Bluescreens, Windows 7

[simpel1970]

Hier sind die (Grund-) Auswertungen:

Spoiler

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D5, {fffff98005a34df0, 0, fffff88004ff61aa, 0}

Unable to load image \SystemRoot\system32\DRIVERS\usbfilter.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for usbfilter.sys
*** ERROR: Module load completed but symbols could not be loaded for usbfilter.sys

Could not read faulting driver name
Probably caused by : usbfilter.sys ( usbfilter+41aa )

Followup: MachineOwner
---------

3: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

DRIVER_PAGE_FAULT_IN_FREED_SPECIAL_POOL (d5)
Memory was referenced after it was freed.
This cannot be protected by try-except.
When possible, the guilty driver's name (Unicode string) is printed on
the bugcheck screen and saved in KiBugCheckDriver.
Arguments:
Arg1: fffff98005a34df0, memory referenced
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation
Arg3: fffff88004ff61aa, if non-zero, the address which referenced memory.
Arg4: 0000000000000000, (reserved)

Debugging Details:
------------------


Could not read faulting driver name

READ_ADDRESS: GetPointerFromAddress: unable to read from fffff80002b0d0e0
fffff98005a34df0

FAULTING_IP:
usbfilter+41aa
fffff880`04ff61aa 8b4230 mov eax,dword ptr [rdx+30h]

MM_INTERNAL_CODE: 0

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VERIFIER_ENABLED_VISTA_MINIDUMP

BUGCHECK_STR: 0xD5

PROCESS_NAME: System

CURRENT_IRQL: 0

TRAP_FRAME: fffff88002fb6280 -- (.trap 0xfffff88002fb6280)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=0000000000000000 rbx=0000000000000000 rcx=fffff88002fb6478
rdx=fffff98005a34dc0 rsi=0000000000000000 rdi=0000000000000000
rip=fffff88004ff61aa rsp=fffff88002fb6410 rbp=0000000000000002
r8=0000000000000000 r9=fffff88004ff61a5 r10=0000000000000000
r11=fffff88002dd5180 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na pe nc
usbfilter+0x41aa:
fffff880`04ff61aa 8b4230 mov eax,dword ptr [rdx+30h] ds:5180:fffff980`05a34df0=????????
Resetting default scope

LAST_CONTROL_TRANSFER: from fffff800029561e4 to fffff800028d6f00

STACK_TEXT:
fffff880`02fb6118 fffff800`029561e4 : 00000000`00000050 fffff980`05a34df0 00000000`00000000 fffff880`02fb6280 : nt!KeBugCheckEx
fffff880`02fb6120 fffff800`028d4fee : 00000000`00000000 fffff980`08a80d30 fffffa80`08dce500 fffff800`02909b0f : nt! ?? ::FNODOBFM::`string'+0x42907
fffff880`02fb6280 fffff880`04ff61aa : fffff880`02fb6478 00000000`00000000 fffff980`08a80d30 fffffa80`089d9270 : nt!KiPageFault+0x16e
fffff880`02fb6410 fffff880`02fb6478 : 00000000`00000000 fffff980`08a80d30 fffffa80`089d9270 00000000`00000000 : usbfilter+0x41aa
fffff880`02fb6418 00000000`00000000 : fffff980`08a80d30 fffffa80`089d9270 00000000`00000000 fffff880`02fb6478 : 0xfffff880`02fb6478


STACK_COMMAND: kb

FOLLOWUP_IP:
usbfilter+41aa
fffff880`04ff61aa 8b4230 mov eax,dword ptr [rdx+30h]

SYMBOL_STACK_INDEX: 3

SYMBOL_NAME: usbfilter+41aa

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: usbfilter

IMAGE_NAME: usbfilter.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4b3082ae

FAILURE_BUCKET_ID: X64_0xD5_VRF_usbfilter+41aa

BUCKET_ID: X64_0xD5_VRF_usbfilter+41aa

Followup: MachineOwner
---------

3: kd> lmvm usbfilter
start end module name
fffff880`04ff2000 fffff880`04fff000 usbfilter T (no symbols)
Loaded symbol image file: usbfilter.sys
Image path: \SystemRoot\system32\DRIVERS\usbfilter.sys
Image name: usbfilter.sys
Timestamp: Tue Dec 22 09:26:22 2009 (4B3082AE)
CheckSum: 0000DFD8
ImageSize: 0000D000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4


-------------------

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1A, {411, fffff680000171e0, 67100001ca344864, fffff680010171e1}

Probably caused by : ntkrnlmp.exe ( nt! ?? ::FNODOBFM::`string'+6061 )

Followup: MachineOwner
---------

3: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

MEMORY_MANAGEMENT (1a)
# Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000000411, The subtype of the bugcheck.
Arg2: fffff680000171e0
Arg3: 67100001ca344864
Arg4: fffff680010171e1

Debugging Details:
------------------


BUGCHECK_STR: 0x1a_411

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

PROCESS_NAME: avguard.exe

CURRENT_IRQL: 2

LAST_CONTROL_TRANSFER: from fffff80002a6896d to fffff80002a8bc40

STACK_TEXT:
fffff880`0ad488c8 fffff800`02a6896d : 00000000`0000001a 00000000`00000411 fffff680`000171e0 67100001`ca344864 : nt!KeBugCheckEx
fffff880`0ad488d0 fffff800`02abd001 : 00000000`00000000 fffff680`000171e0 0000007f`fffffff8 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x6061
fffff880`0ad48920 fffff800`02aa97ef : 00000000`00000000 00000000`00000000 fffff680`00017b08 fffffa80`08b80ec8 : nt!MiResolveTransitionFault+0x381
fffff880`0ad489b0 fffff800`02a98f19 : 00000000`00000000 ffffffff`ffffffff fffff800`02c01e80 fffffa80`00000000 : nt!MiDispatchFault+0x95f
fffff880`0ad48ac0 fffff800`02a89d6e : 00000000`00000008 00000000`02e3c5ba 00000000`066ff101 00000000`06a23ff0 : nt!MmAccessFault+0x359
fffff880`0ad48c20 00000000`02e3c5ba : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
00000000`0857f654 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x2e3c5ba


STACK_COMMAND: kb

FOLLOWUP_IP:
nt! ?? ::FNODOBFM::`string'+6061
fffff800`02a6896d cc int 3

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: nt! ?? ::FNODOBFM::`string'+6061

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 4e02aaa3

FAILURE_BUCKET_ID: X64_0x1a_411_nt!_??_::FNODOBFM::_string_+6061

BUCKET_ID: X64_0x1a_411_nt!_??_::FNODOBFM::_string_+6061

Followup: MachineOwner
---------


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1A, {411, fffff68000011be8, e770000084f44886, fffff68001011be9}

Probably caused by : ntkrnlmp.exe ( nt! ?? ::FNODOBFM::`string'+6061 )

Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

MEMORY_MANAGEMENT (1a)
# Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000000411, The subtype of the bugcheck.
Arg2: fffff68000011be8
Arg3: e770000084f44886
Arg4: fffff68001011be9

Debugging Details:
------------------


BUGCHECK_STR: 0x1a_411

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

PROCESS_NAME: svchost.exe

CURRENT_IRQL: 2

LAST_CONTROL_TRANSFER: from fffff80002a5c96d to fffff80002a7fc40

STACK_TEXT:
fffff880`0c5078c8 fffff800`02a5c96d : 00000000`0000001a 00000000`00000411 fffff680`00011be8 e7700000`84f44886 : nt!KeBugCheckEx
fffff880`0c5078d0 fffff800`02ab1001 : 00000000`00000000 fffff680`00011be8 0000007f`fffffff8 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x6061
fffff880`0c507920 fffff800`02a9d7ef : 00000000`00000000 00000000`00000000 fffff683`ff7498f8 fffffa80`06c133f8 : nt!MiResolveTransitionFault+0x381
fffff880`0c5079b0 fffff800`02a8cf19 : 00000000`00000000 ffffffff`ffffffff fffff700`01080000 00000000`00000000 : nt!MiDispatchFault+0x95f
fffff880`0c507ac0 fffff800`02a7dd6e : 00000000`00000000 00000000`0237d694 00000000`02d24701 00000000`02266c30 : nt!MmAccessFault+0x359
fffff880`0c507c20 000007fe`e93e56a0 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
00000000`0380d6f0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7fe`e93e56a0


STACK_COMMAND: kb

FOLLOWUP_IP:
nt! ?? ::FNODOBFM::`string'+6061
fffff800`02a5c96d cc int 3

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: nt! ?? ::FNODOBFM::`string'+6061

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 4e02aaa3

FAILURE_BUCKET_ID: X64_0x1a_411_nt!_??_::FNODOBFM::_string_+6061

BUCKET_ID: X64_0x1a_411_nt!_??_::FNODOBFM::_string_+6061

Followup: MachineOwner
---------

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 24, {1904fb, fffff8800ca4a7b8, fffff8800ca4a010, fffff80002acc8ae}

Probably caused by : Ntfs.sys ( Ntfs!TxfCheckPathComponent+89 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

NTFS_FILE_SYSTEM (24)
If you see NtfsExceptionFilter on the stack then the 2nd and 3rd
parameters are the exception record and context record. Do a .cxr
on the 3rd parameter and then kb to obtain a more informative stack
trace.
Arguments:
Arg1: 00000000001904fb
Arg2: fffff8800ca4a7b8
Arg3: fffff8800ca4a010
Arg4: fffff80002acc8ae

Debugging Details:
------------------


EXCEPTION_RECORD: fffff8800ca4a7b8 -- (.exr 0xfffff8800ca4a7b8)
ExceptionAddress: fffff80002acc8ae (nt!ExAcquireResourceSharedLite+0x000000000000004e)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 0000000000000001
Parameter[1]: 0000000000000060
Attempt to write to address 0000000000000060

CONTEXT: fffff8800ca4a010 -- (.cxr 0xfffff8800ca4a010)
rax=fffff8a007726ab0 rbx=0000000000000000 rcx=0000000000000000
rdx=fffff88003a27401 rsi=0000000000000000 rdi=fffff80002c3be80
rip=fffff80002acc8ae rsp=fffff8800ca4a9f0 rbp=0000000000000000
r8=fffff8a00014fbc0 r9=fffff8800ca4abf8 r10=0000000000000000
r11=fffff8800ca4ac40 r12=fffffa800947db60 r13=0000000000000001
r14=0000000000000001 r15=fffff8800ca4ad48
iopl=0 nv up di pl zr na po nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00010046
nt!ExAcquireResourceSharedLite+0x4e:
fffff800`02acc8ae f0480fba696000 lock bts qword ptr [rcx+60h],0 ds:002b:00000000`00000060=????????????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

PROCESS_NAME: Skype.exe

CURRENT_IRQL: 0

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden.

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden.

EXCEPTION_PARAMETER1: 0000000000000001

EXCEPTION_PARAMETER2: 0000000000000060

WRITE_ADDRESS: GetPointerFromAddress: unable to read from fffff80002cf8100
0000000000000060

FOLLOWUP_IP:
Ntfs!TxfCheckPathComponent+89
fffff880`01363429 44886c2455 mov byte ptr [rsp+55h],r13b

FAULTING_IP:
nt!ExAcquireResourceSharedLite+4e
fffff800`02acc8ae f0480fba696000 lock bts qword ptr [rcx+60h],0

BUGCHECK_STR: 0x24

DEFAULT_BUCKET_ID: NULL_CLASS_PTR_DEREFERENCE

LAST_CONTROL_TRANSFER: from fffff88001363429 to fffff80002acc8ae

STACK_TEXT:
fffff880`0ca4a9f0 fffff880`01363429 : 00000000`00000001 00000000`00000000 fffffa80`0af16c10 fffff8a0`13905870 : nt!ExAcquireResourceSharedLite+0x4e
fffff880`0ca4aa60 fffff880`012df81d : fffffa80`0ab83e40 fffffa80`0ab83e40 fffff8a0`0014fbc0 fffff880`0ca4abf8 : Ntfs!TxfCheckPathComponent+0x89
fffff880`0ca4ab50 fffff880`01247a3d : fffffa80`0ab83e40 fffffa80`0af16c10 fffff880`03a274a0 00000000`00000000 : Ntfs!NtfsCommonCreate+0x12ed
fffff880`0ca4ad30 fffff800`02abd757 : fffff880`03a27410 00000000`00000000 00000000`00000000 00000000`0012eff0 : Ntfs!NtfsCommonCreateCallout+0x1d
fffff880`0ca4ad60 fffff800`02abd711 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KxSwitchKernelStackCallout+0x27
fffff880`03a272e0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSwitchKernelStackContinue


SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: Ntfs!TxfCheckPathComponent+89

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: Ntfs

IMAGE_NAME: Ntfs.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4ce792f9

STACK_COMMAND: .cxr 0xfffff8800ca4a010 ; kb

FAILURE_BUCKET_ID: X64_0x24_Ntfs!TxfCheckPathComponent+89

BUCKET_ID: X64_0x24_Ntfs!TxfCheckPathComponent+89

Followup: MachineOwner
---------



*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck A, {fffffa803086ccd8, 2, 1, fffff80002ab7f90}

Probably caused by : memory_corruption ( nt!MiReplenishPageSlist+150 )

Followup: MachineOwner
---------

2: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: fffffa803086ccd8, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff80002ab7f90, address which referenced memory

Debugging Details:
------------------


WRITE_ADDRESS: GetPointerFromAddress: unable to read from fffff80002cc4100
fffffa803086ccd8

CURRENT_IRQL: 2

FAULTING_IP:
nt!MiReplenishPageSlist+150
fffff800`02ab7f90 48897308 mov qword ptr [rbx+8],rsi

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

BUGCHECK_STR: 0xA

PROCESS_NAME: WerFault.exe

TRAP_FRAME: fffff88008ce77a0 -- (.trap 0xfffff88008ce77a0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=000000000102ceef rbx=0000000000000000 rcx=0000058000000000
rdx=0000000000000047 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80002ab7f90 rsp=fffff88008ce7930 rbp=fffffa800086fcd0
r8=fffff80002cc74c0 r9=fffffa8006900000 r10=fffffa8006902578
r11=fffff88002f64180 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na po nc
nt!MiReplenishPageSlist+0x150:
fffff800`02ab7f90 48897308 mov qword ptr [rbx+8],rsi ds:0460:00000000`00000008=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER: from fffff80002a911e9 to fffff80002a91c40

STACK_TEXT:
fffff880`08ce7658 fffff800`02a911e9 : 00000000`0000000a fffffa80`3086ccd8 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx
fffff880`08ce7660 fffff800`02a8fe60 : 00000000`000007f7 fffff700`01080488 fffffa80`070d4ec8 fffffa80`3086ccd0 : nt!KiBugCheckDispatch+0x69
fffff880`08ce77a0 fffff800`02ab7f90 : fffffa80`070d4b30 fffffa80`070e8710 00000000`00e30000 fffff800`02aba7d6 : nt!KiPageFault+0x260
fffff880`08ce7930 fffff800`02ab66bf : fffffa80`06902558 00000000`000000ef fffffa80`00887cd0 00000000`000000ef : nt!MiReplenishPageSlist+0x150
fffff880`08ce79a0 fffff800`02a9fde4 : 00000000`00000000 00000000`00000002 00000000`00000000 ffffffff`ffffffff : nt!MiRemoveAnyPage+0x24f
fffff880`08ce7ac0 fffff800`02a8fd6e : 00000000`00000001 00000000`00e99000 fffffa80`06d16b01 00000000`00000000 : nt!MmAccessFault+0x1224
fffff880`08ce7c20 00000000`772ff5a3 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
00000000`001b909c 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x772ff5a3


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!MiReplenishPageSlist+150
fffff800`02ab7f90 48897308 mov qword ptr [rbx+8],rsi

SYMBOL_STACK_INDEX: 3

SYMBOL_NAME: nt!MiReplenishPageSlist+150

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

DEBUG_FLR_IMAGE_TIMESTAMP: 4e02aaa3

IMAGE_NAME: memory_corruption

FAILURE_BUCKET_ID: X64_0xA_nt!MiReplenishPageSlist+150

BUCKET_ID: X64_0xA_nt!MiReplenishPageSlist+150

Followup: MachineOwner
---------

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 50, {fffff8a00b365c24, 1, fffff8800120cd1f, 2}


Could not read faulting driver name
Probably caused by : Ntfs.sys ( Ntfs!NtfsRemoveClose+a3 )

Followup: MachineOwner
---------

2: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffff8a00b365c24, memory referenced.
Arg2: 0000000000000001, value 0 = read operation, 1 = write operation.
Arg3: fffff8800120cd1f, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000002, (reserved)

Debugging Details:
------------------


Could not read faulting driver name

WRITE_ADDRESS: GetPointerFromAddress: unable to read from fffff80002cba100
fffff8a00b365c24

FAULTING_IP:
Ntfs!NtfsRemoveClose+a3
fffff880`0120cd1f f08380e4000000ff lock add dword ptr [rax+0E4h],0FFFFFFFFh

MM_INTERNAL_CODE: 2

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

BUGCHECK_STR: 0x50

PROCESS_NAME: System

CURRENT_IRQL: 0

TRAP_FRAME: fffff88003185a20 -- (.trap 0xfffff88003185a20)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff8a00b365b40 rbx=0000000000000000 rcx=fffff88001262220
rdx=fffff88001262220 rsi=0000000000000000 rdi=0000000000000000
rip=fffff8800120cd1f rsp=fffff88003185bb0 rbp=fffff80002c28260
r8=00000000ffffffff r9=0000000000000727 r10=fffff88001260700
r11=fffff8a003365c70 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na pe nc
Ntfs!NtfsRemoveClose+0xa3:
fffff880`0120cd1f f08380e4000000ff lock add dword ptr [rax+0E4h],0FFFFFFFFh ds:0100:fffff8a0`0b365c24=????????
Resetting default scope

LAST_CONTROL_TRANSFER: from fffff80002a323f0 to fffff80002a87c40

STACK_TEXT:
fffff880`031858b8 fffff800`02a323f0 : 00000000`00000050 fffff8a0`0b365c24 00000000`00000001 fffff880`03185a20 : nt!KeBugCheckEx
fffff880`031858c0 fffff800`02a85d6e : 00000000`00000001 fffff8a0`0b365c24 fffffa80`06c26b00 fffffa80`09dcfa40 : nt! ?? ::FNODOBFM::`string'+0x447c6
fffff880`03185a20 fffff880`0120cd1f : 00000000`00000000 fffff880`01262000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
fffff880`03185bb0 fffff880`0129124e : fffffa80`06c26b10 00000000`00000000 fffff8a0`03365010 fffffa80`07e8c180 : Ntfs!NtfsRemoveClose+0xa3
fffff880`03185be0 fffff800`02a92001 : 00000000`00000000 fffff800`02c28200 fffffa80`06b20b00 00000000`00000005 : Ntfs!NtfsFspClose+0x56
fffff880`03185cb0 fffff800`02d22fee : 00000000`00000000 fffffa80`06b20b60 00000000`00000080 fffffa80`06a0b040 : nt!ExpWorkerThread+0x111
fffff880`03185d40 fffff800`02a795e6 : fffff880`02f64180 fffffa80`06b20b60 fffff880`02f6efc0 00000000`00000000 : nt!PspSystemThreadStartup+0x5a
fffff880`03185d80 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KxStartSystemThread+0x16


STACK_COMMAND: kb

FOLLOWUP_IP:
Ntfs!NtfsRemoveClose+a3
fffff880`0120cd1f f08380e4000000ff lock add dword ptr [rax+0E4h],0FFFFFFFFh

SYMBOL_STACK_INDEX: 3

SYMBOL_NAME: Ntfs!NtfsRemoveClose+a3

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: Ntfs

IMAGE_NAME: Ntfs.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4ce792f9

FAILURE_BUCKET_ID: X64_0x50_Ntfs!NtfsRemoveClose+a3

BUCKET_ID: X64_0x50_Ntfs!NtfsRemoveClose+a3

Followup: MachineOwner
---------

Es liegt danach ein Problem mit dem Speichermanagement vor. Speicher im engeren Sinne kann insbes. RAM, VRAM, CPU-Cache oder Festplatte sein. Im weiteren Sinne könnten auch weitere Komponenten wie z.B. das Motherboard, oder NT als Fehlerursache in Frage kommen.

Was auffällt, ist dass der erste Stop 0xD5 Bluescreen eigentlich vom Tool Driver-Verifier ausgelöst wird (Einstellung "Special Pool Option"). Da der Driver-Verifier -einmal aktiviert- ständig aktiviert bleibt, solltest du dieses Tool erst mal deaktivieren -> Eingabeaufforderung als Admin starten und "verifier.exe /reset" (ohne "") eingeben. Nach dem nächsten Neustart ist der Verifier deaktiviert

Da häufg ein NTFS Fehler zu erkennen ist, könnte ein fehlerhaftes Dateisystem als Ursache in Frage kommen.
Lasse das Tool Checkdisk über die Festplatte laufen -> Eingabeaufforderung als Admin starten und "chkdsk /f /r" (ohne "") eingeben. Für die Überprüfung wirst du aufgefordert den PC neu zu starten.

Hilft das nicht, probiere es mit der Spannungserhöhung der RAM.

 

[Fori]

Heyho Simpel,

vielen Dank für die Auswertung.

Zum Verifier: Ich hatte irgendwo gelesen, dass man schauen kann, ob man Treiberfehler reproduzieren kann.

Da bei der ersten Formatierung Treiberprobleme auftraten und ich den Rechner durch den Verifier zum Bluescreen treiben konnte habe ich formatiert. Danach (aktuelles OS) hatte ich den Verifier wieder angemacht um zu sehen, ob ein Treiber wieder verursachend ist. Danach habe ich den betroffenen Treiber runtergeschmissen, deshalb der erste BS durch Verifier. Das andere wird heute / morgen noch gemacht, denke ich.

LG,

Fori

 

[simpel1970]

Hi Fori, den Veriefier musst du aber -nach "gebrauch"- manuell wieder deaktivieren.

 

[Fori]

Ich glaube das hatte ich gemacht.

Komisch ist übrigens, dass das zweite "identische" System MIT dem Treiber reibungslos funktioniert. Könnte das eventuell ein Hinweis sein, dass irgnwo irgnwas kaputt ist? Welcher Treiber das war steht ja im BugReport

 

[simpel1970]

Ich denke nicht, dass der Treiber fehlerhaft war, bzw. ist. Aufgrund der vorliegenden Speichermanagementprobleme werden regelmäßig alle möglichen (System-) Treiber als "Schuldige" ausgespuckt.
Auch der Verifier, der ja fehlerhafte Treiber aufdecken soll, scheitert an der Tatsache, dass das System ein grundlegendes (möglicherweise hardwarebedingtes) Problem hat.

In den Auswertungen kannst du sehen, dass verschiedene Treiber als Absturzursache genannt werden (IMAGE_NAME: Ntfs.sys, ntkrnlmp.exe, usbfilter.sys). Würdest du kommende Bluescreens auswerten, würden sich vermutlich noch andere Systemtreiber dazu gesellen. Dies ist ein typisches Anzeichen bei Problemen mit dem Speichermanagement. Eindeutig zu sehen ist aber, dass dabei immer Speicherzugriffsfehler bzw. -verletzungen auftreten (PageFault, MmAccessFault, c0000005 (Access violation)). Dies untermauert den Verdacht.

Das Problem dabei wiederrum ist, dass weder der Debugger noch der Verifier in der Lage sind hardwarebedingte Fehler, bzw. die Fehlerquelle (Komponente) zu identifizieren (dafür sind sich schlichtweg auch nicht gedacht). Damit nicht genug, sind nicht selten selbst softwarebedingte Ursachen für derartige Probleme verantwortlich (Viren- Firewallsoftware, System"optimierungs"tools, Systemtools, etc), nach den Auswertungen hätte auch z.B. ein veralteter Chipsatztreiber urächlich sein können. Bei der Gelegenheit, kannst du auch mal die genannte Software aufzählen, die auf dem Rechner installiert ist.

Ein Vorteil ist jedoch, dass du das gleiche System hast und somit funktionierende Komponenten austauschen könntest (habe dir ja Anfangs genannt, welche Komponenten insbes. für Speichermanagementprobleme verantwortlich sein können (RAM, VRAM, CPU-Cache, Festplatte und i.w.S. auch das Motherboard oder NT).

Hast du die Chkdsk-Prüfung schon laufen lassen?

 

[Fori]

Wollte mich mal wieder melden. Bisher gabs keine Probleme mehr. Verifier wurde resettet.

 

[simpel1970]

Prima

Dann lag es hoffentlich "nur" am aktiven Verifier, der dem System zu arg auf "die Nerven" ging.

 

[Fori]

Heyho, ja, das ist zu hoffen

 

[Fori]

Hallo Leute!

Leider war das ganze doch nicht überstanden.

Hier und da traten vereinzelt Bluescreens auf, die ärgerlich aber verschmerzbar waren. Nun erreicht das ganze an manchen Tagen aber solche Spitzen, dass es wirklich nicht mehr zu aushalten ist. Das mysteriöse hierbei: Den einen Tag alle 10 Minuten ein Bluescreen und am nächsten morgen ist plötzlich gar nichts mehr.

Hier nochmal alles, was bisher versucht wurde:

- Rams ein und ausgebaut, abgepustet
- Steckverbindungen der Grafikkarte geprüft
- Memtest laufen lassen (3 Durchläufe, keine Fehler)
- Verifier ausgestellt
- chkdsk ausgeführt

Was noch nicht probiert wurde:

- Ram Taktungen manuell einstellen (Habe ich mich noch nicht ran getraut, da bei diesem System hier alles problemlos mit "auto" funktioniert, wird aber am 2. Januar ausprobiert - Wenn das dann wirklich hilft, ärger und freu ich mich zugleich, da der Vorschlag von Simpel schon vor 3 Monaten kam)
- Hardware austauschen (Da, wie im Thread vorher geschrieben, die Rechner 300 Km entfernt sind und es dadurch etwas erschwert wird)

Anbei habe ich noch gesammelte MiniDumps der letzten 7 Tage. (Mit einer Spitze vom 24. Dez)
Vielleicht kristallisiert sich aus der Menge der Meldungen ja doch noch das kaputte Teil heraus.

Ich danke schonmal für Eure Mithilfe.


LG,

Fori

 

[simpel1970]

Hi, baue die RAM testweise einzeln ein (jeden Riegel einzeln testen), ob die Abstürze dann bleiben.
Die Minidumps habe ich stichprobenhaft ausgewertet, ohne einen Hinweis auf einen fehlerhaften Treiber (-> Hardwareprobleme wären nicht ausgeschlossen).

 

[Fori]

Hey Simpel!

Ich hab die Ram Timings geändert und jetzt treten nur noch 1-2 BS bei (fast) jedem Startup auf, DANACH also im Betrieb, aber nicht mehr. Die Stopfehler sind 0x0a, 0x1a, 0x50, 0x4e

Die Spannung habe ich vorerst auf AUTO gelassen.

Trotzdem eine interessante Entwicklung, oder? Und sie spricht für die Rams, oder?


LG,

Fori

 

[simpel1970]

Dann würde ich als nächstes die Spannung manuell einstellen. fange bei 1,50V an und gehe schrittweise bis max. 1,65V hoch.

Poste bitte noch einen Screenshot von CPU-Z (Reiter Memory) um die aktuell eingestellten Timings zu sehen.

...Ich hab die Ram Timings geändert und jetzt treten nur noch 1-2 BS bei (fast) jedem Startup auf,

Also auch bei Neustart, oder nur beim ersten Hochfahren (wenn der PC länger aus war)?

 

[Fori]

Das werde ich noch mal in Erfahrung bringen!

Bis ich die Spannung hochdrehen kann, dauerts wohl bis zum 27.1.

LG,

Fori

 

[simpel1970]

Ich habe keine Eile. Es ist dein Thread, du gibst das Tempo vor

LG
simpel