2. in etwa:
sfc /scannow hat dieses mal alles erfolgreich reparieren können
Zum Vergrößern anklicken....

Sieht man in SFCdetails.txt z.B.:
2019-10-12 13:08:37, Info CSI 00000237 [SR] Repairing corrupted file \??\C:\WINDOWS\System32\WindowsPowerShell\v1.0\Modules\Defender\\MSFT_MpComputerStatus.cdxml from store
Zum Vergrößern anklicken....

3. wenn nichts gefunden wurde und alles OK ist:
Es wurden keine Integritätsverletzungen gefunden
Zum Vergrößern anklicken....

Unter win7 ist das aber noch nicht (mehr) aussagekräftig. Da sollte man noch eine PackagesList.txt erstellen lassen
 
Nachdem ich dachte das Problem wäre behoben hat es eben erneut ge-bluescreened. Nachdem der Rechner neugestartet hatte kam wenige Minuten später ein zweiter hinterher (dieses Mal sind beide Dumpfiles angehangen) als er vom zweiten Bluescreen neustartete führte Windows eine Reperatur von Laufwerk C durch und läuft jetzt - bisher - stabil.
Kann sein das letzteres geholfen hat, allerdings trau ich dem ganzen nicht so ganz, vielleicht könnt ihr mehr mit den zusätzlichen Dumpfiles anfangen :cry:
 

Anhänge

  • Neue Dumps.zip
    57,3 KB · Aufrufe: 108
  • Bildschirm abfotografiert.jpeg
    Bildschirm abfotografiert.jpeg
    58,4 KB · Aufrufe: 178
@MortenJordan,

kannst Du mal ein paar Angaben zu Deinem Rechner machen?
Clicke da einfach mal unten auf den Link in meiner Signatur.
 
Der Fehler ist nach wie vor der Gleiche. Ein Prozess der zum Betriebssystem gehört ist abgestürzt.
Meine persönliche Meinung da zu ist. Lösche das ganze System und setze den Rechner neu auf.
 
Ich bin der gleichen Meinung, wie @Silver Server.
Die Argumente aus Dumpfile 101319-6343-01.dmp
EXCEPTION_RECORD: ffffcc8445910640 -- (.exr 0xffffcc8445910640)
ExceptionAddress: 0000000000000000
ExceptionCode: 00000000
ExceptionFlags: 00000000
NumberParameters: 0
// es ist eine Exception eingetreten aber weder Exception-Adresse noch Exception-Code wurde gespeichert
....
FAILURE_BUCKET_ID: 0xEF_svchost.exe_BUGCHECK_CRITICAL_PROCESS_45903040_nt!PspCatchCriticalBreak
// Ein Dienst, der auf svchost.exe läuft, hat den kritischen Abbruch verursacht

Nun noch mal die Probleme aus Dumpfile 101319-6015-01.dmp
// das gleiche Drama, wie im vorhergehenden Spoiler
...
CRITICAL_PROCESS: csrss.exe
// das hatten wir schon mal, dass csrss.exe die Ursache war


EXCEPTION_RECORD: ffffc281c850e640 -- (.exr 0xffffc281c850e640)
ExceptionAddress: 0000000000000000
ExceptionCode: 00000000
ExceptionFlags: 00000000
NumberParameters: 0
....
FAILURE_BUCKET_ID: 0xEF_csrss.exe_BUGCHECK_CRITICAL_PROCESS_c9cd9080_nt!PspCatchCriticalBreak
// bis auf die auslösende Systemdatei, das gleiche, wie im vorhergehenden Spoiler
....
// hier habe ich noch mal den letzten Prozess abgefragt
PROCESS ffffc281c850e080
SessionId: none Cid: 01ec Peb: 2e70144000 ParentCid: 01d4
DirBase: 01c8a002 ObjectTable: ffff8705bcab2d00 HandleCount: <Data Not Accessible>
Image: csrss.exe
VadRoot ffffc281c9f204b0 Vads 165 Clone 0 Private 387. Modified 512. Locked 0.
DeviceMap ffff8705b8813660
Token ffff8705bb20aa70
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
fffff78000000000: Unable to get shared data
ElapsedTime 00:00:00.000
UserTime 00:00:00.000
KernelTime 00:00:00.000
QuotaPoolUsage[PagedPool] 255048
QuotaPoolUsage[NonPagedPool] 23040
Working Set Sizes (now,min,max) (1469, 50, 345) (5876KB, 200KB, 1380KB)
PeakWorkingSetSize 1410
VirtualSize 2101339 Mb
PeakVirtualSize 2101341 Mb
PageFaultCount 4280
MemoryPriority BACKGROUND
BasePriority 13
CommitCharge 526
// csrss.exe verursacht 4280 Speicherseitenfehler.
Ich denke, das System ist beschädigt. Nach meiner Meinung, wie der Meinung von @Silver Server, hilft hier nur eine saubere Neuinstallation.
 
@PeteM92
System ist ergänzt

@Ari45 @Silver Server
Wenn mir die Geschichte nun nochmal abschmiert ist eine Neuinstallation der nächste Schritt, wollte eh meine 128GB SSD auf eine größere Upgraden :D
 
Ich denke, das deine SSD den Geist aufgibt. Das letzte Bild zeigt ein CHKDSK. Oder ?

Und das System haben wir doch erst repariert ?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben