Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Kernelfehler

D

Dan12

kennt sich schon aus
Seit einiger Zeit hat sich in meinem Windows 10 System ein gravierender Fehler eingeschlichen, beim Systemstart kommt es zum Bluesreen. Nach einiger Zeit des herumprobierens habe ich es geschaft das System zu starten, in dem ich das erzwingen der Treibersignatur als Startoption deaktiviert habe, allerdings muss mein PC dafür bei jedem Systemstart erstmal abstürzen, damit ich dort ankomme.
Nach einem erfolgreichen Start habe ich mir direkt das dmp-file angesehen. Dort steht der Fehler 0xc000021a ausgelöst durch den kernel (ntoskrnl.exe) an Addresse 14a3b0 (immer exat die gleiche Addresse). Darauf hin habe ich mich im Netz schlau gemacht und erstmal "sfc /scannow" ausgeführt, welcher auch ein Paar Dateien reparieren konnte, allerdings half dies nur kurz. Daraufhin habe ich den TDSSKiller ausgeführt, welcher keine Viren gefunden hatte. Des weiteren habe ich versucht einen Installationsstick zur Systemreparatur zu erstellen, allerdings hat dieser aus irgend einem Grund nicht funktioniert

Leider bin ich an dieser Stelle mit meinem Latein am Ende und ein Rollback wäre mit sehr großen Aufwand verbunden, daher hoffe ich, dass mir jemand helfen kann den Defekten Treiber oder das Problem an sich genau zu identifizieren, damit ich es beheben kann.

Im Anhang befindet sich die ausgabe vom BSV, falls noch infos fehlen werde ich diese schnellstmöglichst erhänzen.
 

Anhänge

  • report.png
    report.png
    74,8 KB · Aufrufe: 143
Anzeige
Hallo @Dan12! :)
Der BluescreenViewer ist nicht in jedem Fall aussagekräftig, weil er als Verursacher meist eine Systemdatei (zB.: ntoskernl.sys ) angibt.
Dass der BluescreenViewer eine Systemdatei als Verursacher ansieht, ist fast normal. Schließlich ist es eine Systemdatei, die den Bluescreen abfängt und das Protokoll erstellt. Es ist also die letzte aktive Datei, neben Pagfile.sys.
Gehe bitte nach C:\Windows\Minidump. Dort liegen die 5 Dateien, die der BluescreenViewer aufführt. Dies kopierst du heraus, zB auf den Desktop, und packst sie zusammen in ein RAR- oder ZIP-Archiv.
Dieses Archiv hänge bitte an deine nächste Antwort an.
Wir werden sehen, ob wir den wirklichen Verursacher mit dem Debugger ermitteln können.
 
Danke, ich habe mir jetzt die Dateien herunter geladen. Das Debuggen wird aber ein Weilchen dauern. Ich denke, Ergebnisse erst nach dem Abendbrot.
Schon mal vorab:
Der Stoppfehler ist Bug Check 0xC000021A: STATUS_SYSTEM_PROCESS_TERMINATED
Ausgelöst wird er meist durch Treiber im UserMode bzw. Drittanbieter-Programme.
Deshalb überlege in der Zwischenzeit, bis ich mich wieder melde, was du in letzter Zeit an Programmen installiert hast.
 
Eigentlich hatte ich seit Wochen kein Programm mehr installiert, ich habe den PC eines Abends wie immer normal herruntergefahren und am nächsten Tag kam der besagte Fehler beim hochfahren. Mir kommt da eigentlich nur ein Fehler im Dateisystem in den Sinn wobei der Plattenscan nichts außergewöhnliches anzeigt.
 
So, ich habe etwas länger benötigt, weil ich einiges recherchieren musste.
Entgegen meiner Gewohnheit bringe ich als erstes meine Erkenntnis und fügen dann die Auszüge aus dem Debuggerlauf an.
FAILURE_ID_HASH_STRING: km:0xc000021a_c0000428__hash_invalid_nt!_??_::eek:khajaom::_string_
Eine Datei hat einen falschen Hashwert und ist eventuell beschädigt.
Der am Absturz beteiligte Thread stammt von Image: smss.exe und diese wiederum hängt von IMAGE_NAME: ntkrnlmp.exe
 ab.
Hier haben wir den seltenen Fall, dass wirklich Systemdateien fehlerhaft sind.
Ich hoffe mal, dass sich das System starten läßt.
Dann öffne einen Eingabeaufforderung (Administrator) und gib nacheinander den folgenden Code ein, jeweils gefolgt von >ENTER<
Code: 
Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /RestoreHealth
Anschließend bitte diese Code eingeben
Code: 
findstr /C:"2016-11-25" %windir%\Logs\DISM\DISM.Log >%userprofile%\Desktop\DismDetails.txt
Dieser Code filtert aus Dism.Log die Einträge des heutigen Laufs von DISM heraus. Die DismDetails.txt kannst du an deine nächste Antwort anhängen oder auch selbst analysieren.

112516-15375-01.dmp
Code: 
WINLOGON_FATAL_ERROR (c000021a)
The Winlogon process terminated unexpectedly.
Arguments:
[COLOR="#FF0000"]Arg1: ffffd00aef631320, String that identifies the problem.[/COLOR]
[COLOR="#FF0000"]Arg2: ffffffffc0000428, Error Code.[/COLOR]
[COLOR="#008000"]Arg1 soll in Verbindung mit Arg3 einen Hinweis auf den Verursacher geben.
Da Arg3 aber 0000... ist, führt diese Möglichkeit ins Leere. [/COLOR]
Arg3: 0000000000000000
Arg4: 0000029418f40000
.......
[COLOR="#FF0000"]ERROR_CODE: (NTSTATUS) 0xc000021a - {Schwerer Systemfehler}  Der Systemprozess %hs wurde unerwartet beendet. Status 0x%08x (0x%08x 0x%08x).  Das System wurde heruntergefahren. [/COLOR]
[COLOR="#FF0000"]EXCEPTION_CODE: (NTSTATUS) 0xc000021a - {Schwerer Systemfehler}  Der Systemprozess %hs wurde unerwartet beendet. Status 0x%08x (0x%08x 0x%08x).  Das System wurde heruntergefahren.[/COLOR]
[COLOR="#008000"]Beide Codes weisen auf den Systemprozess %hs hin. Dieser wird etwas weiter unten mit 
PROCESS_NAME:  smss.exe bezeichnet.[/COLOR]
ADDITIONAL_DEBUG_TEXT:  initial session process or
.....
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
PROCESS_NAME:  smss.exe
....
STACK_TEXT:  
[COLOR="#008000"]Den Stacktext lasse ich weg. Der ist mit dem Thread-Stack identisch.[/COLOR]
....
FOLLOWUP_IP: nt! ?? ::OKHAJAOM::`string'+1a56  fffff800`af7e6ed6 cc    int     3
[COLOR="#008000"]Wenn im Stack ein solcher String erscheint, bin ich jedes Mal mit meinem Latein am Ende.
Trotz intensiver Recherche habe ich noch nichts dazu gefunden.[/COLOR]
......
2: kd> !thread
THREAD ffffa786ef959040  Cid 0004.00b8  Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 2
Not impersonating
GetUlongFromAddress: unable to read from fffff800af708924
[COLOR="#FF0000"]Owning Process            ffffa786ef619040       Image:         System Process[/COLOR]
[COLOR="#FF0000"]Attached Process          ffffa786f1100800       Image:         smss.exe[/COLOR]
Wait Start TickCount      939            Ticks: 0
Context Switch Count      8698           IdealProcessor: 0  NoStackSwap
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address nt!ExpWorkerThread (0xfffff800af4a8da0)
Stack Init ffff92810ffa3c90 Current ffff92810ffa32e0
Base ffff92810ffa4000 Limit ffff92810ff9e000 Call 0
Priority 13 BasePriority 12 UnusualBoost 0 ForegroundBoost 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
ffff9281`0ffa36b8 fffff800`af7ed360 : 00000000`0000004c 00000000`c000021a ffff9281`10d343f8 ffffa786`f231ac10 : nt!KeBugCheckEx
ffff9281`0ffa36c0 fffff800`af7e6ed6 : ffffffff`80000574 00000000`00000002 ffff9281`0ffa3800 00000000`00000002 : nt!PopGracefulShutdown+0x268
ffff9281`0ffa3700 fffff800`af567093 : ffff9281`00000004 00000000`00000004 00000000`c0000004 ffff9281`0ffa3900 : nt! ?? ::OKHAJAOM::`string'+0x1a56
ffff9281`0ffa3880 fffff800`af55f570 : fffff800`af9c2e7c 00000000`00000000 ffff9281`0ffa3a98 00000000`00000014 : nt!KiSystemServiceCopyEnd+0x13 (TrapFrame @ ffff9281`0ffa3880)
ffff9281`0ffa3a18 fffff800`af9c2e7c : 00000000`00000000 ffff9281`0ffa3a98 00000000`00000014 fffff800`af7cf100 : nt!KiServiceLinkage
ffff9281`0ffa3a20 fffff800`af928c05 : 00000000`00000000 00000000`00000000 00000000`00000000 fffff800`af7cf280 : nt! ?? ::NNGAKEGL::`string'+0x3798c
ffff9281`0ffa3ae0 fffff800`af509fc5 : 00000000`00000001 fffff800`af509f58 00000000`00000002 00000000`00000000 : nt!PopPolicyWorkerAction+0x69
ffff9281`0ffa3b50 fffff800`af4a8e89 : ffffa786`ef959040 fffff800`af713a80 fffff800`00000000 ffffa786`0017f000 : nt!PopPolicyWorkerThread+0x6d
ffff9281`0ffa3b80 fffff800`af414729 : 00000000`dcc8a6c8 00000000`00000080 ffffa786`ef619040 ffffa786`ef959040 : nt!ExpWorkerThread+0xe9
ffff9281`0ffa3c10 fffff800`af561876 : fffff800`af754180 ffffa786`ef959040 fffff800`af4146e8 ffff0000`005a0048 : nt!PspSystemThreadStartup+0x41
ffff9281`0ffa3c60 00000000`00000000 : ffff9281`0ffa4000 ffff9281`0ff9e000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
 
Das lieft anscheinend nicht wie geplant, es gab einen Fehler während des RestoreHealt (0x800f081f)
Anhängend die Ausgabe des Logs.

Edit.: Zur Frage ob sich das System starten lässt, ja aber nur mit deaktivieren des erzwingen der Treibersignatur
 

Anhänge

  • DismDetails.txt
    155,1 KB · Aufrufe: 278
DISM hat an mehreren Stellen die Ursprungsdaten nicht gefunden
Code: 
2016-11-25 21:06:18, Error                 DISM   DISM Package Manager: PID=1644 TID=4076 Failed processing package changes with session option CbsSessionOptionRepairStoreCorruption - CDISMPackageManager::RestoreHealth(hr:0x800f081f)
2016-11-25 21:06:18, Error                 DISM   DISM Package Manager: PID=1644 TID=4076 The source files could not be found; their location must be specified using the /source option to restore the feature. - GetCbsErrorMsg

Lege die Windows-DVD ins DVD-Laufwerk und öffne eine Eingabeaufforderung (Administrator).
Gib den folgenden Code ein
Code: 
dism /online /cleanup-image /restorehealth /source:wim:[COLOR="#FF0000"]X[/COLOR]:\sources\install.wim:1 /limitaccess
Dabei muss das rote X durch den LW-Buchstaben des DVD-Laufwerkes ersetzt werden.
 
Ich hab nur ne windows 7 DVD, alternativ habe ich aber noch ne windows 10 ISO auf dem PC welche ich damals mir dem MCT erstellt habe?
 
Immernoch dieselbe Ausgabe (Fehler: 0x800f081f Die Quelldateien wurden nicht gefunden.)
Er bricht jedes mal bei 72.7% ab.
Ich habe als Laufwerksbuchstaben den Buchstaben des entsprechenden USB-Sticks verwendet
 
Guten Morgen!
Das tut mir leid, aber außer Neuinstallation fällt mir da nichts mehr ein.
Du könntest vor der Neuinstallation noch versuchen, ob sich das System auffrischen läßt. Dabei bleiben wenigstens die persönlichen Daten erhalten.
Einstellungen/ Update und Sicherheit/ Wiederherstellung/ Diesen PC zurück setzen
Die Programm wirst du in jedem Fall neu installieren müssen.

Nachtrag:
Ich habe jetzt noch mal den Minidump 112516-15375-01.dmp in den Debugger geladen.
Aus irgend einem Grund habe ich zwei wichtige Informationen überlesen.
An meiner Aussage in #6 ändert das nichts, aber erhärtet dieses.
Code: 
BUCKET_ID:  0xc000021a_SmpDestroyControlBlock_[COLOR="#FF0000"]smss.exe[/COLOR]_Terminated_c0000428_nt!_??_::OKHAJAOM::_string_

PRIMARY_PROBLEM_CLASS:  0xc000021a_SmpDestroyControlBlock_[COLOR="#FF0000"]smss.exe[/COLOR]_Terminated_c0000428_nt!_??_::OKHAJAOM::_string_

Also hier wird eindeutig smss.exe als Verursacher benannt.
smss.exe -> Sitzungsmanager von Windows; der läd und überwacht die aktuelle Windowssitzung
 
Zuletzt bearbeitet:
Morgen erstmal,
Es wundert mich sehr, das der Fehler so hartnäckig ist, denn sofern ich die erzwingung der Treibersignatur ausschalte startet das System normal und ich habe bei der Verwendung auch keinerlei Probleme festgestellt, daher kann der Fehler ja gar nicht so gravierend sein. Ich werde trotzdem mal weiter rumprobieren, villeicht klappt es ja doch irgendwie.
Trotzdem danke für die Hilfe.
 
Problem gelöst, ich habe die Windows 10 Iso mal manuell ausgeführt und Windows 10 Quasi neu drüberinstalliert, alle Programme und Einstellungen blieben erhalten und es wurden nur die Systemdateien ersetzt. Der PC fährt jetzt wieder ohne Probleme hoch.

Vielen Dank an alle, die mir geholfen haben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben