Anzeige

Am Puls von Microsoft

Anzeige

Fehlermeldungen im Ereignissmanager

marekj

Herzlich willkommen
Hallo Leute,
ich bin weit davon entfernt ein Fachmann zu sein und habe manchmal das Gefühl auch Laie wäre zuviel Lob, aber ich habe einen Rechner mit dem ich mich begonnen habe etwas intensiver zu beschäftigen, da er auch mein Arbeitswerkzeug ist und zuverlässig funktionieren muss.

Nachdem ich Probleme hatte mit dem Energiesparmodus und dem Ruhezustand (Rechner hing sich im Prozess irgendwie auf) und es erstmal ignorierte, bekam ich irgendwann den ersten Bluescreen mit der Fehlerursache ASUSFILTER.sys. Da ich dazu nicht viel gefunden habe, außer einer Software (WinThruster), habe ich mich dieser bedient und das Problem tauchte nicht mehr auf. Einige Monate später bekam ich einen weiteren Bluescreen:
WHEA_UNCORRECTABLE_ERROR. Spätestens da war ich besorgt. Ich schaute in die Ereignisanzeige und es waren sehr viele Fehlermeldungen zu sehen, die mir nichts sagen... (s. Anhang)

Daher meine Frage: macht es Sinn Euch mit Lösungsfragen zu belästigen, oder ist es an diesem Punkt schon zwecklos, da eine Neuinstallation das beste wäre?

Vielen Dank!

p.s.: Der Rechner läuft ansonsten relativ "stabil". Also keine Abstürze, keine bemerkbaren Hardwareprobleme, bis zu dem Zeitpunkt wo ich den Rechner für paar Stunden nicht mehr bediene. Entweder er hat sich dann ausgeschaltet, oder einfach neugestartet, oder sich aufgehangen...

System:
Win10 64bit
i7 6700K (7% overclocked)
ASUS Ranger VIII Motherboard
16 GB RAM
2 SSDs
1 HDD
GTX 980 ASUS Strix
usw.
 

Anhänge

  • Ereignismonitor.JPG
    Ereignismonitor.JPG
    319,4 KB · Aufrufe: 198
Anzeige
Hallo marekj, willkommen bei Dr:Windows

Schalte als erstes mal den Schnellstart und den Ruhemodus aus und beobachte mal ob die Fehler wieder auftauchen. Die Ereignisanzeige würde ich erstmal links liegen lassen. Schau lieber in den Zuverlässigkeitsverlauf.
 
Vor allem nicht in die Administrativen Ereignisse schauen. Dort sammeln sich allerlei Fehlermeldungen, die für Laien schwer verständlich sind. Das meiste sind gar keine Fehler und wenn doch, dann haben die keine Auswirkungen. Die Kategorisierung in Kritisch, Fehler, Warnung, usw. ist eher eine Abstufung in wichtig, weniger wichtig, unwichtig usw.

Distributed COM, ID 10016 treten auf jedem Windows-System auf, das geht schon seit einigen Windowsversionen so und Microsoft macht keine Anstalten das zu beheben. AppModel-Runtime, ID 69 tritt auf Windows 10 immer bei Aktualisierungen von Apps auf.

IOC Agent gehört zu Intel-Treibern/-Hardware, genauer wohl zur Intel Management Engine. Dazu könnte man genauer nachforschen, allerdings macht das über die Ereignisanzeige wenig Sinn. Besser wäre es, Du lädst die Speicherabbilder aus C:\Windows\MINIDUMP gezippt hier hoch, damit sie jemand mit dem Debugger analysieren kann. Falls dort keine Speicherabbilder liegen, mußt Du erst unter Systemsteuerung/System/Erweiterte Systemeinstellungen/Tab Erweitert/Starten und Wiederherstellen Einstellungen... das kleine Speicherabbild einstellen und auf einen weiteren Bluescreen warten.
 
Hallo marekj und herzlich willkommen

Zusätzlich zu den Tipps von Manta1102 und build10240 (nach dem Hochladen des Speicherabbildes)

Gute Cleaner legen ein Backup vor jeder Aktivität an. Wenn dies auch bei dem Tool von Solvusoft der Fall ist, bitte alle Änderungen rückgängig machen und besser deinstallieren. Solche Anwendungen versprechen sehr viel, können aber auch viel Schaden anrichten.

i7 6700K (7% overclocked)
Bitte vorübergehend auf Standardwerte setzen und weiter beobachten.
 
....
....
Daher meine Frage: macht es Sinn Euch mit Lösungsfragen zu belästigen, oder ist es an diesem Punkt schon zwecklos, da eine Neuinstallation das beste wäre?
....
Wenn sich hier einer von Fragen belästigt fühlt, ist er hier fehl am Platz.
Meine persönliche Meinung: wer fragt und versucht, die Antworten um zu setzen, macht weniger Fehler und lernt noch etwas dazu.

Zu der Ereignisanzeige hat dir @build10240 schon einen Rat gegeben. Wenn mal etwas nicht rund läuft, dann schau höchsten in Ereignisanzeige/ Windows-Protokolle/ Anwendung oder Ereignisanzeige/ Windows-Protokolle/ System.
Alle anderen Verzeichnisse der Ereignisanzeige solltest du nur aufsuchen, wenn du von einem Helfer dazu aufgefordert wirst.
 
WinThruster - wieder mal so ein ALLZWECKTOOL. Auf einigen, in Google weit oben platzierten, Nachschlageseiten wo du das geladen hast bekommst du immer dieses (ich nenn es mal trotzdem Tool) angeboten. Du installierst die freie Version und die findet in deinem PC massenhaft fehlerhafte Einträge. Die kann das Programm selbstredend reparieren , die kostenpflichtige Version selbstverständlich.
Das ist einfach eine Gelddruckmaschine die von Usern gefüttert wird die von Fehlermeldungen leicht zu erschrecken sind. Mehr nicht. Ich halt mich jetzt extra mal zurück in der Beschreibung dieser "Tools", sonst schreibt mir der Kevin wieder einen netten Brief. Aber höflicher Umgang mit den "Programmierern" solcher Verarschetools ist nach meiner Meinung verlorene Liebesmüh. Da kannst du auch jeden Hütchenspieler in der Fußgängerzone zu Kaffee und Kuchen zu dir nach Hause einladen.
Wenn du noch nichts bezahlt hast, schmeiß das wieder runter und hoffe das es noch nicht zu schlimm gewütet hat. Wenn du einen Systemprüfpunkt vor der Installation hattest setze deinen PC darauf zurück (Datensicherung nicht vergessen). Wenn du schon bezahlt hast verbuche das als Lebenserfahrung, mehr wird dir nicht bleiben.
Meistens wird in deinem System von solcher "Software" alles mögliche verstellt worüber du keine Rückmeldung bekomst. Bei einer Deinstallation wird meistens nichts mehr zurückgesetzt sodas du JETZT echte Fehler hast. Du kannst dann alles auf die Standardeinstellungen zurücksetzen und hoffen das alles funktioniert. Wenn du Glück hast gehts , wenn nicht ... inplace Upgrade.
Zur Ereignisanzeige steht ja schon genügend oben.
 
Vielen Dank für Eure Antworten. Das hilft mir schonmal weiter! Kurze Frage zu den Minidumps, denn ich will ja weder paranoid noch naiv sein: Können diese Dumps sensible Daten enthalten?
 
Daten zur Harware sollten drin sein aber keine persönlichen Angaben außer der Bezeichnung deines PC. "Schmusebär" als Name würde ich ändern , sonst ist das schon ok.
 
Die Minidumps enthalten keine sensiblen Daten, denn die geben nur den Inhalt des Systemspeichers wieder, in dem Treiber und Systemkern laufen. Benutzerspezifische Speicherinhalte sind dort nicht enthalten, es werden zusätzlich nur Angaben zur Hardware mitgeliefert.
 
Ja, die Sache mit dem Solvusoft hab ich mir schon gedacht. Es musst damals nur schnell gehen, und ich hatte keine Zeit mich mit dem ASUSFILTER Bluescreen lange zu beschäftigen. Das war zumindest dann erstmal weg und andere Probleme hatte ich dadurch auch nicht. Jetzt wo nach einem halben Jahr ein anderer Bluescreen auftrat, musste ich mich gezwungenermaßen wieder mit der gesamten Problematik befassen... Ich benutze Acronis True Image, sodass ich theoretisch auch ein Systemwiederherstellungspunkt von vor einem halben Jahr wählen kann, aber davor scheue ich zurück, solange ich nicht sicher bin, ob es sich um ernsthafte Fehlermeldungen / Probleme handelt... Wie gesagt, ich bin nur Laie, aber ich muss mich darauf verlassen können dass die Kiste läuft.

Ich habe mal ein Minidump von letzter Woche angehangen... Vielleicht könnt Ihr etwas daraus lesen.

Aber Nochmal Danke für die nette und prompte Unterstützung!
 

Anhänge

  • 031217-6203-01.rar
    101,4 KB · Aufrufe: 64
Hallo @marekj!
Obwohl die Dumpfile 8 Tage alt ist und seit dem wahrscheinlich kein weiterer Bluescreen aufgetreten ist, habe ich mir die Dumpfile mal angesehen.
Der Auslöser war eine Funktion von ASUSFILTER.sys
FOLLOWUP_IP: ASUSFILTER+8d59 fffff804`42908d59 488b4140 mov rax,qword ptr [rcx+40h]
Zunächst erst mal das Debuggerlog auszugsweise
Code:
Last set context:[COLOR="#008000"]Der letzte ausgeführte Context ist von ASUSFILTER:SYS[/COLOR]
rax=ffffca81c8bfd428 rbx=ffffa68f5c4a0b50 rcx=0000000000000000
rdx=ffffa68f64406060 rsi=ffffa68f5c4a0920 rdi=0000000000000000
rip=fffff80442908d59 rsp=ffffca81c8bfd400 rbp=ffffa68f5c4a0d68
 r8=ffff900005d3aeb0  r9=0000000000000000 r10=7fff900005d3aeb0
r11=ffffa68f613c6700 r12=fffff80442906320 r13=ffffa68f5c4a0b58
r14=fffff80442905618 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010286
ASUSFILTER+0x8d59: fffff804`42908d59 488b4140        mov     rax,qword ptr [rcx+40h] ds:002b:00000000`00000040=????????????????
.....
STACK_TEXT:  
[COLOR="#FF0000"]ffffca81`c8bfd400 ffffa68f`5c4a0d68 : fffff804`00000250 fffff800`8a5c3740 00000000`00000000 fffff804`42906320 : ASUSFILTER+0x8d59[/COLOR]
[COLOR="#008000"]Hier ist der Stack zu ende. Nach Aufruf des letzten Thread kann der Speicher des 
Thread abgefragt werden, der eventuell mehr Informationen bietet.[/COLOR]
ffffca81`c8bfd408 fffff804`00000250 : fffff800`8a5c3740 00000000`00000000 fffff804`42906320 fffff804`42908c42 : 0xffffa68f`5c4a0d68
ffffca81`c8bfd410 fffff800`8a5c3740 : 00000000`00000000 fffff804`42906320 fffff804`42908c42 ffffa68f`5c4a0b50 : 0xfffff804`00000250
ffffca81`c8bfd418 00000000`00000000 : fffff804`42906320 fffff804`42908c42 ffffa68f`5c4a0b50 ffffa68f`5c4a0d68 : nt!SepPublicDefaultUnrestrictedSd
....
[COLOR="#008000"]Jetzt den letzten Thread aufrufen[/COLOR]
0: kd> !thread
THREAD ffffa68f613c6700  Cid 0004.0864  Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 0
Not impersonating
GetUlongFromAddress: unable to read from fffff8008a171924
Owning Process            ffffa68f510d51c0       Image:         System
Attached Process          N/A            Image:         N/A
fffff78000000000: Unable to get shared data
Wait Start TickCount      2154144      
Context Switch Count      9499           IdealProcessor: 2             
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address nt!ExpWorkerThread (0xfffff80089f120d0)
Stack Init ffffca81c8bfdc10 Current ffffca81c8bfc7d0
[COLOR="#FF0000"]Base ffffca81c8bfe000 Limit ffffca81c8bf7000[/COLOR] Call 0
[COLOR="#008000"]Mit diesen beiden Werter kann man in den Speicher "eintauchen"[/COLOR]
Priority 12 BasePriority 12 UnusualBoost 0 ForegroundBoost 0 IoPriority 2 PagePriority 5
Child-SP          RetAddr           : Args to Child                                                           : Call Site
[COLOR="#008000"]Der zugehörige Stack ist der gleiche, wie der etwas weiter oben.[/COLOR]
....
[COLOR="#008000"]Jetzt den Speicher abfragen, natürlich nur als sehr kleine Schnipsel, da der Speicher 
über 200 Zeilen lang ist, wovon 70 bis 80 % 000 (Nullen) sind[/COLOR]
....
ffffca81`c8bfc0c8  00000000`00000000
ffffca81`c8bfc0d0  00000000`00000000
.....
ffffca81`c8bfc190  ffffca81`c8bfdb90
[COLOR="#FF0000"]ffffca81`c8bfc198  fffff800`89fc57f4 nt!KeBugCheckEx+0x104[/COLOR]
ffffca81`c8bfc1a0  00000000`00000001
ffffca81`c8bfc1a8  fffff800`8a0c7b45 nt!ExAllocatePoolWithTag+0x105
ffffca81`c8bfc1b0  fffff800`8a0fdf18 nt!_ymm+0x2618
[COLOR="#FF0000"]ffffca81`c8bfc1b8  fffff800`8a0c734b nt!ExFreePoolWithTag+0x34b[/COLOR]
ffffca81`c8bfc1c0  ffffca81`c8bfc9f0
ffffca81`c8bfc1c8  00000000`00000000
ffffca81`c8bfc1d0  00000000`00000282
ffffca81`c8bfc1d8  fffff800`89fd54b5 nt! ?? ::FNODOBFM::`string'+0x925
ffffca81`c8bfc1e0  00000000`0000007e
ffffca81`c8bfc1e8  ffffffff`c0000005
[COLOR="#FF0000"]ffffca81`c8bfc1f0  fffff804`42908d59 ASUSFILTER+0x8d59[/COLOR]
[COLOR="#008000"]Die Funktion von Asusfilter löst eine Zugriffsverletzung (0xc0000005 ) beim 
Freigeben eines Pools aus. Danach kommt es zum KeBugCheckEx (KernelBugCheckEx)[/COLOR]
Mehr ist erst mal aus der Dumpfile nicht zu ersehen. Da der Bluescreen, wie gesagt, bereits 8 Tage zurück liegt, grabe ich auch nicht tiefer in den Sysinfos nach.

Erkenntnis: der Treiber ASUSFILTER.SYS löst eine Zugriffsverletzung beim Freigeben eines Pools aus.
Dieser Treiber ist ASUS USB Hub filter driver. Entweder der USB-Treiber selbst oder ein Gerät, das an USB angeschlossen ist hat den Fehler ausgelöst. Das sollte durch Probieren weiter untersucht werden.
 
Vielen Dank @Ari45. Nun weiß ich, dass es weiterhin ASUSFILTER.SYS zu Problemen führt. Ich befürchte, ich werde, wenn schon die Scheinreparatursoftware WinThruster nichts machen konnte, nicht weiter kommen, aber die ursache zu kennen ist ja aller Anfang, bei einer Problemlösung :)

Nochmal Danke an Alle, die sich so rege beteiligt haben und mir weiterhelfen konnten!
 
Da fällt mir doch gerade noch was ein. Aber so ist das wenn die Hardware nicht im Profil steht. Da oben blättert halt keiner mehr hin. Also als nächstes schreib deine Hardware ins Profil (steht bei jedem unter Mein System ganz unten). Besonders die genaue!! Bezeichnung des Netzteils . Wichtig!!
 
Anzeige
Oben