Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
PAGE_FAULT_IN_NONPAGED_AREA ntoskrnl.exe Bluescreen Windows 10
Hi, ich habe das selbe Problem wie der andere Mann hier im Forum.
Seine Lösung war GData neu zu installieren, nur ehm ich habe kein GData. :/
Das Problem trat beim hoch fahren auf, der PC ging danach aus. Danach lief wieder alles normal
Ich wollte das Problem selber lösen, aber kp wie man dump Dateien öffnet, habe vieles im internet rumprobiert aber nichts hat geklappt. BlueScreenview und dieses andere Bluescreen progamm zeigen ja leider nicht alles an
LG
Juri
BTW: kann mir jemand neben der Lösung auch sagen wie ich in Zukunft solche Probleme selber lösen kann bzw wie ich eine dump datei öffne? Wär nett
Hallo @Jurii! Willkommen im Forum!
Ich habe mir jetzt deine Dumpfile mal angesehen, allerdings nur erstmal mit der Schnellanalyse. Den Debugger benutze ich, sobald ich mein Windows 10 gestartet habe.
Zwei vorläufige Erkenntnisse:
-> es ist eine FAILURE_BUCKET_ID: MEMORY_CORRUPTION_LARGE
BUCKET_ID: MEMORY_CORRUPTION_LARGE
eingetreten. Diese hat in der Regel zwei mögliche Ursachen: defekter RAM oder defekter Treiber
-> es ist zwar nicht GDATA installiert, aber AVAST. Auch das kann das System negativ beeinflussen.
Auf dem Stack hat FLTMGR.sys die NTFS.Sys beauftragt, etwas zu schließen. Dabei kam es zum nt!MmAccessFault+0x9ca, also Memory Zugriffsfehler.
Die FLTMGR.sys ist ein Filterdienst, der von mehreren Modulen verwendet wird (Search, AV-Programme, Internetprogramme).
Es sollte als erstes der RAM getestet werden. Dazu benutzt man Memtest86+ und bootet damit den Rechner. Das Tool sollte man mindestens 3 komplette Durchläufe machen lassen. Bei 8GB RAM dauert das etwa 3 Stunden. http://www.drwindows.de/hardware-to...rbeitsspeicher-diagnose-fuer-windows-pcs.html
In unserer Softwarevorstellung geht es rechts in dem Kasten mit dem dicken Pfeil zur Herstellerseite.
Dort nach unter scrollen, bis zu dieser Ansicht.
Sobald beim testen rote Markierungen erscheinen, kann mit >ESC< abgebrochen werden. Dann sind die RAM-Riegel einzeln zu testen.
Hey @Jurii!
ot: Nein, ich arbeite nicht in dem Bereich (mit 72J ). Ich bin nur sehr an PC interessiert, habe viel gelesen und bin seit 7 Jahren hier im Forum aktiv. Das "färbt ab" . Bitte nimm es mir nicht übel, dass mich nicht weiter über Debugtechniken auslasse. Nicht weil ich Geheimniskrämerei betreibe, sondern weil das für ein technisches Hilfeforum zu umfangreich ist.
Du kannst dir mal als Einstimmung dieses Tutorial ansehen. Ich weiß nicht, ob Kollege @Franz das schon auf Windows 8 / 10 umgeschrieben hat, aber als erste Info reicht es. http://www.drwindows.de/windows-anl...gen-leichte-diagnose-hilfe-windows-tools.html
Ich habe mir nun die Dumpfile mit dem Debugger angesehen. Kurz und bündig: der Übeltäter ist AVAST
Hier auszugsweise der Debuggerlauf. Und anschließend noch ein paar Infos aus den Sysinfo. 012717-3593-01.dmp
Code:
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: ffff9694b9a47250, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
[COLOR="#FF0000"]Arg3: fffff80e3cb2597a[/COLOR], If non-zero, the instruction address which referenced the bad memory address.
[COLOR="#008000"]Dieser Parameter bringt uns zum Übeltäter. Meist indirekt, manchmal aber auch direkt.[/COLOR]
Arg4: 0000000000000002, (reserved)
Could not read faulting driver name
[COLOR="#008000"]Der Treibername konnte nicht gelesen werden. Wahrscheinlich, weil der Treiber
beim ersten Laden "zickig" war [/COLOR]
READ_ADDRESS: unable to get nt!MmSpecialPoolStart
unable to get nt!MmSpecialPoolEnd
unable to get nt!MmPagedPoolEnd
unable to get nt!MmNonPagedPoolStart
unable to get nt!MmSizeOfNonPagedPoolInBytes
[COLOR="#008000"]Jede Menge Speicher-Lesefehler[/COLOR]
....
FAULTING_IP: NTFS!NtfsFsdClose+ba fffff80e`3cb2597a 4c8b82d0000000 mov r8,qword ptr [rdx+0D0h]
[COLOR="#008000"]Diese Funktion aus dem Modul NTFS.Sys hat den Absturz ausgelöst.[/COLOR]
....
STACK_TEXT:
ffffa881`2c9960c8 fffff800`1f1a8b54 : 00000000`00000050 ffff9694`b9a47250 00000000`00000000 ffffa881`2c9963c0 : nt!KeBugCheckEx
ffffa881`2c9960d0 fffff800`1f0b57ba : 00000000`00000000 00000000`00000000 ffffa881`2c9963c0 ffffe180`05cf0700 : nt! ?? ::FNODOBFM::`string'+0x41fc4
[COLOR="#FF0000"]ffffa881`2c9961c0 fffff800`1f160cfc : ffffa881`2c996479 ffff9684`c1071a10 00000000`00000000 ffff9684`c1071dfb : nt!MmAccessFault+0x9ca[/COLOR]
[COLOR="#008000"]Wurde ein paar Zeilen weiter oben schon als Ursache benannt[/COLOR]
ffffa881`2c9963c0 fffff80e`3cb2597a : ffff9684`00000001 00000000`00000000 ffffa881`2c996574 00000000`00000000 : nt!KiPageFault+0x13c
ffffa881`2c996550 fffff80e`3b665206 : ffffa881`2c996710 ffff9684`c1071a10 ffff9684`c1071a10 ffffa881`00000002 : NTFS!NtfsFsdClose+0xba
[COLOR="#FF0000"]ffffa881`2c996660 fffff80e`3b663146 : ffffffff`fffe7960 ffff9684`bb1d7df0 00000000`00000001 fffff800`1f0797ee : FLTMGR!FltpLegacyProcessingAfterPreCallbacksCompleted+0x1a6[/COLOR]
[COLOR="#008000"]Der Filtermanager FLTMGR.sys hat NTFS mit falschen Parametern aufgerufen. Der Beweis
folgt in der Speicherabfrage des aktiven Thread[/COLOR]
ffffa881`2c9966f0 fffff800`1f49986d : ffff9684`bfc73420 ffff9684`bfc73420 ffff9684`c1071a10 ffff9684`00000021 : FLTMGR!FltpDispatch+0xb6
ffffa881`2c996750 fffff800`1f494ce8 : ffffba85`d1fdc0d0 00000000`00000000 ffff9684`b9ad7f20 00000000`000000ac : nt!IopDeleteFile+0x12d
ffffa881`2c9967d0 fffff800`1f0f3e41 : 00000000`00000000 00000000`00000000 ffffba85`d1fdc0d0 ffff9684`bfc73420 : nt!ObpRemoveObjectRoutine+0x78
ffffa881`2c996830 fffff800`1f4c40b5 : 00000000`00000000 ffff9684`c0d26c80 ffffba85`d1fdc0d0 ffff9684`c0d26c80 : nt!ObfDereferenceObject+0xa1
ffffa881`2c996870 fffff800`1f11ca53 : ffff9684`c0d26c80 ffffa881`2c996930 fffff800`1f331a80 ffffa881`2c7b1180 : nt!MiSegmentDelete+0x171
ffffa881`2c9968b0 fffff800`1f13c5ec : 00000000`00000002 fffff800`1f331940 fffff800`1f331480 fffff800`1f331480 : nt!MiProcessDereferenceList+0xab
ffffa881`2c996960 fffff800`1f00f729 : 00000000`00000000 ffff9684`b9ab8040 00000000`00000080 fffff800`1f13c4d0 : nt!MiDereferenceSegmentThread+0x11c
ffffa881`2c996b90 fffff800`1f15cbb6 : fffff800`1f34f180 ffff9684`b9ab8040 fffff800`1f00f6e8 00000000`00000000 : nt!PspSystemThreadStartup+0x41
ffffa881`2c996be0 00000000`00000000 : ffffa881`2c997000 ffffa881`2c990000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
....
TRAP_FRAME: ffffa8812c9963c0 -- (.trap 0xffffa8812c9963c0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0000000000000002 rbx=0000000000000000 rcx=0000000000000150
rdx=ffff9694b9a47180 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80e3cb2597a rsp=ffffa8812c996550 rbp=0000000000000001
r8=0000000000000000 r9=0000000000000000 r10=0000000000000000
r11=0000000000000001 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl nz na pe nc
[COLOR="#FF0000"]NTFS!NtfsFsdClose+0xba: fffff80e`3cb2597a 4c8b82d0000000 mov r8,qword ptr [rdx+0D0h] ds:ffff9694`b9a47250=????????????????[/COLOR]
[COLOR="#008000"]Beim Trap des auslösenden Frame wird klar, dass das schief gehen muß. Die Datenübergabe (ds: )
an eine bestimmte Adresse enthält keine verwertbaren Werte (?????)[/COLOR]
......
BUCKET_ID: MEMORY_CORRUPTION_LARGE
ANALYSIS_SOURCE: KM
[COLOR="#FF0000"]FAILURE_ID_HASH_STRING: km:memory_corruption_large[/COLOR]
.....
[COLOR="#008000"]Hier nun den aktiven Thread abfragen[/COLOR]
1: kd> !thread
THREAD ffff9684b9ab8040 Cid 0004.0038 Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 1
IRP List:
ffff9684c1071a10: (0006,04c0) Flags: 00000404 Mdl: 00000000
Not impersonating
GetUlongFromAddress: unable to read from fffff8001f303924
Owning Process ffff9684b9ac0040 Image: System
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 2962864
Context Switch Count 44 IdealProcessor: 0
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address nt!MiDereferenceSegmentThread (0xfffff8001f13c4d0)
Stack Init ffffa8812c996c10 Current ffffa8812c9965b0
[COLOR="#FF0000"]Base ffffa8812c997000 Limit ffffa8812c990000 [/COLOR]Call 0
[COLOR="#008000"]Mit diesen beiden Werten kann der Speicher des aktiven Thread durchlaufen werden.
Der jetzt folgende brauch nicht noch mal kommentiert werden.[/COLOR]
Priority 19 BasePriority 8 UnusualBoost 0 ForegroundBoost 0 IoPriority 2 PagePriority 5
Child-SP RetAddr : Args to Child : Call Site
ffffa881`2c9960c8 fffff800`1f1a8b54 : 00000000`00000050 ffff9694`b9a47250 00000000`00000000 ffffa881`2c9963c0 : nt!KeBugCheckEx
ffffa881`2c9960d0 fffff800`1f0b57ba : 00000000`00000000 00000000`00000000 ffffa881`2c9963c0 ffffe180`05cf0700 : nt! ?? ::FNODOBFM::`string'+0x41fc4
ffffa881`2c9961c0 fffff800`1f160cfc : ffffa881`2c996479 ffff9684`c1071a10 00000000`00000000 ffff9684`c1071dfb : nt!MmAccessFault+0x9ca
ffffa881`2c9963c0 fffff80e`3cb2597a : ffff9684`00000001 00000000`00000000 ffffa881`2c996574 00000000`00000000 : nt!KiPageFault+0x13c (TrapFrame @ ffffa881`2c9963c0)
ffffa881`2c996550 fffff80e`3b665206 : ffffa881`2c996710 ffff9684`c1071a10 ffff9684`c1071a10 ffffa881`00000002 : NTFS!NtfsFsdClose+0xba
ffffa881`2c996660 fffff80e`3b663146 : ffffffff`fffe7960 ffff9684`bb1d7df0 00000000`00000001 fffff800`1f0797ee : FLTMGR!FltpLegacyProcessingAfterPreCallbacksCompleted+0x1a6
ffffa881`2c9966f0 fffff800`1f49986d : ffff9684`bfc73420 ffff9684`bfc73420 ffff9684`c1071a10 ffff9684`00000021 : FLTMGR!FltpDispatch+0xb6
ffffa881`2c996750 fffff800`1f494ce8 : ffffba85`d1fdc0d0 00000000`00000000 ffff9684`b9ad7f20 00000000`000000ac : nt!IopDeleteFile+0x12d
ffffa881`2c9967d0 fffff800`1f0f3e41 : 00000000`00000000 00000000`00000000 ffffba85`d1fdc0d0 ffff9684`bfc73420 : nt!ObpRemoveObjectRoutine+0x78
ffffa881`2c996830 fffff800`1f4c40b5 : 00000000`00000000 ffff9684`c0d26c80 ffffba85`d1fdc0d0 ffff9684`c0d26c80 : nt!ObfDereferenceObject+0xa1
ffffa881`2c996870 fffff800`1f11ca53 : ffff9684`c0d26c80 ffffa881`2c996930 fffff800`1f331a80 ffffa881`2c7b1180 : nt!MiSegmentDelete+0x171
ffffa881`2c9968b0 fffff800`1f13c5ec : 00000000`00000002 fffff800`1f331940 fffff800`1f331480 fffff800`1f331480 : nt!MiProcessDereferenceList+0xab
ffffa881`2c996960 fffff800`1f00f729 : 00000000`00000000 ffff9684`b9ab8040 00000000`00000080 fffff800`1f13c4d0 : nt!MiDereferenceSegmentThread+0x11c
ffffa881`2c996b90 fffff800`1f15cbb6 : fffff800`1f34f180 ffff9684`b9ab8040 fffff800`1f00f6e8 00000000`00000000 : nt!PspSystemThreadStartup+0x41
ffffa881`2c996be0 00000000`00000000 : ffffa881`2c997000 ffffa881`2c990000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
.....
1: kd> dps ffffa8812c990000 ffffa8812c997000
[COLOR="#008000"]Da die Ausgabe über 200 Zeilen lang sein würde, gebe ich hier nur den relevanten Teil wieder.
Der Rest sind meist Null-Parameter (00000). Bitte von unten nach oben lesen. [/COLOR]
.....
ffffa881`2c9961a0 00000000`00000000
ffffa881`2c9961a8 00000000`00000003
ffffa881`2c9961b0 ffffa881`2c9962c0
[COLOR="#FF0000"]ffffa881`2c9961b8 fffff800`1f0b57ba nt!MmAccessFault+0x9ca[/COLOR]
[COLOR="#008000"]Durch die falschen Werte kommt es zur Zugriffsverletzung und in der Folge zum corrupten Memory.[/COLOR]
ffffa881`2c9961c0 00000000`00000000
ffffa881`2c9961c8 00000000`00000000
ffffa881`2c9961d0 ffffa881`2c9963c0
ffffa881`2c9961d8 ffffe180`05cf0700
ffffa881`2c9961e0 ffffa881`2c996330
ffffa881`2c9961e8 ffffa881`2c996290
ffffa881`2c9961f0 ffff9684`bf4993e0
ffffa881`2c9961f8 ffffa881`2c996280
ffffa881`2c996200 ffff9684`baaae450
[COLOR="#FF0000"]ffffa881`2c996208 fffff80e`3b667159 FLTMGR!FltGetStreamHandleContext+0x29[/COLOR]
[COLOR="#008000"]die fehlerhafte ASW-Datei ruft den Filtermanager auf und benutzt dabei falsche Parameter[/COLOR]
ffffa881`2c996210 ffff9684`bd490010
ffffa881`2c996218 00000000`00000000
ffffa881`2c996220 00000000`00000000
ffffa881`2c996228 00000000`00000000
ffffa881`2c996230 ffff9684`b9ac0040
ffffa881`2c996238 ffffa881`2c9963c0
ffffa881`2c996240 ffffa881`2c996300
[COLOR="#FF0000"]ffffa881`2c996248 fffff80e`3ee22300 Unable to load image \SystemRoot\system32\drivers\aswMonFlt.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for aswMonFlt.sys
*** ERROR: Module load completed but symbols could not be loaded for aswMonFlt.sys aswMonFlt+0x2300[/COLOR]
[COLOR="#008000"]Hier konnte erst aswMonFlt.sys nicht geladen werden. Dann doch, aber ohne Fileinfos)[/COLOR]
ffffa881`2c996250 00000000`00000000
ffffa881`2c996258 ffff9684`00001000
ffffa881`2c996260 00000000`00000000
ffffa881`2c996268 ffff9684`b9ab8040
ffffa881`2c996270 fffff24b`4a5cd238
ffffa881`2c996278 ffff9684`bfef0001
ffffa881`2c996280 00000000`00000000
ffffa881`2c996288 00000000`00000000
ffffa881`2c996290 00000000`00000000
ffffa881`2c996298 00000000`00000000
ffffa881`2c9962a0 ffff9684`c05f0011
ffffa881`2c9962a8 fffff80e`3b663da0 FLTMGR!FltpPerformPostCallbacks+0x330
[COLOR="#008000"]Der Filtermanager wird vorbereitet.[/COLOR]
ffffa881`2c9962b0 ffff9684`c05fc7c8
Bereits bei der Auswertung des Stack kann man zu dem Schluss kommen, dass der Filtermanager mit falschen Werten gefüttert wurde und es dadurch zum PageFault gekommen ist.
Die Auswertung des Speichers des aktiven Thread läßt nun auch keinen Zweifel mehr offen, dass AVAST der Auslöser ist.
Um den RAM sicher aus zu schließen, sollte natürlich der Memtest86+ ordentlich zu Ende gebracht werden.
Hier noch ein paar Systemabfragen, soweit die Dumpfile diese preis gibt.
[SMBIOS Data Tables v2.8]
[DMI Version - 0]
[2.0 Calling Convention - No]
[Table Size - 1679 bytes]
[BIOS Information (Type 0) - Length 24 - Handle 0000h]
Vendor American Megatrends Inc.
BIOS Version P1.90
BIOS Starting Address Segment f000
BIOS Release Date 05/20/2016
BIOS ROM Size e00000
[BaseBoard Information (Type 2) - Length 15 - Handle 0002h]
Manufacturer ASRock
Product Z170A-X1
Version
Serial Number M80-67019900412
Asset Tag
Feature Flags 09h
[Processor Information (Type 4) - Length 48 - Handle 000fh]
Socket Designation CPUSocket
Processor Type Central Processor
Processor Family cdh - Specification Reserved
Processor Manufacturer Intel(R) Corporation
Processor ID e3060500fffbebbf
Processor Version Intel(R) Core(TM) i5-6600K CPU @ 3.50GHz
Processor Voltage 8ah - 1.0V
External Clock 100MHz
Max Speed 5000MHz
Current Speed 3500MHz
Status Enabled Populated
Processor Upgrade Other
L1 Cache Handle 000ch
L2 Cache Handle 000dh
L3 Cache Handle 000eh
[Memory Device (Type 17) - Length 40 - Handle 0011h]
Physical Memory Array Handle 0010h
Memory Error Info Handle [Not Provided]
Total Width 0 bits
Data Width 0 bits
Size [Not Populated]
Form Factor 09h - DIMM
Device Set [None]
Device Locator ChannelA-DIMM0
Bank Locator BANK 0
Memory Type 02h - Unknown
Type Detail 0000h -
Speed 0MHz
Manufacturer [String Not Specified]
Serial Number [String Not Specified]
Asset Tag Number [String Not Specified]
Part Number [String Not Specified]
[Memory Device (Type 17) - Length 40 - Handle 0012h]
Physical Memory Array Handle 0010h
Memory Error Info Handle [Not Provided]
Total Width 64 bits
Data Width 64 bits
Size 8192MB
Form Factor 09h - DIMM
Device Set [None]
Device Locator ChannelA-DIMM1
Bank Locator BANK 1
Memory Type 1ah - Specification Reserved
Type Detail 0080h - Synchronous
Speed 2400MHz
Manufacturer 1315
Serial Number
Asset Tag Number
Part Number BLS8G4D240FSC.16FARG
[Memory Device (Type 17) - Length 40 - Handle 0013h]
Physical Memory Array Handle 0010h
Memory Error Info Handle [Not Provided]
Total Width 0 bits
Data Width 0 bits
Size [Not Populated]
Form Factor 09h - DIMM
Device Set [None]
Device Locator ChannelB-DIMM0
Bank Locator BANK 2
Memory Type 02h - Unknown
Type Detail 0000h -
Speed 0MHz
Manufacturer [String Not Specified]
Serial Number [String Not Specified]
Asset Tag Number [String Not Specified]
Part Number [String Not Specified]
[Memory Device (Type 17) - Length 40 - Handle 0014h]
Physical Memory Array Handle 0010h
Memory Error Info Handle [Not Provided]
Total Width 64 bits
Data Width 64 bits
Size 8192MB
Form Factor 09h - DIMM
Device Set [None]
Device Locator ChannelB-DIMM1
Bank Locator BANK 3
Memory Type 1ah - Specification Reserved
Type Detail 0080h - Synchronous
Speed 2400MHz
Manufacturer 1315
Serial Number
Asset Tag Number
Part Number BLS8G4D240FSC.16FARG
Kurze Zusammenfassung der Sysinfos:
-> keine Übertaktung, BIOS relativ neu, ob es das letzte ist, habe ich nicht überprüft
-> zwei RAM-Module in Bank 1 und Bank 3 verbaut. Wie es aussieht gleiche Taktung, gleiche Module. Wahrscheinlich 2er-Kit.
Oha, danke für die Hilfe! Das ist echt krass wie viel Mühe du da reinsteckst obwohl du mich nichtmal kennst :x Vielen vielen Dank!
Soll ich Avast neuinstallieren? Eig braucht man das ja nicht, aber da ich mir gerne Sachen Downloade wie Mods oder so komme ich immer mal wieder auf Viruse, deshalb brauche ichs :x
@Jurii
Ich empfehle, AVAST nicht wieder zu installieren. Es ist nunmal so, dass viele Drittanbieter-Sicherheitssoftware Probleme in Windows 10 bereiten.
Du hast bedenken, wegen deiner "unsicheren" Downloads. Fakt ist, wenn du dir mit dem Defender beim Download etwas einfängst, liegt es an dir. Und dann fängst du dir garantiert auch etwas mit AVAST, AVIRA, GDATA oder wie sie alle heißen, ein.
Also für Virenbefall ist nicht in erster Linie das Sicherheitsprogramm verantwortlich, sondern die Sorglosigkeit der User.
Hi, der RAM ist sauber, ich habe ihn 8 Stunden laufen gelassen und erst am Ende bemerkt als ich aufgeregt war dass der MemTest schon 5 Durchgänge gemacht hat xD Also der RAM ist sauber. Avast ist nicht mehr aufm PC. Trotzdem habe ich gerade wieder einen Bluescreen bekommen. Ich verzweifle ._. System Thread Not Handled
Hallo @Jurii!
Ich habe nun mehrere Stunden (nicht ununterbrochen ) im Netz nach deinem Problem gesucht, weil ich selbst keine Idee habe.
Leider scheint der Fehler so neu zu sein (typisch Windows 10 ), dass es dafür noch keine Lösungsansätze gibt.
Ich bringe trotzdem die Auszüge aus dem Debuggerlauf, versehen mit meinen Kommentaren. Allerdings bin ich mir nicht sicher, ob ich damit auch richtig liege.
Es gibt aber noch einige andere hier im Forum, die eventuell mit meinen Vorbereitungen etwas anfangen können und eine Lösung sehen. 012917-4203-01.dmp
Code:
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
Arguments:
[COLOR="#FF0000"]Arg1: ffffffffc0000005[/COLOR], The exception code that was not handled
Arg2: fffff801e980cc0c, The address that the exception occurred at
Arg3: ffffac8183db62e8, Exception Record Address
Arg4: ffffac8183db5b10, Context Record Address
[COLOR="#008000"]Arg1 weist eine Zugriffsverletzung aus. Arg 3 und 4 werden weiter unten ausgewertet.[/COLOR]
.....
[COLOR="#FF0000"]EXCEPTION_CODE: (NTSTATUS) 0xc0000005[/COLOR] - Die Anweisung in 0x%p verwies auf Arbeitsspeicher bei 0x%p. Der Vorgang %s konnte im Arbeitsspeicher nicht durchgef hrt werden.
FAULTING_IP: nt!MiDemoteCombinedPte+40 fffff801`e980cc0c 4939442420 cmp qword ptr [r12+20h],rax
EXCEPTION_RECORD: ffffac8183db62e8 -- (.exr 0xffffac8183db62e8)
[COLOR="#FF0000"]ExceptionAddress: fffff801e980cc0c (nt!MiDemoteCombinedPte+0x0000000000000040)[/COLOR]
[COLOR="#008000"]Die Funktion, die auf dem Stack den Zugriffsfehler verursacht hat. Parameter[0] und Parameter[1]
haben unsinnige Werte.[/COLOR]
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
[COLOR="#FF0000"] Parameter[0]: 0000000000000000
Parameter[1]: ffffffffffffffff[/COLOR]
Attempt to read from address ffffffffffffffff
CONTEXT: ffffac8183db5b10 -- (.cxr 0xffffac8183db5b10)
rax=0000000000000001 rbx=97c000139a392963 rcx=fffff801e993a090
rdx=ffff86eac3406818 rsi=ffffd0abad799de0 rdi=ffff86eac3406818
rip=fffff801e980cc0c rsp=ffffac8183db6520 rbp=fffff1803aceab60
r8=8000000000000000 r9=0000007ffffffff8 r10=0000000fffffffff
r11=0000ffffffffffff r12=7fffffffffffffd0 r13=fffff801e993a090
r14=fffff801e993a090 r15=ffff86eac3406818
iopl=0 nv up ei ng nz na pe nc
cs=0010 ss=0000 ds=002b es=002b fs=0053 gs=002b efl=00010282
nt!MiDemoteCombinedPte+0x40: fffff801`e980cc0c 4939442420 cmp qword ptr [r12+20h],rax ds:002b:7fffffff`fffffff0=????????????????
[COLOR="#008000"]Im Context-Record wird noch einmal klar, dass die Datenübergabe keinen
sinnvollen Wert enthält[/COLOR]
....
STACK_TEXT:
[COLOR="#FF0000"]ffffac81`83db6520 fffff801`e978dee2 : fffff180`06db2df0 00000000`00000001 ffffd0ab`ad799dd8 97c00013`9a392963 : nt!MiDemoteCombinedPte+0x40[/COLOR]
ffffac81`83db6600 fffff801`e9705f36 : 00000000`00000000 00000000`00000012 00000000`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x1d352
[COLOR="#FF0000"]ffffac81`83db6740 fffff801`e97054ce : ffffac81`00000000 ffffac81`83db6a00 00000000`00000000 00000000`00000000 : nt!MiTrimOrAgeWorkingSet+0x5f6[/COLOR]
[COLOR="#008000"]Diese Trim-Funktion ruft die Funktion auf, die letztlich den Zugriffsfehler
verursacht.[/COLOR]
ffffac81`83db6810 fffff801`e966728b : fffff801`e993b480 00000000`00000003 fffff801`e993b480 00000000`00000000 : nt!MiProcessWorkingSets+0x1ee
ffffac81`83db69e0 fffff801`e9742539 : 00000000`00000002 00000000`00000008 00000000`ffffffff 00000000`00000001 : nt!MiWorkingSetManager+0xa7
ffffac81`83db6aa0 fffff801`e9619729 : ffff970c`d9d11040 00000000`00000080 fffff801`e97422ec 00000000`00000000 : nt!KeBalanceSetManager+0x24d
ffffac81`83db6b90 fffff801`e9766bb6 : ffffac81`83bf0180 ffff970c`d9d11040 fffff801`e96196e8 00000000`00000000 : nt!PspSystemThreadStartup+0x41
ffffac81`83db6be0 00000000`00000000 : ffffac81`83db7000 ffffac81`83db0000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
[COLOR="#008000"]Die folgende CHKIMG-Funktion kann ich nur insoweit kommentieren, dass 15 Image-Fehler in einem
Stackaufruf ungewöhnlich sind.[/COLOR]
CHKIMG_EXTENSION: !chkimg -lo 50 -d !nt
fffff801e966750f - nt!MiEmptyDecayClusterTimers+bf
[ fa:f1 ]
fffff801e972504e - nt!MiPurgeZeroList+6e (+0xbdb3f)
[ fa:f1 ]
fffff801e980c248 - nt!MiConvertPrivateToProto+4e4 (+0xe71fa)
[ fa:f1 ]
fffff801e980c401 - nt!MiConvertPrivateToProto+69d (+0x1b9)
[ fa:f1 ]
fffff801e980c540 - nt!MiConvertStandbyToProto+58 (+0x13f)
[ f6:86 ]
fffff801e980c572 - nt!MiConvertStandbyToProto+8a (+0x32)
[ fa:f1 ]
fffff801e980c5c0 - nt!MiConvertStandbyToProto+d8 (+0x4e)
[ f6:86 ]
fffff801e980c6c4 - nt!MiConvertStandbyToProto+1dc (+0x104)
[ fa:f1 ]
fffff801e980c84e - nt!MiConvertStandbyToProto+366 (+0x18a)
[ fa:f1 ]
fffff801e980c959 - nt!MiCrcStillIntact+51 (+0x10b)
[ f6:86 ]
fffff801e980c99f - nt!MiCrcStillIntact+97 (+0x46)
[ fa:f1 ]
fffff801e980cc39 - nt!MiDemoteCombinedPte+6d (+0x29a)
[ fa:f1 ]
fffff801e980cc4d - nt!MiDemoteCombinedPte+81 (+0x14)
[ f6:86 ]
fffff801e980ce73 - nt!MiDemoteCombinedPte+2a7 (+0x226)
[ fa:f1 ]
fffff801e980cfc9 - nt!MiFillCombinePage+21 (+0x156)
[ fa:f1 ]
15 errors : !nt (fffff801e966750f-fffff801e980cfc9)
....
[COLOR="#FF0000"]FAILURE_BUCKET_ID: MEMORY_CORRUPTION_LARGE
BUCKET_ID: MEMORY_CORRUPTION_LARGE
PRIMARY_PROBLEM_CLASS: MEMORY_CORRUPTION_LARGE[/COLOR]
[COLOR="#008000"]Die Memory_Corruptionen müssen nicht zwangsläufig defekter Speicher sein.
Ein corrupter Memory kann auch durch falsche Aufrufparameter eintreten[/COLOR]
....
FAILURE_ID_HASH_STRING: km:memory_corruption_large
....
[COLOR="#008000"]Nur der Vollständigkeit halber habe ich den aktuellen Thread noch mal aufgerufen. Er gehört
zum Prozess des Systems und der zugehörige Stack ist der gleiche, wie der weiter oben gezeigte.[/COLOR]
0: kd> !thread
THREAD ffff970cd9d11040 Cid 0004.0040 Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 0
Not impersonating
GetUlongFromAddress: unable to read from fffff801e990d924
Owning Process ffff970cd9cc6040 Image: System
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 1428489
Context Switch Count 22327 IdealProcessor: 2
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address nt!KeBalanceSetManager (0xfffff801e97422ec)
Stack Init ffffac8183db6c10 Current ffffac8183db66f0
Base ffffac8183db7000 Limit ffffac8183db0000 Call 0000000000000000
Priority 17 BasePriority 8 PriorityDecrement 0 IoPriority 2 PagePriority 5
Child-SP RetAddr : Args to Child : Call Site
ffffac81`83db6520 fffff801`e978dee2 : fffff180`06db2df0 00000000`00000001 ffffd0ab`ad799dd8 97c00013`9a392963 : nt!MiDemoteCombinedPte+0x40
ffffac81`83db6600 fffff801`e9705f36 : 00000000`00000000 00000000`00000012 00000000`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x1d352
ffffac81`83db6740 fffff801`e97054ce : ffffac81`00000000 ffffac81`83db6a00 00000000`00000000 00000000`00000000 : nt!MiTrimOrAgeWorkingSet+0x5f6
ffffac81`83db6810 fffff801`e966728b : fffff801`e993b480 00000000`00000003 fffff801`e993b480 00000000`00000000 : nt!MiProcessWorkingSets+0x1ee
ffffac81`83db69e0 fffff801`e9742539 : 00000000`00000002 00000000`00000008 00000000`ffffffff 00000000`00000001 : nt!MiWorkingSetManager+0xa7
ffffac81`83db6aa0 fffff801`e9619729 : ffff970c`d9d11040 00000000`00000080 fffff801`e97422ec 00000000`00000000 : nt!KeBalanceSetManager+0x24d
ffffac81`83db6b90 fffff801`e9766bb6 : ffffac81`83bf0180 ffff970c`d9d11040 fffff801`e96196e8 00000000`00000000 : nt!PspSystemThreadStartup+0x41
ffffac81`83db6be0 00000000`00000000 : ffffac81`83db7000 ffffac81`83db0000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x16
[COLOR="#008000"]Und hier war ich mit meinem Latein am Ende.[/COLOR]
Wie aus meinen Kommentaren zum Debugger-Lauf zu ersehen ist, bin ich etwas ideenlos.
Die auslösende Funktion ist nt!MiDemoteCombinedPte+0x40 : es sollen kombinierte PTE-Einträge degradiert (erniedrigt) werden. PTE ist PageTableEntrie, also eine Liste über Speicherseiten-Einträge. Die kann sich auf den RAM oder auch auf die Auslagerungsdatei beziehen.
Was mich etwas verwirrt ist diese Funktion nt!MiTrimOrAgeWorkingSet+0x5f6. Der Trim-Befehl gehört, soweit ich weiß, zur Verwaltung von SSDs.
Das würde bedeuten, dass die SSD nicht sauber mit dem System zusammen arbeitet. Ich habe schon von solchen Unverträglichkeiten gelesen. Mir ist aber selbst noch keine unter gekommen. Bei dem, was ich dazu gelesen habe, hat dann manchmal ein Firmware-Update des SSD-Herstellers geholfen.
Aber wie ich schon schrieb, tappe ich hier im Dunklen. Und ich bitte auch, meine Kommentare nicht als "bare Münze" hin zu nehmen. Vielleicht hat einer von unseren Profis eine Idee.
Es tut mir leid.
Hi @Ari45
Bekomme nun seit Tagen bluescreens, so alle paar stunden wenn ich den PC anschalten möchte. nach dem Bluescreen läuft alles wieder normal. Hier mal direkt mein ganzer Minidump Ordner. Die neusten Dumps sind in 11111.zip
Eventuell steht nun dort irgendeine Fehlerquelle, es ist einfach echt nervig das ganze . :/ Auf Linux hatte ich nie solche Probleme, nur ich brauch halt Windows wegen den ganzen Anwendungen die es leider nicht für Linux gibt. :/ (VMs laufen nicht soooo gut)
Guten Morgen Jurii!
Ich habe mir jetzt noch mal alle Dumpfiles mit der Schnellanalyse (DART) angeschaut, die du diese Nacht gepostet hast.
Im Prinzip reduziert sich die Sache auf drei Bluescreens:
PAGE_FAULT_IN_NONPAGED_AREA
MEMORY-CORRUPTION
SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M
Wobei die letzte Bluescreenart den weitaus größten Teil ausmachen.
Ich habe mir auch den ganzen Thread noch mal durchgelesen und bin auf eine Regelmäßigkeit gestoßen, die mir gelegentlich schon anderweitig begegnet ist:
Zitat aus #1
Das Problem trat beim hoch fahren auf, der PC ging danach aus. Danach lief wieder alles normal
Also meist treten Bluescreens beim Einschalten auf. Nach dem Bluescreen läuft alles wieder normal. Diese Phänomen tritt auf, wenn aus irgend einem Grund aus der Hiberfil.sys beim Start falsche Werte ausgelesen werden.
Das war sehr oft der Fall, wenn ein Dual-Bootsystem oder Multi-Bootsystem eingerichtet war. Nach dem Bluescreen wird nämlich nicht aus dem Ruhemodus, also aus der Hiberfile.sys, gestartet, sondern ein "Kaltstart" durchgeführt und dann läuft's.
In der Vergangenheit hat da meist nur noch geholfen, den Ruhemodus aus zu schalten.
Öffne eine Eingabeaufforderung (Administrator) und gib ein powercfg /h off
Nach einem Neustart sollte im Stammverzeichnis C:\ die Datei Hiberfil.sys nicht mehr zu finden sein.
Hallo @Jurii!
Dieser Bluescreen ist nun wieder etwas ganz anderes. 022317-4203-01.dmp
Code:
MEMORY_MANAGEMENT (1a)
# Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000041793, The subtype of the bugcheck.
[COLOR="#008000"]Arg1 sollte normalerweise hinweise auf den Grund des Memory-Fehlers geben. Dazu gibt es
auf der MSDN-Seite eine Tabelle. Der Wert 41793 ist in der Tabelle nicht enthalten, deshalb ist der Fehler als
unbekannt benannt. [/COLOR]
Arg2: ffffa4011e5e33e8
Arg3: 000000000000007e
Arg4: 000000000000007d
...
DEFAULT_BUCKET_ID: CODE_CORRUPTION
[COLOR="#FF0000"]PROCESS_NAME: chrome.exe[/COLOR]
[COLOR="#008000"]Das ist der aktive Prozess[/COLOR]
....
STACK_TEXT:
ffffe101`1637d5d8 fffff801`a101ca01 : 00000000`0000001a 00000000`00041793 ffffa401`1e5e33e8 00000000`0000007e : nt!KeBugCheckEx
ffffe101`1637d5e0 fffff801`a0f1f653 : ffffbf88`00000000 ffffbf88`e1416ee0 00000000`00000000 ffffbf88`e1d28800 : nt! ?? ::FNODOBFM::`string'+0x3de71
[COLOR="#FF0000"]ffffe101`1637d7f0 fffff801`a0e95739 : 0000023c`bc67ffff 0000023c`bc67ffff 0000023c`bc600000 ffffbf88`e153f950 : nt!MiDeleteVad+0x7f3
ffffe101`1637d920 fffff801`a129566d : 00000000`00000000 0000023c`bc600000 00000000`00000000 00000000`00000000 : nt!MiFreeVadRange+0x4d[/COLOR]
[COLOR="#008000"]Durch den Free- und Delete-Befehl kommt es zum Bugcheck und in der Folge zum Bluescreen.[/COLOR]
[COLOR="#FF0000"]ffffe101`1637d960 fffff801`a0fda393 : ffffbf88`e1d28800 ffffbf88`00000000 00000035`00000000 ffffbf88`00000000 : nt!NtFreeVirtualMemory+0x2dd[/COLOR]
[COLOR="#008000"]Hier soll auf den virtuellen Memory zugegriffen werden.[/COLOR]
ffffe101`1637da80 00007ffb`74556494 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000035`eeaff4a8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`74556494
....
FAILURE_BUCKET_ID: MEMORY_CORRUPTION_ONE_BYTE
BUCKET_ID: MEMORY_CORRUPTION_ONE_BYTE
.....
[COLOR="#008000"]Den aktiven Thread abfragen[/COLOR]
2: kd> !thread
THREAD ffffbf88e1d28800 Cid 1ec0.1bf0 Teb: 00000035edf9a000 Win32Thread: 0000000000000000 RUNNING on processor 2
Not impersonating
GetUlongFromAddress: unable to read from fffff801a117b924
[COLOR="#FF0000"]Owning Process ffffbf88e17f0080 Image: chrome.exe[/COLOR]
[COLOR="#008000"]Der aktive Thread gehört zu Chrome.exe[/COLOR]
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 71486
Context Switch Count 3973 IdealProcessor: 0
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ffb744e2dc0
Stack Init ffffe1011637dc10 Current ffffe1011637d2d0
Base ffffe1011637e000 Limit ffffe10116377000 Call 0
Priority 8 BasePriority 8 UnusualBoost 0 ForegroundBoost 0 IoPriority 2
Wie die Dumpfile zeigt, hat Chrome.exe beim Zugriff auf den virtuellen Memory einen Fehler verursacht. Der virtuelle Memory ist die Auslagerungsdatei.
Daraus ergeben sich folgenden Konsequenzen:
1. den Memtest können wir ausklammern, den hast du in #7 schon gemacht
2. nun solltest du noch mal das Dateisystem überprüfen, da bei einem fehlerhaften Dateisystem auch die Auslagerungsdatei mit betroffen ist.
-> öffne eine Eingabeaufforderung (Administrator) und gib ein chkdsk C: /f /r, Wenn C: auf einer SSD ist, ist der Parameter /r weg zu lassen.
Die Überprüfung erfolgt beim nächsten Neustart, also Computer neu starten. Der Vorgang kann durchaus eine Stunde dauern. Wenn die Überprüfung zu Ende und der Computer neu gebootet ist, findet man die Auswertung in der Ereignisanzeige (Quelle Wininit).
3. Wenn chkdsk keine Fehler gefunden hat, sollte Chrome unter die Lupe genommen werden. Neuinstallieren oder ganz neu herunter laden.
Ich habe da mal reingesehen und die Fehlermeldung "Code Corruption" kam vom Prozeß "werfault.exe"
Das ist ein Systemdienst und der dient dazu Fehlermeldungen des Systems zur Analyse an Microsoft zu übermitteln (Windows Fehlerberichterstattungsdienst). Das übliche (memory corruption large) erspare ich mir mal. Wenn deine Hardware schon getestet ist - Memtest u. Checkdisk - kannst du diesen Dienst auch erstmal deaktivieren. Laß aber vorher erstmal sfc scannow in der Konsole durchlaufen. Wenn nur die obige Datei einen Fehler hat wird das damit repariert. Wenn nicht kannst du deaktivieren.
Was ich nicht verstehe ist deine Hardware zusammen mit deinem Bios. Der Debugger zeigt mir ein Asrock Z170A-X1 und dazu ein Bios P1.90. Davon steht gar nichts auf der Produktseite von Asrock. Dieses Bios ist entweder ein altes Beta !! oder du hast das sonstwoher geladen aber nicht von Asrock. Das letzte mit 1.xx ist ein 1.70 vom 15.03.2016. Das ist aber nicht das aktuelle Bios sondern dieses ist Version 7.10 vom 15.11.2016. Guckst du da auchmal ab und zu vorbei? Genügend Gründe dafür hast du ja wohl offensichtlich.
Das der Fehler gerade von dem obigen Prozeß ausgelöst worden sein soll zeigt aber, das du irgendein "antischnüffel"-Tool auf deinem PC ausführst oder ausgeführt hast und deshalb einige Fehler in Systemdateien stehen oder zurückgeblieben sind.
Ich empfehle dir DRINGEND , hol dir das neueste Bios. Ansonsten tust du dir keinen Gefallen.
Wenn du weiterhin hier Hilfe erwarten willst dann schreib erstmal deine Hardware in dein PROFIL !!!! - nicht in einen Post!!! damit man erstmal sieht womit man es eigentlich zu tun hat.
So weiterzumachen wie bisher ist nicht wirklich produktiv.
Man sollte schon wissen, welches Z170 man verbaut hast - und deines ist nicht "/3.1", sondern ohne: ASRock > Z170A-X1
Wie bereits erwähnt wurde, gab es nie ein 1.90 offiziell für dein Motherboard, woher du es auch immer hattest.
Und Driver Booster holt dir den anderen Schrott ins System. Immer per Hand beim Hersteller suchen!
Oki, wird gleich aktualisiert. Wie kann ich Rückgängig machen was Driver Booster alles getan hat, und wie kann ich manuell alle Driver updaten? Weil bei 9999999 Treibern dauert es doch Jahre
Rückgängig machen in dem Sinn kannst du dies nicht. Du kannst nur einzeln den passenden Treiber zum passenden Bauteil suchen, zum Beispiel Grafikkarte. Ich würde auch nicht ständig neu Treiber installieren. Wenn ein System flüssig und ohne Fehler läuft würde ich keinen einzigen Treiber neu installieren. Für einen Treiber Wechsel sollte in vernünftiger Grund vorliegen. Einen Treiber holt man sich am Sinnvollsten beim jeweiligen Hersteller des Bauteils für den man den Treiber installieren will.