Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Bluescreen durch netio.sys

mbarnick

mbarnick

kennt sich schon aus
Hallo, ich habe seit einiger Zeit unter Windows 7 bluescreens der Art:
"Driver irql not less or equal".

Schuld sind die üblichen netio.sys und ntoskrnl.exe ++ee2cb wie ich durch bluescreenview herausbrachte.

Ich habe natürlich mit chkdsk /f /r die festplatte überprüft und mit memcheck den Speicher. Alles soweit ok.

Habe dann versucht von M$ das Update Windows6.1-KB2913431-x64 zu installieren, aber mein System sagt, das sei schon installiert.

Vorher habe ich versucht von Microsoft Support
den Hotfix für dieses Problem downzuladen und zu installieren, aber beim Installieren meinte mein System, dass diese Datei nicht für mein System geeignet sei. Wahrscheinlich habe ich hier doch nicht die richtige Datei erwischt.

Ich weiß jetzt nicht so recht wie ich die netio.sys repariere. Habs auch schon mit System Reparieren F8 probiert, aber da sind keine Optionen dafür drin.

Ich komm da einfach nicht ran. Alle Tipps im Web treffen entweder nicht zu oder führen in die Irre oder sind nur dazu da um irgendwelche Maleware auf mein System zu bringen ...

Auch die ntoskrnl.exe konnte ich nicht updaten.

Der Bluescreen tritt vor allem beim Surfen im Firefox (neuste Version) auf.
 
Anzeige
Guten Morgen @mbarnick! Willkommen bei Dr. Windows! :)
Ich denke eher, dass weder netio.sys noch ntoskrnl.exe der eigentlich Schuldige ist. Sie sind nur die "Leidtragenden", weil sie von einem Treiber mit falschen Parametern gefüttert wurden.
Bitte schau in C:\Windows\Minidump nach, ob dort neuere Dumpdateien liegen. Packe die 3 oder 4 neuesten Dateien zusammen in ein Archiv und hänge das Archiv an deine nächste Antwort als Dateianhang.
Der Grund:
Bluescreen-View liest nur den Dateiheader der Dumpdatei, einen Stackdump kann es nicht machen. Das geht nur mit dem Debugger. Es ist nicht garantiert, dass man mit dem Debugger den wirklicher Auslöser findet, aber einen Versuch ist es wert und hat auch schon oft geholfen.

Nachtrag:
habe ich vergessen zu sagen: die Dumpfiles musst du heraus kopieren (zB auf den Desktop) und erst dann packen, weil du in C:\Windows keine Schreibrechte hast.
 
Zuletzt bearbeitet:
Hallo und danke erstmal für die Antwort :)
... weil sie von einem Treiber mit falschen Parametern gefüttert wurden.
Zum Vergrößern anklicken....
vermutlich ja.
ich habe iobit im verdacht, weil der Teiber-updater in einem Fall nicht richtig funktioniert und weil das Hauptprogramm gern mal ein paar Dateien zuviel löscht ... ist aber nur ne Vermutung. Der installiert ja keine Treiber.

Ich installiere nur ungern neue Programme auf meinem Rechner, weil ich eigentlich alles habe, was ich brauche und viele Programme machen nur viel Ärger. Trotzdem braucht man halt hie und da doch noch was.

Packe die 3 oder 4 neuesten Dateien zusammen in ein Archiv und hänge das Archiv an deine nächste Antwort als Dateianhang.
Zum Vergrößern anklicken....
soweit war ich schon. Habe festgestellt, dass ich an die Dateien im Minidump-Verzeichnis selber nicht rankomme und sie dann auf dem Desktop kopiert. Dort habe ich gemerkt, dass es sich um Binär- und nicht um Textdateien handelt. Ich konnte sie also nicht lesen. Wollte erstmal mögliche Antworten abwarten.

Zip-Datei im Anhang.
 

Anhänge

  • minidump_netio_ntoskrnl.zip
    95,3 KB · Aufrufe: 173
Zuletzt bearbeitet von einem Moderator:
Hallo

Du hast Recht mit deiner Vermutung, alle 3 BS werden von IMF.exe ausgelöst.IMF.Exe gehört zu IOBIT Malware Fighter.

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 0000000000000008, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff88001920a1d, address which referenced memory

Debugging Details:
------------------

TRIAGER: Could not open triage file : e:\dump_analysis\program\triage\modclass.ini, error 2

READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800030fc100
GetUlongFromAddress: unable to read from fffff800030fc1c0
0000000000000008 Nonpaged pool

CURRENT_IRQL: 2

FAULTING_IP:
NETIO!CalloutStreamDataInit+1d
fffff880`01920a1d 488b5808 mov rbx,qword ptr [rax+8]

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

BUGCHECK_STR: 0xD1

PROCESS_NAME: IMF.exe

Wenn ein Antivirentool oder Malware Tool ein BS auslöst,wäre ich mehr als gewarnt.

Ich würde dieses Tool komplett deinstallieren, und dann erst mal den Rechner komplett auf Viren checken.

Dann mit Malwarebytes Anti-Malware den Pc überprüfen.
 
Guten Morgen!
Sorry Andreas996, ich möchte noch auf einen weiteren Umstand aufmerksam machen:
Code: 
STACK_TEXT:  
fffff880`04579a58 fffff800`02e76e69 : 00000000`0000000a 00000000`00000008 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
fffff880`04579a60 fffff800`02e75ae0 : 00000000`00000000 fffffa80`16897890 fffff880`04579cd0 fffff880`04579f50 : nt!KiBugCheckDispatch+0x69
fffff880`04579ba0 fffff880`01825a1d : fffffa80`120bb668 fffffa80`120bb660 fffff880`0457a150 fffff880`0182a33e : nt!KiPageFault+0x260
fffff880`04579d30 fffff880`0182f0d4 : fffff880`04579f50 fffff880`04579f50 fffff880`0457a150 fffffa80`16dd2980 : NETIO!CalloutStreamDataInit+0x1d
fffff880`04579d70 fffff880`0183ae98 : 00000000`00000000 fffff880`0457a150 fffff880`04579f00 fffff880`04579f88 : NETIO!StreamInvokeCalloutAndNormalizeAction+0x54
fffff880`04579e10 fffff880`0183be91 : fffffa80`15c820c0 fffff880`0457a150 fffff880`04579f50 fffff880`0457a5a0 : NETIO!StreamCalloutProcessData+0x48
fffff880`04579e60 fffff880`0183cee8 : fffff880`04579f50 fffff880`0457a5a0 fffff880`0457a101 fffffa80`15c820c0 : NETIO!StreamCalloutProcessingLoop+0xa1
fffff880`04579ef0 fffff880`0181da2a : fffff880`0457a150 fffff880`0836235c 00000000`00000000 fffffa80`14150014 : NETIO!StreamProcessCallout+0x1e8
fffff880`04579fe0 fffff880`01804f58 : fffff880`04570014 fffffa80`152fedb0 fffffa80`170cd528 fffff880`0457a5a0 : NETIO! ?? ::FNODOBFM::`string'+0x71f2
fffff880`0457a100 fffff880`018065d2 : fffff880`04570014 fffffa80`152fedb0 fffffa80`1415f660 00000000`00000000 : NETIO!ArbitrateAndEnforce+0x238
fffff880`0457a1d0 fffff880`0183f3b3 : fffff880`0457a674 fffffa80`152fedb0 00000000`00000001 fffff880`0457a5a0 : NETIO!KfdClassify+0x934
fffff880`0457a540 fffff880`0183f99a : 00000000`00000000 00000000`00010000 00000000`00030a85 fffffa80`1415f5a0 : NETIO!StreamInternalClassify+0xf3
fffff880`0457a610 fffff880`0183fd8e : 00000000`00000014 00000000`00000100 00000000`00000000 fffffa80`158091f0 : NETIO!StreamInject+0x1ca
fffff880`0457a6e0 fffff880`011b2df3 : fffffa80`1415f4f0 00000000`0000011e fffffa80`16a71700 fffff800`02faed00 : [COLOR="#FF0000"]NETIO!FwppStreamInject+0x12e[/COLOR]
fffff880`0457a770 fffff880`0ad66c44 : fffffa80`16561160 00000000`00000000 00000000`00000000 fffffa80`10287170 :[COLOR="#FF0000"] fwpkclnt!FwpsStreamInjectAsync0+0xcf[/COLOR]
fffff880`0457a7d0 fffffa80`16561160 : 00000000`00000000 00000000`00000000 fffffa80`10287170 00000000`0000011e :[COLOR="#FF0000"] UrlFilter+0x1c44[/COLOR]
fffff880`0457a7d8 00000000`00000000 : 00000000`00000000 fffffa80`10287170 00000000`0000011e 00000000`00000014 : 0xfffffa80`16561160
Natürlich ist es richtig, dass die Bluescreens zu einer Zeit passierten, als der Prozess IMF.exe aktiv war.
Aber in allen drei Dumpfiles beginnt das Drama mit der Übergabe der Werte aus dem UrlFilter in den Treiber fwpkcInt.sys. Das ist ein Kerneltreiber für Firewall und IPSec. Dann wird der Wert an die NETIO-Funktion FwppStreamInjec übergeben.
Deshalb würde ich zusätzlich zu der Massnahme mit IOBit auch die Systemdateien überprüfen. Der Fehler könnte auch durch den Treiber fwpkcInt.sys passieren, wenn der Treiber durch IOBit beschädigt wurde.
 
Danke. Ihr seid super!

Na toll. Der IObit macht mir eigentlich gute Dienste. Der hat mich schon öfter davor bewahrt, dass Programme einfach meine Startseite ändern oder sich installieren. Er räumt mir viele Sachen (Datenmüll) vom PC weg. Es ist so eine Art PC-Tools für mich. Hat alles drin was man braucht. Ich bin nicht 100%ig davon überzeugt, würde es aber missen.

a) Könnt ihr mir ne Alternative empfehlen?
b) Wie prüfe ich denn die Systemdateien? sfc /scannow hat nix gehelft.
c) falls fwpkcInt.sys kaputt ist, wie repariere ich ihn?
d) ich checke schon immer mit dem Adwcleaner. Der ist eigentlich super. Ist der Malewarebytes besser?
e) ich habe heute den Spyhunter ausprobiert. Der hat behauptet, dass er ca. 700 Gefahrenquellen entdeckt hat. Kostet ca 30 Euronen. Ist der zu empfehlen?
 
Guten Morgen!
Es stimmt, dass IOBit-Produkte im Allgemeinen gute Programme sind. Dem widerspricht ja nicht, dass sie auch mal eine Fehlfunktion haben können. Schau nach, ob du neuere Versionen davon findest.

zu b. -> hast du SFC / Scannow in einer CMD mit erhöhten Rechten ("Als Administrator ausführen") gestartet? Hat SFC nichts gefunden oder verspürst du nur keine Besserung? Wenn SFC Fehler findet, sollte es mehrmals ausgeführt werden, jeweils nach einem Neustart.
Mache mal einen Auszug aus den CBS.Log:
Code: 
findstr /C:"[SR]" %windir%\Logs\CBS\CBS.Log >C:\details.txt
Kopiere den Inhalt der Codebox in eine CMD mit Admin-Rechten. Dann hast du in C:\ die Datei details.txt liegen, die ein Auszug aus CBS.Log ist. Diese Datei kannst du als Anhang hier hoch laden.

zu c. -> meist wird die defekte Systemdatei durch SFC repariert. Wenn das nicht geht, muss sie von der Windows-DVD nachgeladen werden. Darüber reden wir, wenn es soweit ist.

zu d. -> AdwCleaner und Malwarebytes haben unterschiedliche Schadware zum Ziel. Deshalb kann man keines als besser oder schlechter bezeichnen. Sie werden beide benötigt, wenn es darum geht, einen Rechner zu Prüfen.

zu e. -> ich hoffe, du bekommst Spyhunter problemlos wieder deinstalliert. Im Netz gibt es da einige Klagen. Dieses Produkt kommt nicht auf meinen PC. Erst findet es angeblich 400 oder 700 Bedrohungen, dann muss man es kaufen, damit es diese Bedrohungen bereinigen kann. Und wenn man es gekauft hat, ist es im Nu fertig, aber der PC läuft auch nicht besser. Solche Tools haben nur ein Ziel: den Füllgrad der Geldsäckels des Programmierers zu erhöhen.
Sieh lieber zu, dass du es wieder los wirst.
 
Ich brauche halt IObit, weil es mir meine Startseite im Browser schützt. Allerdings scheint es ab und an zuviel des Guten zu löschen.
Auch funktioniert der Treiberupdate meiner Soundkarte nicht. Jedesmal wenn ich IObit updaten lassen, geht der Ton nicht mehr und ich muss in der Systemsteuerung -> sound den alten Treiber wieder reaktivieren ... Nvidia + Realtec.

Die Detail.txt ist im Anhang. Sfc scheint aber nichts gefunden zu haben.

Malwarebytes hat auch nur 2 kleinere Einträge gefunden. Nichts Weltbewegendes. Schade nur dass man im Web so gut nichts mehr downloaden kann ohne sich nicht einen Schädling einzufangen. Sogar die Originalseiten sind nicht immer ganz astrein.

Ja, ich hatte vom Spyhunter auch diesen Verdacht. Ich glaube auch dass der Anzeigen erfindet, also Dinge, die gut möglich, aber nicht wirklich auf dem Rechner sind, einfach um an das Geld zu kommen. Ich hatte mir tatsächlich den Kauf überlegt.

IObit update ich schon immer wieder. Ich hatte sogar ein Jahr lang die Vollversion auf meinem Rechner, aber momentan scheint es auch ohne zu gehen. Ich nehme denen nur übel, dass sie so eine Kunden-Verwirrstrategie fahren und man eigentlich nicht durchblickt was man denn jetzt genau wofür braucht.

Solange es keine gute Alternative gibt, werde ich den IObit wohl drauf lassen müssen. Eigentlich brauch ich nur den Browsermanipulationsschutz. Das Upaten der Treiber finde ich auch gut, aber leider funktioniert das bei meiner Soundkarte nicht. Deshalb habe ich bisher auch noch nicht die Vollversion gekauft.
 

Anhänge

  • details.txt
    44,9 KB · Aufrufe: 325
Also der Auszug aus CBS.Log ist sauber. SFC brauchte nichts zu reparieren, weil keine beschädigten Systemdateien gefunden wurden.
Hast du denn in den letzten Tagen noch mal einen BlueScreen gehabt? Solltest du wieder welche bekommen, würde ich doch empfehlen, IOBit zu deinstallieren, und sei es nur für etwa eine Woche zum Probieren.
 
die scheinen nur unter bestimmten Umständen aufzutreten. Jetzt hatte ich erstmal keine. Das letzte Mal ein paar Tage bevor ich mich hier angemeldet habe. War beim Aufruf von wetter-online.de.

vielen Dank für die gute Unterstützung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben