Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Immer wieder Bluescreens

H

Hansel1

Herzlich willkommen
Hallo,

ich habe ein Problem, bei dem ich leider nicht die Ursache finden kann.

Und zwar kommt es immer wieder zu Bluescreen, mit verschiedenen Fehlermeldungen.

Wenn der Rechner gestartet wird, kommt es immer wiedermal vor, dass es beim Starten von Windows zu einem Kernel_Security_Check_Failure kommt, wenn man dann neustartet, verläuft der Start immer Fehler frei.

Im Betrieb ist dann immer wieder mal ein IRQL_NOT_LESS_OR_EQUAL zu erleben. Vorallem bei der Nutzung von Amazon-Videos.

Es kam aber auch schonmal eine SYSTEM_SERVICE_EXCEPTION vor.

Es handelt sich um folgendes System_
CPU: Intel i5-6600
GPU: Sapphire R9 380 Nitro
Mainboard: MSI Z170A PC MATE
Soundkarte: Creative Soundblaster Z
Netzteil: bequiet! Straight Power 10 600W
RAM: G.Skill Ripjaws DDR4 2400

Was habe ich probiert:
- Memtest86
- chkdsk
- sfc /scannow
- mit anderer Grafikkarte getestet

Ich hänge auch gleich mal die letzten zwei Minidumps mit an, wobei da evtl kein IRQL Fehler bei ist, da ich ihn natürlich jetzt gerade nicht reproduzieren konnte...
Ich werde dann bei nächsten auftreten den Dump dann einfach 'nachreichen'.

Schonmal vielen Dank im Voraus für die Hilfe.
 

Anhänge

  • Minidumps.zip
    171,9 KB · Aufrufe: 110
Zuletzt bearbeitet:
Anzeige
Abends

Dein BIOS (27-7-2016) ist nicht auf dem letzten Stand (AD)
https://de.msi.com/Motherboard/support/Z170A-PC-MATE.html

Im Betrieb ist dann immer wieder mal ein IRQL_NOT_LESS_OR_EQUAL zu erleben. Vorallem bei der Nutzung von Amazon-Videos.
Zum Vergrößern anklicken....
Ist nur einer in den Dumps dabei, bitte beifügen!

Sind alle Treiber auf dem neuesten Stand, besonders die Intel-Treiber?
Ist Kaspersky auf dem neuesten Stand? Neigt zu Fehlern unter Windows 10, wenn nicht v2017.
Ist der Rechner übertaktet? Oder per Software ge'boost'ed?

In den vorliegendem Dumps wird erwähnt:
- SearchUI.exe
- PRIMARY_PROBLEM_CLASS: AV_nt!KiRetireDpcList
-> dürfte sehr wahrscheinlich auf Kaspersky zurückzuführen sein.

- LogonUI.exe
- LIST_ENTRY_CORRUPT
Das System hat in dieser Anwendung den Überlauf eines stapelbasierten Puffers ermittelt. Dieser Überlauf könnte einem bösartigen Benutzer ermöglichen, die Steuerung der Anwendung zu übernehmen.
Zum Vergrößern anklicken....

Wahrscheinlich hat Aribert mehr auf Lager, ich fange grad erst an zu Debuggen ;)

MfG
 
Dein BIOS (27-7-2016) ist nicht auf dem letzten Stand (AD)
Zum Vergrößern anklicken....

Danke, ich hatte es nach auftreten der Probleme geupdated (oben vergessen zu erwähnen), aber es scheint der Live Updater, ist da nicht ganz up-to-date wenn es um das neuste BIOS geht. :)
Ich werde morgen dann mal die neuste Version rauf machen.

Sind alle Treiber auf dem neuesten Stand, besonders die Intel-Treiber?
Ist Kaspersky auf dem neuesten Stand? Neigt zu Fehlern unter Windows 10, wenn nicht v2017.
Zum Vergrößern anklicken....

Kaspersky ist die Version 2017. Und den Chipsatztreiber habe ich eben nochmal geupdated, da auch dort auf der Internetseite eine aktuellere Version war, als einem durch den Live-Updater von MSI angeboten wird.

Ist der Rechner übertaktet? Oder per Software ge'boost'ed?
Zum Vergrößern anklicken....
Nein.

Wegen dem IRQL Dump: Heute lief das Gerät, abgesehen vom ersten Startversuch, ohne Probleme. Daher kann ich keinen als bestimmt IRQL anbieten. Und einfach alle Minidumps wollte ich nicht hochladen, ich dachte, das wäre zuviel des Guten. Falls aber Bedarf besteht, könnte ich noch ein paar mehr hochladen.
 
Ich bitte darum. Und die Nummer des IRQL ist egal, das ist ist immer 0xA, aber der Treiber dahinter variiert. Wie gesagt, bei dir tippe ich auf Kaspersky.
 
Schau mal Bitte nach ob du von Kaspersky das neuste Build drauf hast, ist die v17.0.0.611, denn das sollte keine Probs mit Win 10 Verursachen!
 
Zur Sicherheit einfach Kaspersky mit dem Hersteller Tool deinstallieren, eine Windows System Reparatur durch führen und testen ob die Fehler immer noch auftreten. Falls nicht ist der Verursacher klar, falls doch muss weiter gesucht werden.

N.S.: war das Windows eine Clean Installation oder ein Upgrade? Wenn Upgrade von wo aus, von W7 oder W8 oder W7 auf W8 auf W10?
 
Guten Morgen!
Bei dem Bluescreen Kernel_Security_Check_Failure ist dein sogenannter Double Remove Fehler aufgetreten. Es wurde versucht, den gleichen Listeneintrag zwei mal zu entfernen. Dadurch kam es zum Pufferüberlauf und zum Bluescreen.
Auslöser war LogonUI.exe, die den Grafiktreiber dxgkrnl.sys mit falschen Werten versorgt hat.
Da das Gerät zu diesem Zeitpunkt bereits über 1 Stunde lief (System Uptime: 0 days 1:01:19.495), ist der Absturz wahrscheinlich bei der Rückkehr aus dem Ruhemodus eingetreten.
Bitte zum Ausschluss mal den Ruhemodus deaktivieren:
-> öffne eine Eingabeaufforderung (Administrator) und gib ein powercfg /H off

Die zweite Dumpfile habe ich mir noch nicht ausgiebig angesehen, aber beim Betrachten mit der Schnellanalyse (DART) habe ich gesehen, dass SearchUI.exe den Fehler ausgelöst hat.
3: kd> !thread
THREAD ffffbc8a9e1a2800 Cid 1f94.1510 Teb: 000000409ae40000 Win32Thread: ffffbc8a9927b260 RUNNING on processor 3
IRP List:
Unable to read nt!_IRP @ ffffbc8a9a1bab40
Not impersonating
GetUlongFromAddress: unable to read from fffff8014b184924
Owning Process ffffbc8a98d85080 Image: SearchUI.exe
Attached Process N/A Image: N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount 4932261
Context Switch Count 91 IdealProcessor: 1
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime 00:00:00.000
KernelTime 00:00:00.000
Win32 Start Address 0x00007ff6f574cef0
Stack Init ffffab01757d1fd0 Current ffffab01724ea690
Base ffffab01757d2000 Limit ffffab01757cb000 Call 0
Priority 11 BasePriority 8 UnusualBoost 0 ForegroundBoost 2 IoPriority 2
Im Spoiler ist der letzte aktive Thread und der gehört SearchUI.exe.
Diese Datei arbeitet sowohl mit Windows Search als auch mit Antvirenprogrammen zusammen. Deshalb unterstütze ich die Meinung von @Jogihck: bitte Kaspersky zum Ausschluss mal komplett deinstallieren.
 
Bitte zum Ausschluss mal den Ruhemodus deaktivieren:
-> öffne eine Eingabeaufforderung (Administrator) und gib ein powercfg /H off
Zum Vergrößern anklicken....

Habe ich getan.

war das Windows eine Clean Installation oder ein Upgrade?
Zum Vergrößern anklicken....
War eine Neuinstallation.

Zur Sicherheit einfach Kaspersky mit dem Hersteller Tool deinstallieren, eine Windows System Reparatur durch führen und testen ob die Fehler immer noch auftreten
Zum Vergrößern anklicken....
Alles klar, werde ich mal ausprobieren.

Und ich kann "glücklich" sagen dass ich jetzt nen IRQL Fehler hatte und den Dump anhängen kann. Hatte auch nen DRIVER_IRQL_NOT_LESS_OR_EQUAL, den hänge ich sicherheitshalber mal mit an.
 

Anhänge

  • Mindumps2.zip
    161,1 KB · Aufrufe: 88
Hallo Hansel!
Ich habe mir jetzt mal die Dumpfile 022617-4187-01.dmp vorgenommen.
Probably caused by : arusb_win7x. ( arusb_win7x.+1de70 )
FAULTING_IP: arusb_win7x.+1de70 fffff80f`998bde70 ?? ???
Das zeigt der Debugger u.a. an.
Die Datei arusb_win7x.sys ist
Programm: Driver for Atheros OTUS Network Adapter
Entwickler: Atheros Communications, Inc.
Beschreibung: Atheros Extensible Wireless LAN device driver
Version: 3.5.0.1
C:\Windows\System32\DRIVERS
Betriebssystem: Windows 7
Zum Vergrößern anklicken....
Die Datei ist also ein Überbleibsel aus Windows 7 und sollte erneuert werden. Wenn es keinen Windows 10 Treiber dafür gibt, ist eventuell die WLAN-Karte oder -Stick nicht mit Windows 10 kompatibel.

Bei der Dumpfile 022517-5187-01.dmp aus #1 komme ich an die Grenzen meines Wissens.
Hier mal nur auszugsweise den aktiven Thread
Code: 
KERNEL_SECURITY_CHECK_FAILURE (139)
A kernel component has corrupted a critical data structure.  The corruption
could potentially allow a malicious user to gain control of this machine.
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffff9e81ad257560, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffff9e81ad2574b8, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
....
1: kd> !thread
THREAD ffffb504823df800  Cid 16dc.21bc  Teb: 0000000d51285000 Win32Thread: ffffb504835080e0 WAIT: (UserRequest) KernelMode Non-Alertable
    ffffb5048502d330  NotificationEvent
Not impersonating
GetUlongFromAddress: unable to read from fffff803c670c924
Owning Process            ffffb50486728800       Image:         LogonUI.exe
Attached Process          N/A            Image:         N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount      235487         Ticks: 0
Context Switch Count      217            IdealProcessor: 2             
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address 0x00007ffff0413a00
Stack Init ffff9e81ad257c10 Current ffff9e81ad257530
Base ffff9e81ad258000 Limit ffff9e81ad251000 Call 0000000000000000
Priority 15 BasePriority 15 PriorityDecrement 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
ffff9e81`ad257570 00000000`0000000f : ffffb504`823df800 fffff803`c675c328 ffffb504`82c49800 fffff803`c659ad11 : nt!KiSwapContext+0x76
ffff9e81`ad2576b0 ffffb504`823df800 : fffff803`c675c328 ffffb504`82c49800 fffff803`c659ad11 00000000`00000010 : 0xf
ffff9e81`ad2576b8 fffff803`c675c328 : ffffb504`82c49800 fffff803`c659ad11 00000000`00000010 00000000`00000207 : 0xffffb504`823df800
[COLOR="#FF0000"]ffff9e81`ad2576c0 ffffb504`82c49800 : fffff803`c659ad11 00000000`00000010 00000000`00000207 ffff9e81`ad2576f0 : nt!KiInitialPCR+0x4328[/COLOR]
[COLOR="#008000"]Durch diese Stackzeile wurde der Bluescreen ausgelöst. Genau sieht man das nur, wenn man in den
Speicher des Thread schaut. Die 250 Codezeilen spare ich mir.[/COLOR]
ffff9e81`ad2576c8 fffff803`c659ad11 : 00000000`00000010 00000000`00000207 ffff9e81`ad2576f0 00000000`00000018 : 0xffffb504`82c49800
ffff9e81`ad2576d0 00000000`00000000 : 00000000`00000002 ffff9e81`a9063180 00000000`00000000 fffff803`c647baa5 : nt! ?? ::FNODOBFM::`string'+0x2b181
Den markierten Code hatte ich noch nie und auch das Google ist überfragt.
In der Dokumentation "Windows Internals Sixth Edition" (ab S. 169) kann man zu PCR lesen:
Zuerst die englische Variante:
A platform validation profile supported by TPMs consists of at least 16, and as many as 24, PCRs
that contain additional information and only reset after a TPM reset (implying a machine reboot).
Each PCR is associated with components that run when an operating system starts, as shown in

Und nun die Übersetzung:
Ein Plattform-Validierung-Profil unterstützt von TPMs besteht aus mindestens 16 und so viele wie 24, PCRs
das zusätzliche Informationen enthalten und nur zurückgesetzt, nachdem ein TPM zurücksetzen (was einen Rechner-Neustart).
Jeder PCR ist verbunden mit Komponenten, die ausgeführt werden, wenn ein Betriebssystem gestartet wird, wie in gezeigt
Table 9-2
Wenn man in dieser Dokumentation weiter forscht, kommt man auf:
PCR = Platform Configuration Registers
TPM = Trusted Platform Module
Wobei PCR von TPM aufgerufen wird.

Und beide Komponenten arbeiten nur auf Systemen, auf denen Bitlocker aktiv ist.
Aber da ich von Bitlocker keine Ahnung habe, muss ich hier das Handtuch werfen.
 
Die Datei ist also ein Überbleibsel aus Windows 7 und sollte erneuert werden. Wenn es keinen Windows 10 Treiber dafür gibt, ist eventuell die WLAN-Karte oder -Stick nicht mit Windows 10 kompatibel.
Zum Vergrößern anklicken....

Es handelt sich dabei um einen Windows 8 Beta-Treiber für einen WLan Stick von AVM. Das lief bisher immer ganz rund, aber ich werde mal gucken, ob man den ersetzen kann.

Und beide Komponenten arbeiten nur auf Systemen, auf denen Bitlocker aktiv ist.
Zum Vergrößern anklicken....

Es handelt sich bei dem Gerät um eine Home Edition, die sollte eigentlich kein Bitlocker haben sollte, oder bin ich da falsch informiert?

Kann man das irgendwie relativ einfach wieder deaktivieren? ODer würde das keinen Unterschied machen, weil schonmal aktiviert war (wie auch immer es dazu kam)?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben