Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
In letzter Zeit passiert es häufiger, dass sich mein PC über Nacht mit einem Bluescreen verabschiedet. Der Fehler lautet PAGE_FAULT_IN_NONPAGED_AREA. Mein Betriebssystem und die Treiber halte ich aktuell, den Speicher habe ich sowohl mit der Windows-Speicherdiagnose als auch mit memtest86+ ohne Befund überprüft. Die SSDs sind laut diversen Tools in sehr gutem Zustand, chkdsk meldet keine Dateisystemfehler, Reallocated Sector Count und Pending Sector Count sind bei 0 und das System ist selbst bei Volllast (Videospiele + H.264-Kodierung im Hintergrund mittels Handbrake) über längere Zeit kühl.
Hallo @smares! Willkommen im Forum!
In beiden Dumpfiles waren Systemdateien die Verursacher des Bluescreen.
Ein mal war es ApplicationFrameHost.exe. Das ist ein Prozess, der in Windows 10 erstmals eingeführt wurde, aber nicht in allen Installationen ausgeführt wird. Im Internet ist dazu so gut wie nichts zu finden.
In der anderen Dumpfile war wininit.exe der Auslöser.
In beiden Fällen ist kein Treiber oder Fremdprogramm aus zu machen, das an dem Bluescreen beteiligt war.
121316-5359-01.dmp
Code:
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: ffffe602f30b4aa8, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff8009459b56b, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000000, (reserved)
....
READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPagedPoolEnd
unable to get nt!MmNonPagedPoolStart
unable to get nt!MmSizeOfNonPagedPoolInBytes
.....
[COLOR="#FF0000"]PROCESS_NAME: ApplicationFra[/COLOR]
[COLOR="#008000"]Der Prozessname ist abgeschnitten, wie sich später im aktiven Thread zeigt[/COLOR]
.....
STACK_TEXT:
ffff9380`36cde4a8 fffff800`945b4945 : 00000000`00000050 ffffe602`f30b4aa8 00000000`00000000 ffff9380`36cde7a0 : nt!KeBugCheckEx
ffff9380`36cde4b0 fffff800`944c17ba : 00000000`00000000 00000000`00000000 ffff9380`36cde7a0 000000d1`b2dfc000 : nt! ?? ::FNODOBFM::`string'+0x41db5
ffff9380`36cde5a0 fffff800`9456ccfc : 00000000`00000001 ffffab0d`c2ae06c0 ffffffff`ffffffff ffffab0d`bcea2690 : nt!MmAccessFault+0x9ca
ffff9380`36cde7a0 fffff800`9459b56b : ffffd1d2`00000002 ffffe602`ebb04260 ffff9380`36cdea28 00000000`00000000 : nt!KiPageFault+0x13c
ffff9380`36cde930 fffff800`94474740 : 00000000`00000002 fffff800`00000000 ffffe602`dda8a21e ffff9380`36cdea00 : nt! ?? ::FNODOBFM::`string'+0x289db
ffff9380`36cde9a0 fffff800`9488d1c3 : 00000000`00000000 000000d1`00000000 ffffe602`f42e6940 ffffe602`f42e6940 : nt!SepInternalQuerySecurityAttributesTokenEx+0xc0
[COLOR="#FF0000"]ffff9380`36cdea00 fffff800`9456e393 : ffffab0d`c579c080 000000d1`b2dfcc78 00000000`00000002 ffffe602`e614dcf0 : nt!NtQuerySecurityAttributesToken+0x233[/COLOR]
[COLOR="#008000"]Nach dem Laden des System-Dienstes und Abfrage einiger Security-Attributes kommt es zum
Seiten-Zugriffsfehler[/COLOR]
ffff9380`36cdea90 00007ffe`582889a4 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000d1`b2dfcc58 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffe`582889a4
.....
BUCKET_ID: MEMORY_CORRUPTION_LARGE
FAILURE_ID_HASH_STRING: km:memory_corruption_large
....
[COLOR="#008000"]Es folgt der zum Zeitpunkt des Bluescreens aktive Thread[/COLOR]
2: kd> !thread
THREAD ffffab0dc579c080 Cid 24c8.3440 Teb: 000000d1ae2e6000 Win32Thread: ffffab0dc3ba5a50 RUNNING on processor 2
Impersonation token: ffffe602f42e6940 (Level Identification)
GetUlongFromAddress: unable to read from fffff8009470f924
[COLOR="#FF0000"]Owning Process ffffab0dc06f7080 Image: ApplicationFrameHost.exe[/COLOR]
[COLOR="#008000"]Hier wird der komplette Namen des Prozesses angezeigt.[/COLOR]
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 3181823
Context Switch Count 90 IdealProcessor: 2
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffe58212dc0
Stack Init ffff938036cdec90 Current ffff938036cde640
Base ffff938036cdf000 Limit ffff938036cd9000 Call 0
Priority 9 BasePriority 8 UnusualBoost 0 ForegroundBoost 0 IoPriority 2 PagePriority 5
Es folgt die Dumpfile von aus #2. 121316-5156-01.dmp
Code:
CRITICAL_PROCESS_DIED (ef)
A critical system process died
Arguments:
[COLOR="#FF0000"]Arg1: ffffb58201b21800, Process object or thread object[/COLOR]
[COLOR="#008000"]Das ist der Auslöser. Diese Adresse findet sich als Adresse des aktiven Thread wieder[/COLOR]
Arg2: 0000000000000000, If this is 0, a process died. If this is 1, a thread died.
Arg3: 0000000000000000
Arg4: 0000000000000000
......
IMAGE_NAME: wininit.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 0
MODULE_NAME: wininit
FAULTING_MODULE: 0000000000000000
[COLOR="#FF0000"]PROCESS_NAME: wininit.exe[/COLOR]
......
STACK_TEXT:
ffffe381`6257b9b8 fffff803`cbd11c0a : 00000000`000000ef ffffb582`01b21800 00000000`00000000 00000000`00000000 : nt!KeBugCheckEx
ffffe381`6257b9c0 fffff803`cbc656eb : ffffb582`01b21800 00000000`0000000e 00000000`00000000 000000a6`65bcf5f8 : nt!PspCatchCriticalBreak+0xd6
ffffe381`6257ba20 fffff803`cbaa404c : ffffb582`00000001 ffffb582`01b21800 00000000`0000000e ffffb582`01b21ad8 : nt! ?? ::NNGAKEGL::`string'+0x5b4ab
f[COLOR="#FF0000"]fffe381`6257ba90 fffff803`cb7e5393 : ffffb582`01b21800 ffffb582`01b17800 ffffe381`6257bb80 ffffb582`01b1b510 : nt!NtTerminateProcess+0x188[/COLOR]
[COLOR="#008000"]Bereits nach dem Laden des SystemService wird der Prozess wieder terminiert (beendet)[/COLOR]
[COLOR="#FF0000"]ffffe381`6257bb00 00007ff9`fb506654 : 00007ff9`fb467d3b 00000000`0000000e 000000a6`65bcfae0 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13[/COLOR]
000000a6`65bcfa08 00007ff9`fb467d3b : 00000000`0000000e 000000a6`65bcfae0 00000000`00000000 000000a6`65bcfa78 : 0x00007ff9`fb506654
000000a6`65bcfa10 00000000`0000000e : 000000a6`65bcfae0 00000000`00000000 000000a6`65bcfa78 00000000`0000000e : 0x00007ff9`fb467d3b
000000a6`65bcfa18 000000a6`65bcfae0 : 00000000`00000000 000000a6`65bcfa78 00000000`0000000e 00007ff9`fb22ce6a : 0xe
000000a6`65bcfa20 00000000`00000000 : 000000a6`65bcfa78 00000000`0000000e 00007ff9`fb22ce6a 00000000`0000000e : 0x000000a6`65bcfae0
......
FAILURE_BUCKET_ID: 0xEF_1b17800_IMAGE_wininit.exe
[COLOR="#FF0000"]BUCKET_ID: 0xEF_1b17800_IMAGE_wininit.exe[/COLOR]
FAILURE_ID_HASH_STRING: km:0xef_1b17800_image_wininit.exe
......
[COLOR="#008000"]Hier folgt jetzt der aktive Thread. Anhand der IP des Threads sieht man, dass dieser
Verursacher durch Windows bereits in den BugcheckCode geschrieben wurd.[/COLOR]
4: kd> !thread
THREAD ffffb58201b17800 Cid 02d0.02d4 Teb: 000000a665d9c000 Win32Thread: 0000000000000000 RUNNING on processor 4
Not impersonating
GetUlongFromAddress: unable to read from fffff803cb986924
Owning Process ffffb58201b21800 Image: wininit.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 2738
Context Switch Count 115 IdealProcessor: 6
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ff629dccb70
Stack Init ffffe3816257bc90 Current ffffe3816257ac00
Base ffffe3816257c000 Limit ffffe38162576000 Call 0
Priority 15 BasePriority 15 UnusualBoost 0 ForegroundBoost 0 IoPriority 2 PagePriority 5
Auch wenn es selten ist, dass Systemprozesse die wirklichen Verursacher sind, komme ich hier zu keinem anderen Schluss.
Um die Systemdateien zu reparieren, sollte
-> als erstes versucht werden, das System mit den DISM-Befehlen zu reparieren
Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /RestoreHealth
Die Befehle nacheinander in eine Eingabeaufforderung (Administrator) eingeben.
-> wenn das nicht hilft oder mit Fehlermeldung abgebrochen wird, sollte das System "aufgefrischt" werden
Vielen Dank für die Auswertung. Darf ich fragen was du zum Analysieren der Dumps nutzt? WinDbg?
Ich habe die Befürchtung, dass entweder etwas mit dem Gehäuse, Mainboard oder Netzteil nicht stimmt. Gemein hatten die BSODs, dass eine externe stromhungrige 2,5" Festplatte angeschlossen war zusätzlich zu den diversen USB-Geräten, die immer angeschlossen sind (Zeichentablet, Blu-ray-Laufwerk, Backup-Festplatte, Funkheadset mit USB-Sender) und ohne externe Stromversorgung betrieben werden. Mein Notebook schafft es nicht einmal die Festplatte hochfahren zu lassen.
Das DISM-Tool konnte keine Fehler finden. Auch eine Virenprüfung blieb ohne Befund. Ich habe mal über Nacht noch das PassMark MemTest86-Tool laufen lassen und bis auf den Hinweis, dass meine RAMs anfällig für Rowhammer sein können, gab es keine Fehler.
Zwischenbemerkung: WinDbg ist wohl das ausführlichste Tool zum Debuggen von Dump-Dateien. Für eine schnelle Analyse ohne erst eine Installation von Software kannst du dies auch online erledigen lassen:
Mahlzeit @smares!
Wenn du so viele USB-Geräte angeschlossen hast, musst du einen USB-HUB mit eigener Stromversorgung verwenden. Sonst kann das das beste Motherboard nicht schaffen.
ot: Zu deiner Frage bezüglich Analyse:
Ja ich benutze WinDbg, jeweils in der Version für Windows 8(.1) und für Windows 10.
Darüber hinaus benutze ich noch einige Dokumentationen zum Nachschlagen, zB "technische Dokumentation für Intel-Prozessoren" und Google zum Recherchieren über Windows-Funktionen.
