Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Bluescreen ntoskrnl.exe

K

Kangor

Herzlich willkommen
Hallöchen!

wie der titel schon sagt habe ich beim erstmaligen hochfahren des Rechners einen bluescreen, was mich verwundert ist das der rechner eigentlich neu ist und bis auf das er einen bluescreen bekommt beim erstmaligen hochfahren läuft alles tippitoppi !

'' 122716-9187-01.dmp 27.12.2016 22:20:04 SYSTEM_THREAD_EXCEPTION_NOT_HANDLED 0x1000007e ffffffff`c0000005 fffff803`02da6f4d ffffd001`a056b2a8 ffffd001`a056aac0 ntoskrnl.exe ntoskrnl.exe+116f4d x64 ntoskrnl.exe+116f4d C:\Windows\Minidump\122716-9187-01.dmp 4 15 10586 217.212 27.12.2016 22:21:10
''

das steht in meinem Bluescreen view gedöns !

ich kenn mich nicht wirklich ( bzw kaum :D ) mit sowas aus also muss ich auf eure Hilfe Bauen!

Mein PC:

> CPU - I5-6500
> Graka - 960GTX
> Motherboard - ZX170XP-SLI // ich weiß das ich ein overclock motherboard habe und dazu kein overclock CPU :D
> RAM - Ballistix Sport LT Weiß 16GB Kit (2 x 8GB)
> Netzteil - eins von bequiet :p
> Windows 10

wenn ich von irgendwas screenshots machen soll einfach reinschreiben ich gebe mein bestes ! (y)
 
Anzeige
AW: Bluescreen ntoskrnl.exe ( ntoskrnl.exe+22575 )

Guten Morgen @Kangor! Willkommen im Forum! :)
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED mit dem Parameter 1 = 0xc0000005 (Speicherzugriffsverletzung) wird meist durch einen Treiberfehler, RAM-Defekt oder beschädigte Pagefile.sys ausgelöst.

Bitte gehe nach C:\Windows\Minidump und kopiere die drei bis 5 neuesten Dateien heraus, zB auf den Desktop. Dort packst du sie zusammen in ein RAR- oder ZIP-Archiv und hängst das Archiv an deine nächste Antwort an.
Zu Dateianhängen siehe in meiner Signatur den rechten blauen Link.

Darüber hinaus solltest du als erstes den Ruhemodus ausschalten. Da der Bluescreen beim erstmaligen Hochfahren auftritt, liest das Startmodul vermutlich falsche Werte aus der Pagefile.sys aus.
Öffne einen Eingabeaufforderung (Administrator) und gib dort ein powercfg /H off
Ob es geklappt hat, siehst du u.a. auch daran, dass beim nächsten Neustart die Datei C:\Hiberfil.sys nicht mehr das ist.

Über weitere Maßnahmen unterhalten wir uns später (nicht zu viel auf einmal :ROFLMAO: )
 
als erstes guten morgen & danke für die rasche antwort!

'' hust '' natürlich ist das jetzt super das ich als experte mein pc einfach neu aufgesetzt habe in der hoffnung das es dann wieder geht :rolleyes:

nun habe ich bisher nur eine datei im minidump :rolleyes:

soll ich dann warten bis ich 3 drin habe oder einfach die eine hochladen? :'D
 
Nein, @Kangor, du brauchst natürlich nicht warten, bis 3 Dumpfiles zusammen sind. Wenn bloß eine oder zwei sind, dann packst du eben die eine oder zwei. Aber auch nur eine Datei packen, da unser Uploadmodul keine DMP-Erweiterungen akzeptiert.

Das mit den 3 bis 5 schreiben wir immer, damit uns nicht 15 Dumpfiles angeboten werden (hat es schon gegeben).
Ich habe für mich fest gestellt, dass so etwa bei 5 Dumpfiles die Grenze ist. Dann sieht man nur noch Zahlen und Codezeilen. :D
 
ahhhh ja ich habe jetzt 3 datein aber ich bin unfähig.. immer wenn ich sie in eine RAR datei packen will kommt eine fehlermeldung mit ''.. konnte dmp nicht öffnen.. zugriff verweigert '' selbige ist wenn ich es einfach versuche hier hochzuladen <.<
 
Hast du sie auf den Desktop oder in deinen Datenordner kopiert. Man kann die Dateien nicht in C:\Windows\Minidump packen oder verschieben, man kann nur kopieren.
Und auf dem Desktop oder in deinem Datenordner (Meine Dateien) kann man packen, löschen usw., was man will.
Und lies noch mal den ersten Absatz in #4 richtig und den 2. Absatz in #2. Da steht das schon drinnen.

Edit:
Da fällt mir gerade noch etwas auf. Vor 2 Stunden hattest du nur 1 Dumpfile, jetzt hast schon 3. Heißt das, dass du in den letzten 2 Stunden schon wieder 2 Bluescreens hattest?
 
Zuletzt bearbeitet:
VERFLUCHT! es hat jetzt geklappt entschuldigung :D
& nein ! ehm der bluescreen kommt ja nur wenn der Pc eine weile aus war und ich ihn dann wieder hochfahre da ich ein viel zu voreiliger mensch bin hab ich nach dem post einfach 2x 10 minuten gewartet und ja.. :rolleyes:
 

Anhänge

  • Minidump.rar.rar
    188 KB · Aufrufe: 61
So, da bin ich wieder.
Habe jetzt alle drei Dumpfiles debuggt. Bei zwei trat ein Fehler beim Zugriff auf die PTE (PageTableEntry) ein. Das ist eine Tabelle, in der die Speicherseiten verwaltet werden.
Ich gebe erst mal die Auszüge aus den Debuggerlogs wieder und fasse dann meine Erkenntnisse zusammen.
122816-14531-01.dmp
Code: 
122816-14531-01.dmp
[COLOR="#FF0000"]Built by: 10586.0.amd64fre.th2_release.151029-1700[/COLOR]
[COLOR="#008000"]Es fehlen jede Menge Updates. Nur mit den verfügbaren Updates bleibt das System stabil[/COLOR]

MEMORY_MANAGEMENT (1a)
    # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 00000000000[COLOR="#FF0000"]41792[/COLOR], A corrupt PTE has been detected. Parameter 2 contains the address of
	the PTE. Parameters 3/4 contain the low/high parts of the PTE.
[COLOR="#008000"]Der Debugger hat hier schon auf der MSDN-Seite nachgeschaut 
und die Erklärung zu diesem Fehler präsentiert. Die PTE ist also beschädigt, bzw enthält ungültige Einträge.[/COLOR]
Arg2: fffff6bffc41e450
Arg3: 0000800000000000
Arg4: 0000000000000000
........
MEMORY_CORRUPTOR:  ONE_BIT
BUGCHECK_STR:  0x1a_41792
[COLOR="#FF0000"]PROCESS_NAME:  backgroundTask[/COLOR]
[COLOR="#008000"]Ein Hintergrund-Thread hat den Fehler verursacht. 
Welcher, das bleibt das Geheimnis von Windows.[/COLOR]
.......
STACK_TEXT:  
ffffd000`95f3d1f8 fffff801`c05fa639 : 00000000`0000001a 00000000`00041792 fffff6bf`fc41e450 00008000`00000000 : nt!KeBugCheckEx
ffffd000`95f3d200 fffff801`c04be09a : 00000000`00000000 ffffd000`95f3d500 00000000`00000001 00007ff8`20646156 : nt! ?? ::FNODOBFM::`string'+0x1ed39
ffffd000`95f3d400 fffff801`c08dcf9a : 00000000`00000000 ffffe000`39347d20 ffffe000`3b4a7080 ffffe000`3b62c2c0 : nt!MiDeleteVad+0x4da
[COLOR="#FF0000"]ffffd000`95f3d540 fffff801`c08dcd6b : 00000000`00040000 ffffe000`3b4a7080 00000000`00000001 ffffe000`3b62c2c0 : nt!MmCleanProcessAddressSpace+0xea[/COLOR]
[COLOR="#008000"]Diese Funktion muss man dann im Speicher des letzten aktiven Thread suchen[/COLOR]
ffffd000`95f3d5a0 fffff801`c0891e3b : ffffe000`3b62c2c0 ffffc001`66c039a0 ffffd000`95f3d680 ffffe000`3b4a7080 : nt!PspRundownSingleProcess+0x117
ffffd000`95f3d620 fffff801`c090a30c : 00000000`00000001 ffffe000`3b4a7080 ffffd000`95f3da00 ffffe000`3b4a7128 : nt!PspExitThread+0x4f7
ffffd000`95f3d760 fffff801`c090a2f3 : ffffd000`9448f000 fffff801`c04fe50c 00000000`000001a0 fffff801`c04fe50c : nt!PsExitCurrentUserThread+0x18
ffffd000`95f3d790 fffff801`c04e0522 : 00000000`00000000 fffff801`c079fac8 00000000`342dc100 00000000`00000000 : nt!KiSchedulerApcTerminate+0x1f
ffffd000`95f3d7c0 fffff801`c05d0310 : 00000000`00000002 00000000`00000002 00000000`000001f8 00000000`00000000 : nt!KiDeliverApc+0x2f2
ffffd000`95f3d850 fffff801`c05d784a : 000000fa`0e87f600 00000000`00000000 ffffe000`3b4a7080 000000fa`0e87f468 : nt!KiInitiateUserApc+0x70
ffffd000`95f3d990 00007ff8`845e58a4 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceExit+0x9f
000000fa`0e87f448 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ff8`845e58a4
.....
AILURE_BUCKET_ID:  MEMORY_CORRUPTION_ONE_BIT
BUCKET_ID:  MEMORY_CORRUPTION_ONE_BIT
ANALYSIS_SOURCE:  KM
[COLOR="#FF0000"]FAILURE_ID_HASH_STRING:  km:memory_corruption_one_bit  [/COLOR]

1: kd> dps ffffd00095f37000 ffffd00095f3e000
[COLOR="#008000"]Hier hangle ich mich durch den Speicher. Da er sehr, sehr lang ist, habe Zeilen,
die uns nichts sagen durch "...." ersetzt.[/COLOR]
ffffd000`95f3d290  fffffa80`041649f0
ffffd000`95f3d298  fffff801`c078b700 nt!MiSystemPartition
[COLOR="#008000"]Hier wird auf die Systempartition zugegriffen. 
Dort liegt in der Regel die Auslagerungsdatei Pagefile.sys[/COLOR]
....
....
ffffd000`95f3d348  00007ff8`83bf5000
ffffd000`95f3d350  fffff801`c079fac0 nt!NonPagedPoolDescriptor
[COLOR="#FF0000"]ffffd000`95f3d358  fffff801`c0857cb9 nt!PsReturnProcessPageFileQuota+0x25[/COLOR]
ffffd000`95f3d360  00007ff8`00000010
[COLOR="#008000"]Aus der Pagefile einen Wert auslesen[/COLOR]
......
....
ffffd000`95f3d380  ffffe000`3a726dc0
ffffd000`95f3d388  fffff801`c0859d09 nt!MiRemoveVadCharges+0x129
ffffd000`95f3d390  ffffe000`39a1a460
ffffd000`95f3d398  00000000`00000000
ffffd000`95f3d3a0  00000000`00000000
ffffd000`95f3d3a8  fffff801`c04bd72f nt!MiCheckControlArea+0x17f
ffffd000`95f3d3b0  fffff8ad`911634bd
.....
.....
ffffd000`95f3d3f0  ffffd000`95f3d500
ffffd000`95f3d3f8  fffff801`c04be09a nt!MiDeleteVad+0x4da
ffffd000`95f3d400  00000000`00000000
....
....
ffffd000`95f3d4d0  00000000`00000000
ffffd000`95f3d4d8  fffff801`c0544015 nt!MiOutlawInswaps+0x49
.....
ffffd000`95f3d500  fffff8ad`911632bd
ffffd000`95f3d508  fffff801`c04c31d1 nt!UNLOCK_ADDRESS_SPACE_SHARED+0x31
.....
ffffd000`95f3d530  fffff801`c078b700 nt!MiSystemPartition
[COLOR="#FF0000"]ffffd000`95f3d538  fffff801`c08dcf9a nt!MmCleanProcessAddressSpace+0xea[/COLOR]
[COLOR="#008000"]Da die PTE beschädigt ist, wird in der Folge der aktive Prozess gekillt und 
danach der User-Thread.[/COLOR]
.....
ffffd000`95f3d560  ffffc001`66c037c0
ffffd000`95f3d568  fffff801`c08b4c24 nt!ObKillProcess+0x48
ffffd000`95f3d570  00000000`00060000
ffffd000`95f3d578  ffffd000`95f3d578
ffffd000`95f3d580  ffffd000`95f3d578
ffffd000`95f3d588  ffffc001`66c037c0
ffffd000`95f3d590  ffffe000`3b62c2c0
ffffd000`95f3d598  fffff801`c08dcd6b nt!PspRundownSingleProcess+0x117
ffffd000`95f3d5a0  00000000`00040000
.....
ffffd000`95f3d5e0  00000000`00000001
ffffd000`95f3d5e8  fffff801`c08afe84 nt!ExWnfExitProcess+0x54
ffffd000`95f3d5f0  fffff8ad`9116331d
.....
ffffd000`95f3d610  00000000`00000000
ffffd000`95f3d618  fffff801`c0891e3b nt!PspExitThread+0x4f7

122816-11734-01.dmp
Die Wiedergabe der Debuggerausgabe erspare ich uns hier, da sie vom Verlauf her das Gleiche, wie vorher ist.
Wieder FAILURE_ID_HASH_STRING: km:memory_corruption_one_bit
Und wieder A corrupt PTE has been detected

122716-9187-01.dmp
Code: 
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003.  This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG.  This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG.  This will let us see why this breakpoint is
happening.
Arguments:
Arg1: [COLOR="#FF0000"]ffffffffc0000005[/COLOR], The exception code that was not handled
Arg2: fffff80302da6f4d, The address that the exception occurred at
Arg3: ffffd001a056b2a8, Exception Record Address
Arg4: ffffd001a056aac0, Context Record Address
.........
FAULTING_IP: [COLOR="#FF0000"]nt!MiDemoteCombinedPte+39[/COLOR]
fffff803`02da6f4d 48394af0        cmp     qword ptr [rdx-10h],rcx
[COLOR="#008000"]Die Speicherzugriffsverletzung, die oben markiert ist, wird wiederum durch
einen korrupten PTE ausgelöst[/COLOR]
EXCEPTION_RECORD:  ffffd001a056b2a8 -- (.exr 0xffffd001a056b2a8)
.exr 0xffffd001a056b2a8
[COLOR="#FF0000"]ExceptionAddress: fffff80302da6f4d (nt!MiDemoteCombinedPte+0x0000000000000039)
   ExceptionCode: c0000005 (Access violation)[/COLOR]
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 0000000000000000
   Parameter[1]: ffffffffffffffff
Attempt to read from address ffffffffffffffff

CONTEXT:  ffffd001a056aac0 -- (.cxr 0xffffd001a056aac0;r)
.cxr 0xffffd001a056aac0;r
rax=fffffb8f79ce64af rbx=c150800103059005 rcx=0000000000000001
rdx=8000000000000000 rsi=fffff580108063f8 rdi=fffff6bffd6caf48
rip=fffff80302da6f4d rsp=ffffd001a056b4e0 rbp=fffffc00030910b0
 r8=ffffe000958fb700  r9=0000098000000000 r10=0000000fffffffff
r11=0000058000000000 r12=ffffd001a056b600 r13=fffff6bffd6caf48
r14=fffff58010804000 r15=fffff58010819b80
iopl=0         nv up ei ng nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010286
nt!MiDemoteCombinedPte+0x39:
fffff803`02da6f4d 48394af0        cmp     qword ptr [rdx-10h],rcx ds:002b:7fffffff`fffffff0=????????????????
.......
PROCESS_NAME:  dwm.exe
CURRENT_IRQL:  2
ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden.
EXCEPTION_PARAMETER1:  0000000000000000
EXCEPTION_PARAMETER2:  ffffffffffffffff
......
STACK_TEXT:  
f[COLOR="#FF0000"]fffd001`a056b4e0 fffff803`02e255b7 : ffffe000`958fb700 00000000`00000001 c1508001`03059005 ffffd001`a056b980 : nt!MiDemoteCombinedPte+0x39[/COLOR]
ffffd001`a056b5c0 fffff803`02cc079f : ffffe000`958fb700 ffffe000`958fb700 00000000`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x44cb7
ffffd001`a056b700 fffff803`02cbff4b : 00000000`00000000 ffffd001`a056b980 ffffd001`a056b8b0 00000000`00000000 : nt!MiTrimOrAgeWorkingSet+0x3ff
ffffd001`a056b7b0 fffff803`02c9fb23 : fffff803`02f90700 00000000`00000001 00000000`0000011c 00000000`00000002 : nt!MiProcessWorkingSets+0x1fb
ffffd001`a056b960 fffff803`02db5c05 : 00000000`00000002 00000000`00000006 00000000`ffffffff 00000000`00000001 : nt!MiWorkingSetManager+0xa7
ffffd001`a056ba20 fffff803`02c99125 : ffffe000`95149040 00000000`00000080 fffff803`02db59b8 01d112e3`0e4c60a8 : nt!KeBalanceSetManager+0x24d
ffffd001`a056bb10 fffff803`02dd7126 : ffffd001`a0400180 ffffe000`95149040 fffff803`02c990e4 01d112e3`15bd55ff : nt!PspSystemThreadStartup+0x41
ffffd001`a056bb60 00000000`00000000 : ffffd001`a056c000 ffffd001`a0565000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
........
IMAGE_NAME:  memory_corruption
BUCKET_ID_FUNC_OFFSET:  39
FAILURE_BUCKET_ID:  AV_nt!MiDemoteCombinedPte
BUCKET_ID:  AV_nt!MiDemoteCombinedPte
ANALYSIS_SOURCE:  KM
[COLOR="#FF0000"]FAILURE_ID_HASH_STRING:  km:av_nt!midemotecombinedpte[/COLOR]

Zusammenfassung:
In #2 habe ich schon einen Hinweis gegeben: Hiberfil.sys deaktivieren
Darüber hinaus können korrupte PTE und beschädigte Pagfile.sys durch fehlerhaftes Dateisystem verursacht werden.
Das fehlerhafte Dateisystem kann man zum Einen mit chkdsk /f /r in einer Eingabeaufforderung (Administrator) überprüfen. Bei SSD ist der Parameter /r weg zu lassen.
Zum anderen muss man den Systemdatenträger mit CrystalDiskInfo überprüfen.
http://www.drwindows.de/hardware-to...-smart-festplatten-parameter-uberwachung.html

Das Betriebssystem ist auf den neusten Stand zu bringen.
Und schließlich sind die Treiber zum Board aktuelle zu halten.
GIGABYTE - Mainboard - Socket 1151 - GA-Z170XP-SLI (rev. 1.0)
Ich möchte da nur an des BIOS erinnern, das im vorliegenden System
BIOS Version F5
BIOS Starting Address Segment f000
BIOS Release Date 10/12/2015
Und auf der Homepage ein BIOS vom 9.11.2016 verfügbar ist.
GIGABYTE - Mainboard - Socket 1151 - GA-Z170XP-SLI (rev. 1.0)
 
oh vielen dank für die ganze mühe! eine frage hätte ich jetzt nur noch.. und zwar habe ich das Bios update runtergeladen ''F20'' jetzt habe ich da ''efiflash.exe, autoexec.bat, und eine f20-Datei ( Z17XPSLI.f20 )'' wie fang ich damit jetzt was an? da ich ja nicht einfach auf eine der exen klicken kann damit es installiert oder updatet oder so :x
 
@Kangor, entschuldige, aber ich habe keine Ahnung von UEFI, weil ich keins habe. Bevor du updatest und eventuell einen Fehler machst, warte erst auf die Hinweise von Helfern, die sich mit dem UEFI auskennen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben