Absturz gleich nach Start

[black-illidan]

Hallo Forenuser, hoffe ihr könnt mir helfen...
Mein PC mit Win XP Service Pack 3 hat seit heute den Fehler, dass er gleich (~10 sek) nach dem einloggen in mein Benutzer-Konto für ne halbe Sekunde nen bluescreen zeigt und dann sofort neu startet. Bei den anderen Benutzerkonten funktioniert aber seltsamerweise alles wie immer.
Den Fehler hatte ich bereits vor ein paar Tagen, allerdings war er dann sofort wieder verschwunden, nach dem ich mich zuerst bei einem anderen Benutzerkonto eingeloggt habe.
Mein PC ist zwar ziemlich schrottreif, aber trotzdem wundert es mich, dass der Fehler nur bei meinem User auftritt... Was kann das sein? Ein Virus?

Edit: So, hab jetzt dafür gesorgt, dass nach Systemfehler nicht gleich neugestartet wird, und hab jetzt einen Blick auf den bluescreen mit der Meldung "IRQL_NOT_LESS_OR_EQUAL" werfen... Was bedeutet das jetzt?

 

[patmaster]

Fehlermeldungen: IRQL_not_less_or_equal

könnte recht interessant sein für dich !

 

[black-illidan]

Also bei mir kommt nichts mit "Address 0xVVVVVVVV has base at [address] - [driver]"... nur die normale bluescreen-Meldung, und das mit dem STOP, sowie eben "IRQL_..."

Liegt der letzte Parameter (0xVVVVVVVV) im Adressbereich eines Gerätetreibers des Systems, wissen Sie, welcher Gerätetreiber gerade lief, als der Speicherzugriff geschah. Dieser Treiber ist oft in der dritten Zeile des STOP Bildschirms zu finden.

Also aus diesem Absatz werd ich nicht schlau... wie findet man jetzt heraus, welcher Treiber das verursacht hat...?

Noch ne zusätzliche Info: Im abgesicherten modus, sowie im Diagnosemodus gibts keinen Absturz...

Und noch was: Hab jetzt alle Dienste aktiviert bei msconfig, neugestartet, noch immer im Diagnosemodus, und kein Absturz... Heißt wohl, an nem Dienst ist es nicht gelegen... seltsamerweise konnte ich allerdings die avast-antivir-dienste nicht aktivieren...?
Noch ein Edit: Jetzt auch mit allen "Systemstart"-Programmen gemacht... Läuft noch immer... Wo kann da ein Problem liegen?

 

[simpel1970]

Werte die Minidump aus, die zum Bluescreen geschrieben wird. Evtl. bringt das mehr Infos zur Fehlerursache. Klick!

 

[black-illidan]

Werte die Minidump aus, die zum Bluescreen geschrieben wird. Evtl. bringt das mehr Infos zur Fehlerursache. Klick!

Hab das Debugging tool jetzt installiert, aber wenn ich auf "Open Crash Dump" gehe, finde ich nirgendes eine Datei "Memory.dmp", weder im C:/Windows, noch im C:/Windows/Minidump... oder soll ich etwa einfach eine von den Dateien in letztgenanntem Verzeichnis auswählen?

 

[simpel1970]

Eine Datei mit der Endung .dmp.

 

[black-illidan]

Ok, hab jetzt die neueste Datei in diesem Ordner analysiert, hoffe das stimmt...

Hier mal der gesamte Text, den das Programm ausgespuckt hat, hoffentlich weiß jemand den richtig zu deuten:

Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini081110-15.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows XP Kernel Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp_sp3_gdr.100216-1514
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805634c0
Debug session time: Wed Aug 11 17:20:11.609 2010 (UTC + 2:00)
System Uptime: 0 days 0:00:40.296
Loading Kernel Symbols
.!analyze –v
..............................................................
.....................................................
Loading User Symbols
Loading unloaded module list
.......
Unable to load image RtkHDAud.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for RtkHDAud.sys
*** ERROR: Module load completed but symbols could not be loaded for RtkHDAud.sys
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {1, 1c, 1, 804e1c18}

Probably caused by : RtkHDAud.sys ( RtkHDAud+41813d )

Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: 00000001, memory referenced
Arg2: 0000001c, IRQL
Arg3: 00000001, bitfield :
    bit 0 : value 0 = read operation, 1 = write operation
    bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 804e1c18, address which referenced memory

Debugging Details:
------------------


WORKER_ROUTINE: 
+2902faf00acdfc0
00000001 ??              ???

WORK_ITEM:  804e1c18

CURRENT_IRQL:  1c

CUSTOMER_CRASH_COUNT:  15

DEFAULT_BUCKET_ID:  COMMON_SYSTEM_FAULT

BUGCHECK_STR:  0xA

PROCESS_NAME:  Skype.exe

LAST_CONTROL_TRANSFER:  from f273813d to 804e1c18

STACK_TEXT:  
b7c2c368 f273813d 00000000 00000000 00000000 nt!KeWaitForSingleObject+0x186
WARNING: Stack unwind information not available. Following frames may be wrong.
b7c2c394 f272e8cc 852352ac 804d9bcf 00000000 RtkHDAud+0x41813d
b7c2c3f0 f272f251 8509d960 8509d968 c0000001 RtkHDAud+0x40e8cc
b7c2c40c f2750a95 860640b0 00000002 00000000 RtkHDAud+0x40f251
b7c2c438 f231a049 860a1cd0 8522cefc 00000000 RtkHDAud+0x430a95
b7c2c470 f2318df2 00000000 8604f560 8626a928 portcls!CPortPinWaveCyclic::Init+0x250
b7c2c498 f230cfe3 8604f520 8605bdc4 8605bdc8 portcls!CPortFilterWaveCyclic::NewIrpTarget+0xd9
b7c2c4e0 f230d132 8626a928 85f4c920 84fe7e70 portcls!xDispatchCreate+0x90
b7c2c4f4 f65c5fdb 85f4c920 84fe7e70 84fe7e80 portcls!KsoDispatchCreateWithGenericFactory+0x2b
b7c2c518 f65c50c6 85f4c920 00000000 b7c2c540 ks!DispatchCreate+0xc7
b7c2c528 f230d09d 85f4c920 84fe7e70 85f26f38 ks!KsDispatchIrp+0x98
b7c2c540 804e13eb 85f4c920 84fe7e70 84fe7e70 portcls!DispatchCreate+0x34
b7c2c550 805794b6 860a5838 84efec58 b7c2c720 nt!IopfCallDriver+0x31
b7c2c630 80583063 85f4c920 00000000 84fb5008 nt!IopParseDevice+0xa12
b7c2c668 80572bd5 860a5838 00000000 84fb5008 nt!IopParseFile+0x46
b7c2c6e0 805701e7 800010f0 b7c2c720 00000240 nt!ObpLookupObjectName+0x119
b7c2c734 80579b12 00000000 00000000 fb79f800 nt!ObOpenObjectByName+0xea
b7c2c7b0 80579be1 e2c8bc70 40000000 b7c2c858 nt!IopCreateFile+0x407
b7c2c80c f65c64ee e2c8bc70 40000000 b7c2c858 nt!IoCreateFile+0x8e
b7c2c888 f65c5a77 800010f0 f65c5a80 e2dff0e0 ks!KsiCreateObjectType+0xd6
b7c2c8a8 b83d0fdf 800010f0 e2dff0e0 40000200 ks!KsCreatePin+0x33
b7c2c8cc b83d16fc e101d210 e2c0fca8 e2792328 sysaudio!CPinNodeInstance::Create+0x6b
b7c2c908 b83d0454 84f8b1b8 e101d20c 00000001 sysaudio!CConnectNodeInstance::Connect+0xb3
b7c2c924 b83d8851 00000000 84f8b138 84f8b1b8 sysaudio!CStartNodeInstance::Connect+0x52
b7c2c95c b83d6dd4 e1b81c48 84f8b138 84f8b1b8 sysaudio!CStartNodeInstance::IntelligentConnect+0x79
b7c2c980 b83cf574 e2de6e10 e2a71298 84f8b138 sysaudio!CStartNodeInstance::Create+0xe1
b7c2c9b0 b83d01e7 c0000010 84f8b138 00000000 sysaudio!CPinInstance::PinDispatchCreateKP+0xa8
b7c2c9cc b83cf718 84fb8490 b83cf4e6 84f8b138 sysaudio!CInstance::DispatchCreate+0x63
b7c2ca00 f65c5fdb 84f52498 84fb8490 84fb84a0 sysaudio!CPinInstance::PinDispatchCreate+0xc1
b7c2ca24 804e13eb 84f52498 00000000 84fb8490 ks!DispatchCreate+0xc7
b7c2ca34 805794b6 860a5bd8 85021248 b7c2cc04 nt!IopfCallDriver+0x31
b7c2cb14 80583063 84f52498 00000000 85fabf30 nt!IopParseDevice+0xa12
b7c2cb4c 80572bd5 860a5bd8 00000000 85fabf30 nt!IopParseFile+0x46
b7c2cbc4 805701e7 00000760 b7c2cc04 00000040 nt!ObpLookupObjectName+0x119
b7c2cc18 80579b12 00000000 00000000 00000001 nt!ObOpenObjectByName+0xea
b7c2cc94 80579be1 0364ea94 80000000 0364ea10 nt!IopCreateFile+0x407
b7c2ccf0 80573e2b 0364ea94 80000000 0364ea10 nt!IoCreateFile+0x8e
b7c2cd30 804dd99f 0364ea94 80000000 0364ea10 nt!NtCreateFile+0x30
b7c2cd30 7c91e514 0364ea94 80000000 0364ea10 nt!KiFastCallEntry+0xfc
0364ea3c 00000000 00000000 00000000 00000000 0x7c91e514


STACK_COMMAND:  kb

FOLLOWUP_IP: 
RtkHDAud+41813d
f273813d ??              ???

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  RtkHDAud+41813d

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: RtkHDAud

IMAGE_NAME:  RtkHDAud.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  44cf35d2

FAILURE_BUCKET_ID:  0xA_RtkHDAud+41813d

BUCKET_ID:  0xA_RtkHDAud+41813d

Followup: MachineOwner
---------

Was mich wundert ist die Zeile

PROCESS_NAME: Skype.exe

Skye hab ich nämlich schon zum laufen gebracht im Diagnose-Modus, dann kanns das ja nicht gewesen sein, oder?

Und gehe ich richtig in der Annahme, dass dieses RtkHDAud.sys wohl eher in Frage kommt?

Und jetzt eigentlich zur entscheidenden Frage: Wie behebe ich das Problem?


Edit: Seltsamerweise hab ich grad im Diagnose-Modus Skype sowie Realtek HD Audio Manager laufen, ohne Komplikationen... Was also ist das Problem?

 

[simpel1970]

Richtig, die RtkHDAud.sys ist für den Bluescreen verantwortlich. Deinstalliere den Realtek Audio Treiber und installiere die aktuellste Version.

Wenn du noch weitere *.dmp Dateien hast, schau nach, ob dort auch die Audio Datei der Auslöser war. Wichtig ist der Eintrag: Image_Name.

 

[black-illidan]

So, neuen Treiber installiert, und jetzt läuft wieder alles! Herzlichen Dank für die Hilfe!

 

[simpel1970]

Prima