Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Bluescreen, Windows ist nur im abgesicherten Modus nutzbar

D

Domi123

bekommt Übersicht
Guten Abend DrWindows Community,

ich bin ein Wenig am verzweifeln, da ich seit gefühlten drei Stunden dabei bin herauszufinden, wieso ich meinen Computer nicht mehr verwenden kann. Jedesmal, nach dem Versuch den PC hochzufahren, wenn es eigentlich zur Anmeldung von meinem Benutzerkonto geht, bekomme ich einen Bluescreen, mit der angehängten Information. Nun habe ich dutzende Male versucht den PC an einem Wiederherstellungspunkt wiederherzustellen - vergeblich (zur Auswahl stand nur eine Möglichkeit, der Tag von Gestern). Und nach weiteren Wiederherstellungsversuchen, Fehlerbehebungsassistenten u.ä., benötige ich dringend Hilfe. Ich gehe davon aus, dass sich ein Virus, bzw eine Fremdsoftware bei mir eingeschlichen hat, doch weiß ich nicht welcher Treiber schädlich sein könnte. Ich entschuldige mich für die scheußliche Grammatik, doch es ist schon spät und die Müdigkeit kommt zum Vorschein.

Bei Informationsmangel einfach nur bescheidgeben.

Vielen Dank für Lösungsansätze!

MfG Domi
 

Anhänge

  • bluescreen.png
    bluescreen.png
    51,1 KB · Aufrufe: 219
Anzeige
Hallo Domi und auch von mir ein herzliches Willkommen hier im Forum von DrWindows!
Schaue bitte mal in diesen Thread unter Beitrag #134 von mir rein:

http://www.drwindows.de/windows-7-allgemein/16340-zufall-entdeckte-problemloesungen-9.html

Wichtig ist auch:

Unter C:\windows\minidump gibt es Dumpfiles

bitte mal die 3 bis 4 aktuellsten hier in gezippter Form hochladen.

Ein Freund von mir (ARI45) schaut dann mal darüber...

Der ist dadrin Fachmann und ihm kannst Du ja auch mal eine private Nachricht (PN) schicken...
 
Guten Morgen @Domi123! Willkommen im Forum!
Die Auswertung des BluescreenViewer hilft uns nicht sonderlich.
Bitte kopiere diese Datei 112916-30934-01, oder besser die drei neuesten DMP heraus (zB auf den Desktop) und packe sie dann zusammen in ein RAR- oder ZIP-Archiv. Dieses Archiv hänge bitte an deine nächste Antwort an.
In der Zeit, da wir deine Dateien analysieren, mache bitte ein paar Angaben zu deiner Hardware und deinem System. Am Besten, du klickst unter meinem Benutzernamen auf "Mein System" und dann unten auf "Wie geht das? - eigene Daten eintragen".
Dadurch kommst du in dein Profil und kannst die Eintragungen vornehmen.

Edit:
Ups, da war doch mein Freund @edv.kleini schneller. Guten Morgen auch dir! :)
Die PN ist jetzt nicht mehr nötig. Ich habs ja gesehen, geistig registriert und bekomme automatisch Nachricht.
 
Vielen Dank für die schnelle Antwort!

Also ich bin nicht so der Brain, wenn es um das Innenleben in meinem Computer geht...
Habe die Dump-Dateien angehängt, hoffe da hilft euch. Sie sind in deine RAR Datei zusammengefasst.

LG Domi
 

Anhänge

  • Dumpfiles.rar
    51 KB · Aufrufe: 88
Hallo @Domi123!
Ich habe alle drei Dumpfiles einzeln debuggt und musste feststellen, dass in keiner wirklich hilfreiche Informationen gespeichert waren.
Weder der Speicher des aktiven Thread noch die Abfrage der Sysinfo brachte mich weiter.
Code: 
UNEXPECTED_KERNEL_MODE_TRAP (7f)
This means a trap occurred in kernel mode, and it's a trap of a kind
that the kernel isn't allowed to have/catch (bound trap) or that
is always instant death (double fault).  The first number in the
bugcheck params is the number of the trap (8 = double fault, etc)
Consult an Intel x86 family manual to learn more about what these
traps are. Here is a *portion* of those codes:
If kv shows a taskGate
        use .tss on the part before the colon, then kv.
Else if kv shows a trapframe
        use .trap on that value
Else
        .trap on the appropriate frame will show where the trap was taken
        (on x86, this will be the ebp that goes with the procedure KiTrap)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 0000000000000008, EXCEPTION_DOUBLE_FAULT
Arg2: 0000000080050031
Arg3: 00000000000406f8
Arg4: fffff800033b7fac

Debugging Details:
------------------


BUGCHECK_STR:  0x7f_8

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  2

ANALYSIS_VERSION: 6.3.9600.17298 (debuggers(dbg).141024-1500) amd64fre

LAST_CONTROL_TRANSFER:  from fffff800032c39a9 to fffff800032c4400

STACK_TEXT:  
fffff880`02eabd68 fffff800`032c39a9 : 00000000`0000007f 00000000`00000008 00000000`80050031 00000000`000406f8 : nt!KeBugCheckEx
fffff880`02eabd70 fffff800`032c1e72 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiBugCheckDispatch+0x69
[COLOR="#FF0000"]fffff880`02eabeb0 fffff800`033b7fac : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiDoubleFaultAbort+0xb2[/COLOR]
fffff880`02ec8000 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!EtwWriteEx+0xc


STACK_COMMAND:  kb

FOLLOWUP_IP: nt!KiDoubleFaultAbort+b2 fffff800`032c1e72 90              nop
SYMBOL_STACK_INDEX:  2

[COLOR="#FF0000"]SYMBOL_NAME:  nt!KiDoubleFaultAbort+b2[/COLOR]
FOLLOWUP_NAME:  MachineOwner
IMAGE_NAME:  ntkrnlmp.exe
DEBUG_FLR_IMAGE_TIMESTAMP:  57f7b833
IMAGE_VERSION:  6.1.7601.23569
FAILURE_BUCKET_ID:  X64_0x7f_8_nt!KiDoubleFaultAbort+b2
BUCKET_ID:  X64_0x7f_8_nt!KiDoubleFaultAbort+b2
ANALYSIS_SOURCE:  KM
[COLOR="#FF0000"]FAILURE_ID_HASH_STRING:  km:x64_0x7f_8_nt!kidoublefaultabort+b2[/COLOR]
FAILURE_ID_HASH:  {0367acc4-9bb4-ab69-5701-46a2011718e9}
[COLOR="#008000"]Es ist also ein Doppelfehler aufgetreten, der natürlich zum Bluescreen führte.[/COLOR]
Followup: MachineOwner
---------

5: kd> !sysinfo machineid
[COLOR="#FF0000"]sysinfo: could not find necessary interfaces.[/COLOR]
sysinfo: note that mssmbios.sys must be loaded (XPSP2+).
5: kd> !sysinfo smbios
[COLOR="#FF0000"]sysinfo: could not find necessary interfaces.[/COLOR]
sysinfo: note that mssmbios.sys must be loaded (XPSP2+).
[COLOR="#008000"]Hier wollte ich einige Systeminfos abrufen. Leider sind keine gespeichert.
Das sind nur zwei Beispiele. Man kann noch mehr Infos abrufen, keine führt hier zu Ergebnissen.[/COLOR]
.....
[COLOR="#008000"]Auch der aktive Thread enthält keine verwertbaren Informationen[/COLOR]
5: kd> !thread
GetPointerFromAddress: unable to read from fffff80003500000
THREAD fffff88002eb0040  Cid 0000.0000  Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 5
Not impersonating
GetUlongFromAddress: unable to read from fffff8000343ec18
Owning Process            fffff80003451180       Image:         <Unknown>
Attached Process          fffffa8006a20040       Image:         System
fffff78000000000: Unable to get shared data
Wait Start TickCount      0            
Context Switch Count      1510           IdealProcessor: 5             
ReadMemory error: Cannot get nt!KeMaximumIncrement value.
UserTime                  00:00:00.000
KernelTime                00:00:00.000
Win32 Start Address nt!KiIdleLoop (0xfffff800032bc0b0)
Stack Init fffff88002ecdc70 Current fffff88002ecdc00
Base fffff88002ece000 Limit fffff88002ec8000 Call 0
Priority 16 BasePriority 0 UnusualBoost 0 ForegroundBoost 0 IoPriority 0 PagePriority 0
Child-SP          RetAddr           : Args to Child                                                           : Call Site
fffff880`02eabd68 fffff800`032c39a9 : 00000000`0000007f 00000000`00000008 00000000`80050031 00000000`000406f8 : nt!KeBugCheckEx
fffff880`02eabd70 fffff800`032c1e72 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiBugCheckDispatch+0x69
fffff880`02eabeb0 fffff800`033b7fac : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiDoubleFaultAbort+0xb2 (TrapFrame @ fffff880`02eabeb0)
fffff880`02ec8000 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!EtwWriteEx+0xc
....
[COLOR="#008000"]Als letztes wollte ich noch den Speicher des Thread einsehen. Auch dort ist nichts Verwertbares.[/COLOR]
Wie man sieht, haben die Dumpfiles uns nicht sonderlich weiter gebracht.
Deshalb ein paar allgemeine Hinweise:
-> nach meinen Recherchen kommt dieser Doppelfehler oft in Verbindung mit Drittanbieter-Sicherheitssoftware vor (Antivirenprogramm; Firewall) -> bitte mal zum Testen beides deinstallieren
-> System Booten und die Taste F8 drücken. Dadurch kommt man in die erweiterten Startoptionen. Dort bitte auswählen "Letzte als funktionierend bekannte Konfiguration starten"
-> hier kann auch gleich die Startprotokollierung aktiviert werden.
-> wenn das nicht hilft, im "abgesicherten Modus" starten und die zuletzt installierten Programme deinstallieren.
 
Ich habe nun wieder einige Systemwiederherstelungen versucht, im abgesicherten Modus den Antivirus deinstalliert, die Firewall ausgeschaltet, bei F8 "Letzte als funktionierend bekannte Konfiguration starten" ausprobiert und wieder im abgesicherten Modus viele Programme und Dateien gelöscht, aber vllt versteckt sich da irgendwo die eine Datei, die für all das verantwortlich ist.

Haben Sie möglicherweise noch ein paar Ratschläge, bevor ich komplett verzweifle?
Vielen Dank für Ihre Bemühungen!

Mit freundlichen Grüßen
Domi


..Kann man den PC nicht in eine Art ''Werkzustand'' zurückversetzen, oder mithilfe eines Programmes alles Löschen lassen?

..Wüsste man, welches Teil ich ersetzen könnte, damit der Rest des Pcs wieder funktionieren würde?
 
Zuletzt bearbeitet:
Für den Clean- Install benötige ich sicherlich einen Windows key? Ich bin mir nicht sicher, ob ich so einen noch im Besitz habe, ich wüsste auch nicht wo ich danach suchen sollte. Ist dies nur mit dem key möglich?
 
Etwa an dem Punkt, wo Anmeldescreen oder Desktop erscheinen, hört die Zuständigkeit der Systemstartreparatur auf, die dann auch prompt nix findet.
Eine Möglichkeit wäre, den Systemzweig der Registry zurückzusetzen, dann läuft die ganze Hardwareerkennung neu durch. Und/oder alle Autostarts und Dienste deaktivieren, die nicht von MS sind.
Ich hab es selbst noch nie gemacht, aber im abgesicherten Modus den Treiber für "Dieser Computer" deinstallieren, also die Hal.dll,könnte für ne komplette Neuerkennung sorgen. Alle Treiber, die nicht von Windows Uodate sind, müssen dann manuell neu, Programme und Einstellungen bleiben, wie damals bei XP. Wenn Windows gar nicht mehr läuft, kann man den Systemzweig mit Mirror und Backup durch den Systemzweig des Windows-Installers ersetzen. Der ist sogar irgendwo im Windows-Verzeichnis. Ich wollte das unter Vista mal tun, als letzter Ausweg , so weit kam es nicht.
 
Soo keine Ahnung warum, aber auf meinem PC gibt es nun keine netzwerkhardware mehr. Ich habe nicht am Netzwerkt, geschweige denn den Treibern gemacht. Solangsam geb ichs auf
 
Na dann versuche den Netzwerktreiber von deinem unbekannten Mainboard

Damit kann man das auslesen lassen.
https://www.piriform.com/speccy

noch einmal zu installieren.

Und besteht die Möglichkeit mit CDI ein Bild von deienr HDD zu bekommen ? Mit USB übertragen auf den anderen PC ?
 
Die HAL deinstallieren erfordert nur, im Gerätemanager den Treiber für "dieser PC" zu deinstallieren. Ich habe es selbst noch nie gemacht und es könnte von Windows verhindert werden, nicht die erwartete Komplettrückstellung aller Treiber bringen, oder Windows komplett schrotten. Aber als letzter Versuch vor dem Clean Install ne gute Idee. Alles, was nicht viel Zeit und Mühe macht, ist dann ne gute Idee.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben