Blue Screen Help

[Blue-Hawaii]

Hiho,mein Bruder hatte vor kurzem nen eigenartigen BSOD.Es kam nach dem Hochfahren kurz nachdem der Desktop angezeigt wurde.
Komponenten sind:
Asus P8H67 R.3
Kingston 2x2Gb HyperxBlue 1333 CL9
Intel Core i3 2120
ATI HD 6850 1GB Sapphire
WD 320Gb Blue Sata 2
beQuit Pure Power 530W L7
Roccat Cova+ Maus und Logitech G105 Keyboard
Windows 7 64bit mit Sp1

es ist nichts übertaktet und das ist nie wieder passiert seit Nov 2011 wo er zusammengebaut worden ist.
Das ganz obere konnte ich leider nicht lesen da das Bild runtergescrollt ist.Die ID ist 1001 und der Fehler ist von der Kategorie 0x00...C5
Ich hatte seit 2009 wo ich Win 7 benutze nie einen BSOD und weiss nicht mal wie man damit umgeht,ich meine mit XP hatte ich die Debugging Tools und konnte somit sehen wieso das verursacht wurde.Gibt es etwas ähnliches für Win 7 das auch gut läuft? Oder kann ich die Minidump iwo hochladen für mehr Infos?Das einzige was ich gefunden habe ist dass der Fehler iwas mit korrupten Treiber zu tun hat.
Danke im Vorraus!!

 

[mae1cum77]

Gibt es auch für Win 7, siehe Mini-How-To von Simpel1970 : BlueScreen wie jetzt weiter.
MfG

EDIT: Du kannst die Dumpfiles im .zip-Format gepackt direkt im Forum hochladen, ist wie beim Bilderupload: [How To] Bilderupload im Forum - Version 2.1

 

[simpel1970]

Ich hatte seit 2009 wo ich Win 7 benutze nie einen BSOD und weiss nicht mal wie man damit umgeht,ich meine mit XP hatte ich die Debugging Tools und konnte somit sehen wieso das verursacht wurde.

Wieso sollte das mit Win7 anders laufen? Wenn du Erfahrung im Umgang mit den Debugging Tools hast, dann kannst du ja gleich mal loslegen.

 

[Blue-Hawaii]

Da der BSOD ab und an wiederkehrt wollt ich grad die Tools installieren,der Link vom anderen Thread wird redirected und ich gelange auf folgende Seite:

Download and Install Debugging Tools for Windows

Welches jetzt runterladen?Standalone oder unten Win7 Version? (verwirrt)

 

[simpel1970]

Nimm die Standalone Version. Bei der Auswahl der Komponenten (im weiteren Installationsmenü), dann nur die Debugging Tools auswählen.

In the Windows SDK installation wizard, click through a few screens, select Debugging Tools, and clear other components that you don’t want.

Die reine Win7 Version wirst du hierfür nicht brauchen. Die ist nur für bestimmte Fälle gedacht (Programmierung), die bestimmte Bibliotheksversionen benötigen.

 

[Blue-Hawaii]

Danke sehr für die Antworten,so hab die DumpDatei laufen lassen,obwohl ich zu 100% sicher war dass es an einem einzigen Treiber liegen wird weil der gleiche BSOD kommt manchmal beim Laden des Desktops auch auf dem Computer meines Bruders vor der ausser das Mobo die meisten anderen Komponenten (mit Treiber) anders sind,bin ich auf ntkrnlmp.exe gestossen...
Ich hoffe jemand kann weiterhelfen.


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
DRIVER_CORRUPTED_EXPOOL (c5)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is
caused by drivers that have corrupted the system pool. Run the driver
verifier against any new (or suspect) drivers, and if that doesn't turn up
the culprit, then use gflags to enable special pool.
Arguments:
Arg1: 0000000600000392, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff80003200617, address which referenced memory
Debugging Details:
------------------

BUGCHECK_STR: 0xC5_2
CURRENT_IRQL: 2
FAULTING_IP:
nt!ExAllocatePoolWithTag+537
fffff800`03200617 48895808 mov qword ptr [rax+8],rbx
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT
PROCESS_NAME: svchost.exe
TRAP_FRAME: fffff880093ff490 -- (.trap 0xfffff880093ff490)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=000000060000038a rbx=0000000000000000 rcx=fffffa8006928220
rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80003200617 rsp=fffff880093ff620 rbp=0000000000001000
r8=0000000000000000 r9=fffff8000325c6e0 r10=fffff8000325c588
r11=fffff800030e3cf0 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl zr na po nc
nt!ExAllocatePoolWithTag+0x537:
fffff800`03200617 48895808 mov qword ptr [rax+8],rbx ds:00000006`00000392=????????????????
Resetting default scope
LAST_CONTROL_TRANSFER: from fffff800030d4769 to fffff800030d51c0
STACK_TEXT:
fffff880`093ff348 fffff800`030d4769 : 00000000`0000000a 00000006`00000392 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx
fffff880`093ff350 fffff800`030d33e0 : fffff8a0`03d2db84 00000000`00000000 00000000`00000000 fffff800`0325c6e0 : nt!KiBugCheckDispatch+0x69
fffff880`093ff490 fffff800`03200617 : 00000002`00000000 fffffa80`06b20270 fffffa80`00040004 00000000`00000000 : nt!KiPageFault+0x260
fffff880`093ff620 fffff800`0337155f : 00000000`00000000 fffffa80`06ae94e0 fffffa80`057a1060 00000000`00000000 : nt!ExAllocatePoolWithTag+0x537
fffff880`093ff710 fffff800`0336b818 : 00000000`00881fff fffffa80`06ae94a0 fffff8a0`037f7950 fffffa80`06b20270 : nt!MiAddSecureEntry+0x18f
fffff880`093ff750 fffff800`0337252f : 00000000`00000000 fffffa80`060f1620 00000000`0036ba48 fffffa80`057a1278 : nt!MmSecureVirtualMemoryAgainstWrites+0x278
fffff880`093ff7f0 fffff800`033e0488 : 00000000`00000000 00000000`00000000 fffff880`093ffa00 00000000`00000001 : nt!AlpcpReceiveView+0x9f
fffff880`093ff880 fffff800`033ddffb : fffffa80`068f8de0 fffffa80`00020000 00000000`00339310 00000000`0036ba48 : nt!AlpcpProcessSynchronousRequest+0x5c5
fffff880`093ff9c0 fffff800`030d4453 : fffffa80`06b20270 fffff880`093ffb60 00000000`00000003 00000000`00361320 : nt!NtAlpcSendWaitReceivePort+0x1ab
fffff880`093ffa70 00000000`77cf1b6a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`01e0edf8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x77cf1b6a

STACK_COMMAND: kb
FOLLOWUP_IP:
nt!ExAllocatePoolWithTag+537
fffff800`03200617 48895808 mov qword ptr [rax+8],rbx
SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: nt!ExAllocatePoolWithTag+537
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 4fa390f3
FAILURE_BUCKET_ID: X64_0xC5_2_nt!ExAllocatePoolWithTag+537
BUCKET_ID: X64_0xC5_2_nt!ExAllocatePoolWithTag+537
Followup: MachineOwner
---------

 

[simpel1970]

Da der Fehler ja nur ein einziges Mal aufgetreten ist, würde der Aufwand für die weitere Suche den Nutzen bei weitem übersteigen.

Allerdings heist das Ergebnis nicht, dass nicht doch Treiber für den Absturz verantwortlich wäre. Gerade ein Stop 0xC5 Fehler wird regelmäßig durch Treiberprobleme ausgelöst (bei Speichermanagementproblemen würden sich noch andere Stopfehlercodes dazu gesellen).

Würde der Stop 0xC5 Fehler häufiger auftreten, wäre der Einsatz des Treiber-Verifiers (special Pool - Einstellung) angebracht.

Aber wie gesagt, ein einmaliger Bluescreen ist kein Beinbruch.

 

[Blue-Hawaii]

Jo bin ich auch der Meinung weil naja,nach 8 Monaten einsatz von der Maschine ist mir gestern zum ersten mal passiert und 2x insgesamt beim PC meines Bruders.Da beim anderen Computer treiberbezogen alle Hardware unterschiedlich ist ausser Mobo und Ram würd ich auf irgendeinen Mobo Treiber tippen (LAN USB3 oder Audio).Werd ich mal auf der Hut sein.Falls wieder Probleme macht dann benutze ich diesen Verifier.Ich könnte auch ne Stunde spedieren alle Mob Treiber upzudaten,vllt geht es dann so oder so weg,hab grad beobachtet dass es für alle Geräte neue Versionen gibt.

 

[simpel1970]

Ich könnte auch ne Stunde spedieren alle Mob Treiber upzudaten,vllt geht es dann so oder so weg,hab grad beobachtet dass es für alle Geräte neue Versionen gibt.

Die Stunde wäre gut investiert

 

[Mali762]

Falscher Threat - siehe "http://extreme.pcgameshardware.de/komplette-rechner-praxisprobleme/91294-bluescreen-wie-jetzt-weiter-18.html"

Sorry guys

 

[OctoCore]

lol... Der Thread ist hier schon richtig, schließlich gehören BSODs zu Windows wie Flöhe zum Hund.

 

[Blue-Hawaii]

Nach sovielen Monaten trotz Uptodate von Treiber und Windows noch mal was in der gleichen Art würd ich mal sagen...TFService.exe ist ein Bestandteil von Threatfire ,letztes mal stand aber svchost.exe dort :O

DRIVER_CORRUPTED_EXPOOL (c5)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is
caused by drivers that have corrupted the system pool. Run the driver
verifier against any new (or suspect) drivers, and if that doesn't turn up
the culprit, then use gflags to enable special pool.
Arguments:
Arg1: 000000060000038a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
Arg4: fffff800031bd9bc, address which referenced memory

Debugging Details:
------------------


BUGCHECK_STR: 0xC5_2

CURRENT_IRQL: 2

FAULTING_IP:
nt!ExDeferredFreePool+100
fffff800`031bd9bc 4c8b02 mov r8,qword ptr [rdx]

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT

PROCESS_NAME: TFService.exe

TRAP_FRAME: fffff88006c982d0 -- (.trap 0xfffff88006c982d0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffffa80099f6c70 rbx=0000000000000000 rcx=fffff800032186e0
rdx=000000060000038a rsi=0000000000000000 rdi=0000000000000000
rip=fffff800031bd9bc rsp=fffff88006c98460 rbp=0000000000000000
r8=000000060000038a r9=fffffa80099d1670 r10=0000000000000000
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl zr na po nc
nt!ExDeferredFreePool+0x100:
fffff800`031bd9bc 4c8b02 mov r8,qword ptr [rdx] ds:00000006`0000038a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER: from fffff80003090569 to fffff80003090fc0

STACK_TEXT:
fffff880`06c98188 fffff800`03090569 : 00000000`0000000a 00000006`0000038a 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
fffff880`06c98190 fffff800`0308f1e0 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiBugCheckDispatch+0x69
fffff880`06c982d0 fffff800`031bd9bc : 00000000`00000000 00000000`00000000 00000000`00000000 fffff800`031bc1de : nt!KiPageFault+0x260
fffff880`06c98460 fffff800`031bd1a1 : fffff800`03218740 fffffa80`08f30710 00000000`00000000 00000000`00003320 : nt!ExDeferredFreePool+0x100
fffff880`06c984f0 fffff800`0334893d : 00000000`00000000 fffff880`06c98b60 00000000`66496553 00000000`0031c7b8 : nt!ExFreePoolWithTag+0x411
fffff880`06c985a0 fffff800`033965d6 : 00000000`00313560 00000000`00020400 fffff880`06c98730 00000000`00000000 : nt!ExpGetProcessInformation+0x6c0
fffff880`06c986f0 fffff800`03397029 : 00000000`00313560 00000000`00000000 00000000`00000005 00000000`00040000 : nt!ExpQuerySystemInformation+0xfb4
fffff880`06c98aa0 fffff800`03090253 : fffffa80`08fe9710 00000000`000003cc fffff880`06c98ab8 fffffa80`0956d700 : nt!NtQuerySystemInformation+0x4d
fffff880`06c98ae0 00000000`779c167a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`046ae708 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x779c167a


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!ExDeferredFreePool+100
fffff800`031bd9bc 4c8b02 mov r8,qword ptr [rdx]

SYMBOL_STACK_INDEX: 3

SYMBOL_NAME: nt!ExDeferredFreePool+100

FOLLOWUP_NAME: Pool_corruption

IMAGE_NAME: Pool_Corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MODULE_NAME: Pool_Corruption

FAILURE_BUCKET_ID: X64_0xC5_2_nt!ExDeferredFreePool+100

BUCKET_ID: X64_0xC5_2_nt!ExDeferredFreePool+100

Followup: Pool_corruption
---------

 

[simpel1970]

PROCESS_NAME: TFService.exe

Das sagt nur aus, dass der Absturz aufgetreten ist, während TFService ausgeführt wurde. Nicht aber, dass Threadfire den Absturz verursachte. Im Stack Verlauf ist auch kein Hinweis auf ein Problem mit Threadfire.

Die Absturzursache wird (mehr oder weniger aussagekräftig) u.a. hier genannt:

IMAGE_NAME: Pool_Corruption
...
FAILURE_BUCKET_ID: X64_0xC5_2_nt!ExDeferredFreePool+100

Demnach könnten Speichermanagementprobleme, oder doch ein Treiber hierfür verantwortlich sein.
Sollte es ein Treiber sein, der im Stack-Verlauf nicht mehr ersichtlich ist, kann dieser ggf. durch den Einsatz des Treiber-Verifiers gefunden werden: Verwendung der Treiberüberprüfung zur Behandlung von Treiberproblemen in Windows (für fortgeschrittene Benutzer)
Bei den 0xC5 Stopfehlern bietet sich die spezielle Poolüberprüfung an.
Starte den Verifier über die Eingabeaufforderung (Eingabeaufforderung als Admin starten) mit dem Befehl "verifier.exe" (ohne ""). Im weiteren Menü wähle "Custom Settings" -> "Select individual settings from a full list" -> "Special Pool" aus.

Du wirst nach Aktivierung des Treiber Verifiers sehr wahrscheinlich häufig Bluescreens erhalten. Sammle die Minidumps, die ab diesem Zeitpunkt angelegt werden und lade sie hier hoch.

Wenn du genug von dem Verifier hast, musst du ihn manuell wieder deaktivieren (zur Not im abgesicherten Modus, falls du nicht mehr normal starten kannst). Dies erfolgt ebenfalls weider über die Eingabeaufforderung mit "verifier.exe /reset" (ohne "").