Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
[gelöst]Häufige Bluescreens nach gestrigen Windows Updates
Nach dem Neustart nach der Installation der gestrigen (10.1.) Windows Updates für meinen Desktop-PC mit Windows 10 Pro 64-bit, der seit 11.2015 eigentlich recht problemlos lief, hatte ich gestern abend laufend Bluescreens mit verschiedenen Fehlermeldungen:
KMODE EXCEPTION NOT HANDLED
Fehlerursache: NTFS.sys
(direkt im lfd. Neustart nach der Installation)
Danach die folgenden Fehlermeldungen einige Sekunden oder Minuten nach dem Neustart in dieser Reihenfolge (meist unterschiedlich je Neustart):
Stillstandcode: BAD POOL HEADER
SYSTEM SERVICE EXCEPTION
Fehlerursache: Ci.dll
MEMORY MANAGEMENT (3-mal, aber nicht hintereinander)
PAGE FAULT IN NONPAGED AREA
CRITICAL STRUCTURE CORRUPTION
Mir ist aufgefallen das das Update
- Kumulatives Update für Windows 10 Version 1607 für x64-basierte Systeme (KB3213986)
fehlerhaft war, aber sich auch nicht wieder deinstallieren ließ.
Ich habe am Samstag folgende System-Änderungen gemacht:
- BIOS-Update für das ASUS-Mainbord B150M-C (ich weiß nicht wie man ein BIOS-Downgrade macht, weil ich das CrashFree Utility von ASUS weder auf der Asus-DVD noch auf der Asus-Webseite finde)
- Neue Intel-Chipset-Treiber von der ASUS-Webseite installiert
Ich habe am Montag folgende System-Änderung gemacht:
- Intel Grafiktreiber von der Intel-Webseite installiert
Heute morgen habe ich ein Systemabbild von vor einigen Tagen neu installiert, was auch einige Zeit (ca. 1 Stunde) problemlos lief, bis auch hier ein Bluscreen kam mit einer Fehlermeldung und nach einem Neustart nach kurzer Zeit nur ein blauer Bildschirm ohne Fehlermeldung kam. Diesmal liefen die Windows Updates problemlos durch ohne das KB3213986 fehlerhaft war.
Mir stellt sich jetzt die Frage in welcher Richtung muss ich suchen, um den Fehler einer Software oder Hardware genauer zuordnen zu können?
In den erweiterten Systemeinstellungen stellst du kleines Speicherabbild ein. Die Auslagerungsdatei läßt du von System verwalten.
Wenn du jetzt einen BSOD hast wird ein Dumpfile in C: Dumpfile geschrieben. Auf blauem Bildschirm machen lassen bis Erstellung fertig ist. Nicht vorher abbrechen!! Dieses Dumpfile hängst du bei deiner nächsten Nachricht mit an (unten auf erweitert klicken und dann oben in der Menüleiste die Briefklammer auswählen). Dann kommt schon jemand und bearbeitet das mal.
Jetzt ist es nach der Zeit meines Startbeitrages zum ersten Mal wieder passiert. Diesmal mit Fehler "IRQL NOT LESS OR EQUAL". Zum Zeitpunkt des Bluscreens lief die Datenträgerbereinigung und war damit beschäftigt die überflüssigen Dateien zu löschen. Den Minidump habe ich beigefügt.
Ich pushe das nochmal. Dann wird schon nochmal jemand anderes hereinschauen. Das letzte war ein Interrupt-fehler der eigentlich deine Hardware oder deren Ansteuerung betrifft. Was den Fehler ausgelöst hat kann ich dir so nicht sagen.
Wenn ich mal mutmaßen soll dann würde ich auf einen Speicher- oder SSD-Festplattenfehler tippen. Das kann von einem Ram-Modul oder auch von der SSD (Auslagerungsdatei) herrühren. Ram - Einstellungen kannst du im Bios kontrollieren (Takt, Spannung, Latenzen) und verlaß dich nicht auf die automatisch gesetzten. Evtl. mal Memtest laufen lassen. Das dauert aber Stunden.
Auslagerungsdatei sollte eigentlich iO. sein da du ja die DMP-Files erhalten hast. Aber man weiß ja nie.
Hallo @John22!
Ich hatte gestern deinen Thread nicht gesehen, Sorry.
@tkmopped hat ja eigentlich das Wesentliche schon gesagt: RAM oder Auslagerungsdatei oder SSD
Ich möchte diese Meinung durch den Debuggerlauf (auszugsweise) untermauern. 011217-6046-01.dmp
Code:
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: ffffd9cb52fcb650, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff801150790c1, address which referenced memory
....
FAULTING_IP: [COLOR="#FF0000"]nt!MiIdentifyPfn[/COLOR]+191 fffff801`150790c1 4c8b3e mov r15,qword ptr [rsi]
[COLOR="#008000"]Der Fehler entsteht also bei der Abfrage der PFN (PageFrameNumber)[/COLOR]
.....
DEFAULT_BUCKET_ID: CODE_CORRUPTION
[COLOR="#FF0000"]PROCESS_NAME: svchost.exe[/COLOR]
[COLOR="#008000"]Verursacht wird der Fehler wahrscheinlich durch einen Dienst der auf Svchost.exe läuft.
Den Namen des Dienstes kann man nicht ermitteln[/COLOR]
....
TRAP_FRAME: ffffc201e37b8f60 -- (.trap 0xffffc201e37b8f60)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0a00000000000060 rbx=0000000000000000 rcx=0200000000000000
rdx=022000000004a7ec rsi=0000000000000000 rdi=0000000000000000
rip=fffff801150790c1 rsp=ffffc201e37b90f0 rbp=ffffc201e37b9120
r8=000000000000eb1d r9=0000000000000000 r10=fffff80115010000
r11=0000000000000546 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl zr na po nc
[COLOR="#FF0000"]nt!MiIdentifyPfn[/COLOR]+0x191: fffff801`150790c1 4c8b3e mov r15,qword ptr [rsi] [COLOR="#FF0000"]ds:00000000`00000000=????????????????[/COLOR]
[COLOR="#008000"]Hier noch mal die Funktion, die den Fehler ausgelöst hat. Man siehtz, dass die Datenübergabe
sinnlose Werte enthält.[/COLOR]
....
STACK_TEXT:
[COLOR="#FF0000"]ffffc201`e37b8e18 fffff801`15165829 : 00000000`0000000a ffffd9cb`52fcb650 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx[/COLOR]
ffffc201`e37b8e20 fffff801`15163e07 : ffffc201`e37b9130 fffff801`1515f722 000000ae`a987c2d0 ffff9480`00000000 : nt!KiBugCheckDispatch+0x69
[COLOR="#FF0000"]ffffc201`e37b8f60 fffff801`150790c1 : 00000000`00000000 00000000`00000000 ffffc201`00000000 ffffc201`e2329000 : nt!KiPageFault+0x247[/COLOR]
[COLOR="#FF0000"]ffffc201`e37b90f0 fffff801`15078ece : 00000000`00000100 ffffd98b`549338c0 ffff9180`002c1570 ffffc201`e37b9308 : nt!MiIdentifyPfn+0x191[/COLOR]
[COLOR="#008000"]Hier sieht man wieder die Funktion, die die PageFrameNumber ermittelt. Bei dieser
Aktion kommt es im nächsten Schritt zum PageFault und in der Folge zum Absturz[/COLOR]
ffffc201`e37b9210 fffff801`15497a5a : 00000000`00000000 00000000`00000000 ffffd98b`54933230 ffffd98b`54932000 : nt!MiIdentifyPfnWrapper+0x3e
ffffc201`e37b9240 fffff801`1549532e : 00000000`00000001 ffff9b02`6391b060 ffffc201`e37b9424 ffffd98b`54932000 : nt!PfpPfnPrioRequest+0xca
[COLOR="#008000"]Nach einigen Abfragen wird hier nach der PFN geschaut[/COLOR]
ffffc201`e37b92c0 fffff801`15493794 : 00000000`0000004f fffff801`154e41b8 000000ae`a9879d88 ffffd98b`52fe9480 : nt!PfQuerySuperfetchInformation+0x2de
ffffc201`e37b93f0 fffff801`1549345b : 00000000`00001001 00000000`00000000 000001c5`13c0dc70 00000000`00000000 : nt!ExpQuerySystemInformation+0x224
ffffc201`e37b9bc0 fffff801`15165393 : ffffd98b`5240b200 00000000`00000000 00000000`00000000 00000000`00000000 : nt!NtQuerySystemInformation+0x2b
ffffc201`e37b9c00 00007ffd`731a6794 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ae`a9879c88 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffd`731a6794
.....
MODULE_NAME: memory_corruption
IMAGE_NAME: memory_corruption
FOLLOWUP_NAME: memory_corruption
FAILURE_BUCKET_ID: MEMORY_CORRUPTION_LARGE
BUCKET_ID: MEMORY_CORRUPTION_LARGE
PRIMARY_PROBLEM_CLASS: MEMORY_CORRUPTION_LARGE
....
[COLOR="#FF0000"]FAILURE_ID_HASH_STRING: km:memory_corruption_large[/COLOR]
Followup: memory_corruption
.....
[COLOR="#008000"]Das Ermitteln des aktiven Thread bringt keine weitere Aufklärung,
da wieder nur svchost.exe genannt wird.[/COLOR]
1: kd> !thread
THREAD ffffd98b5240b200 Cid 03cc.061c Teb: 000000aea7ebb000 Win32Thread: 0000000000000000 RUNNING on processor 1
Impersonation token: ffff9b0264459060 (Level Impersonation)
GetUlongFromAddress: unable to read from fffff80115306924
[COLOR="#FF0000"]Owning Process ffffd98b5291f800 Image: svchost.exe[/COLOR]
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 387497
Context Switch Count 3694 IdealProcessor: 0
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffd727b3db0
Stack Init ffffc201e37b9d90 Current ffffc201e37b8f30
Base ffffc201e37ba000 Limit ffffc201e37b4000 Call 0000000000000000
Priority 7 BasePriority 7 PriorityDecrement 0 IoPriority 2 PagePriority 5
....
....
[COLOR="#008000"]Hier bringe ich mal noch einen kleinen Auszug aus dem Speicher des aktiven Thread. Natürlich
kann das nur ein ganz kleiner Ausschnitt sein, da die Anzeige etwa 250 Zeilen lang wäre.
Bishier her wurde bereits die PFN abgefragt und mit dem Wert sollen in der Folge Daten
aus der Pagfile.sys nachgeladen werden. [/COLOR]
ffffc201`e37b9908 fffff801`150b4a87 nt!MiResolveDemandZeroFault+0x1d7
ffffc201`e37b9910 ffffd98b`00000000
ffffc201`e37b9918 ffffc201`e37b99b1
ffffc201`e37b9920 00000000`00000000
ffffc201`e37b9928 00000000`00000000
ffffc201`e37b9930 00000000`00001000
[COLOR="#FF0000"]ffffc201`e37b9938 fffff801`154d3410 nt!MiAllocateVirtualMemory+0x400[/COLOR]
[COLOR="#008000"]Der virtuelle Memory ist die Auslagerungsdatei[/COLOR]
ffffc201`e37b9940 00000000`00000000
.....
....
[COLOR="#008000"]Hier kommt es zum Zugriffsfehler[/COLOR]
ffffc201`e37b99f8 fffff801`150b8582 nt!MmAccessFault+0x792
ffffc201`e37b9a00 fffff300`e2896fc8
Zusammenfassung:
Beim Auslesen der PFN oder beim Anwenden des ausgelesenen Wertes kommt es zum Absturz. Der Verursacher ist ein Dienst, der auf svchost.exe läuft.
Es gibt nun zwei Möglichkeiten:
-> entweder der RAM ist in dem Bereich defekt, in dem zufällig die PFN-Liste liegt
-> oder die Auslagerungsdatei ist in dem Bereich fehlerhaft, der abgefragt werden soll.
Empfehlung:
-> zum Überprüfen des RAM nimmt man meist Memtest86+ http://www.drwindows.de/hardware-to...rbeitsspeicher-diagnose-fuer-windows-pcs.html
Mit dem Tool booten und mindestens 3 komplette Durchläufe laufen lassen. Bei 8GB RAM dauert das etwa 2 3/4 Stunden. Wenn rote Markierungen auftreten, kann sofort mit >ESC< abgebrochen werden und die RAM-Module sind einzeln zu testen.
-> Um fest zu stellen, ob die Auslagerungsdatei in einem defekten Bereich gespeichert ist, prüft man mit chkdsk /f der Parameter /r wird bei SSD nicht angegeben
-> da es nicht unmöglich ist, dass auch eine neue SSD defekte Stellen hat, sollten mit CrystalDiskInfo die SMART-Werte überprüft werden. Natürlich kann auch ein Tool des SSD-Herstellers verwendet werden. http://www.drwindows.de/hardware-to...-smart-festplatten-parameter-uberwachung.html
Und zum Schluss: In der Treiberübersicht habe ich gesehen, dass McAfee installiert ist.
Wenn die vorgenannten Maßnahmen nicht das Problem beheben, sollte diese Programm erstmal vollständig entfernt werden.
Danke für die Antwort. Ich werde die Empfehlungen mal durchgehen. Ich selber habe eher auf die CPU Pentium G4500 getippt ohne einen Beweis dafür zu haben, weil zweimal die Datenträgerbereinigung mit unterschiedlichen Fehlermeldungen bei den Bluescreens betroffen war und dies Programm extrem viel Prozessorauslastung verursacht.
Von McAfee habe ich nie was installiert. Wie lautet der Dateiname des Treibers. Als Virenscanner habe ich bisher nur den internen Defender benutzt.
Es hat mich auch gewundert, dass ich außer der einen DLL von McAfee nichts anderes gesehen habe.
Die Datei heißt mcupdate.dll und gehört zu McAfee Update Launcher
Wenn du das Windows 10 von Windows 7 Upgradet hast, könnte diese Datei eingeschleppt sein, ohne dass die benötigt wird.
Ich konnte die Datei "mcupdate.dll" weder in meiner derzeitigen Systemumgebung einschl. Programme noch in der Registry oder in einer Einzeldateiensicherung finden. Auch die installierte Software "Magenta Cloud" hat nicht so eine Datei installiert, weil bei einigen von deren Sachen auch das Kürzel "mc" vorkommt.
Windows hat ein "MCUpdate-UpdateDLLs-IntelAMD-Package" mit den vorhandenen Dateien
mcupdate_AuthenticAMD.dll
mcupdate_GenuineIntel.dll
aber eben nicht den genau genannten Dateinamen.
Ich werde mich dann erstmal um Deine Empfehlungen bezüglich RAM und SSD kümmern.
Ok, John, verplempere keine weitere Zeit mit dieser Datei. Wenn McAfee nicht installiert ist, wird diese Datei vielleicht auch noch von anderen Programmen genutzt.
Sie hat ja auch nicht unmittelbar mit den Bluescreens zu. Ich hatte sie nur in der Treiberliste gesehen und danach gegooglet.
Der Parameter "chkdsk /f" machte nach einem Neustart eine Überprüfung und das Log sieht unter Ereignisanzeige > Windows-Protokolle > Anwendung > Ereignis-ID 1001 wie folgt im Ergebnis aus:
"Dateisystem wurde überprüft, keine Probleme festgestellt.
Keine weiteren Aktionen erforderlich."
Einzelheiten siehe Dateianhang.
CrystalDiskInfo zeigt auch kein Auffälligkeiten an. Gesamtzustand ist 100 % und die SMART-Einzelwerte sind auch gut. Kurze Übersicht:
Power On Hours : 331 Std.
Power On Count : 1881 mal
Host Reads : 4268 GB
Host Writes : 2162 GB
NAND Writes : 4237 GB
Temperature : 23 C (73 F)
Health Status : Unbekannt (100 %)
Der RAM-Test folgt als nächtes, eventuell aber erst morgen.
Gerade als ich eben beim Schreiben war, das MemTest86+ in drei Läufen auch keinen Fehler gefunden hat, kam wieder ein Bluescreen und zwar mit Fehler "Memory Management". Siehe die beiden ZIP-Dateien.
Seit gestern abend ca. 19 Uhr sind keine neuen Bluscreens gekommen.
Heute habe ich ein neues Netzteil eingebaut.
Nachdem ich SSD und RAM geprüft habe, würde ich auch gerne nochmal die CPU auf Stabilität testen. Welches Testprogramm bietet sich dafür an?
Nachtrag: ich habe die CPU mit Prime95 etwas länger belastet und nichts ist aufgefallen und wenn in den nächsten 3-5 Tagen keine weiteren Bluescreens kommen, dann lag der Fehler m.E. beim Netzteil und ich werde das Thema als gelöst kennzeichnen
