Jump to content

Debug von explorer.exe Crash


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich bin seit Tagen nur damit beschäftigt ein Problem auf einem neu installierten WinXP SP2 in den Griff zu bekommen. Ich hätte mich bisher als Profi bezeichnet, bin mir da aber mittlerweile nicht mehr ganz so sicher. Nach einiger Zeit Benutzung des Windows Explorers stürzt die explorer.exe ab. Da bereits einige Programme installiert wurden, gehe ich nicht davon aus, dass ein MS-File das Problem verursacht. Ich hab ne Menge recherchiert und gelesen, hab Dr Watson entsprechend konfiguriert und viel in WinDbg versucht. Auch 3,5 Std memtest86+ (0 Fehler) haben mich nicht weiter gebracht, auch der verifier nicht. Nachdem das Problem zwar irgendwann wieder auftritt, aber schlecht zu reproduzieren ist, kann ich die Ursache schlecht durch trial & error rausfinden. Daher meine Bitte hier um Hilfe, ob es mit Hilfe der Watson-Dumps möglich ist, die Ursache eindeutig zu identifizieren. Die Einträge im Eventlog habe ich unten angehängt, genauso die ersten Ergebnisse aus WinDbg. Ich habe den Verdacht, dass es mit dem Sony Ericsson File Manager zu tun haben könnte, zu dem gehört auch diese Datei:

 

*** WARNING: Unable to verify checksum for tlib_log.dll

*** ERROR: Symbol file could not be found. Defaulted to export symbols for tlib_log.dll -

 

Warum bringt WinDbg diese Meldungen, wenn die Datei sonst nirgendwo auftaucht?

 

Danke schonmal an alle die mir helfen könnten!

 

 

Ereignistyp: Fehler

Ereignisquelle: Application Error

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 02.12.2007

Zeit: 01:19:27

Benutzer: Nicht zutreffend

Beschreibung:

Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul ntdll.dll, Version 5.1.2600.2180, Fehleradresse 0x000106c3.

 

 

Ereignistyp: Informationen

Ereignisquelle: Winlogon

Ereigniskategorie: Keine

Ereigniskennung: 1002

Datum: 02.12.2007

Zeit: 01:19:48

Benutzer: Nicht zutreffend

Beschreibung:

Die Shell wurde unerwartet beendet und Explorer.exe wurde neu gestartet.

 

 

Ereignistyp: Fehler

Ereignisquelle: Application Error

Ereigniskategorie: Keine

Ereigniskennung: 1001

Datum: 02.12.2007

Zeit: 01:21:20

Benutzer: Nicht zutreffend

Beschreibung:

Fehlerhafter Speicherbereich 479239571.

 

 

Microsoft ® Windows Debugger Version 6.8.0004.0 X86

 

User Mini Dump File with Full Memory: Only application data is available

 

Comment: 'Dr. Watson generated MiniDump'

Symbol search path is: SRV*c:\symbols*Symbol information

Executable search path is:

Windows XP Version 2600 (Service Pack 2) UP Free x86 compatible

Product: WinNt, suite: SingleUserTS Personal

Debug session time: Sun Dec 2 01:19:28.000 2007 (GMT+1)

System Uptime: 0 days 0:50:59.262

Process Uptime: 0 days 0:50:13.000

..........................................................................................................................................

Loading unloaded module list

................

This dump file has an exception of interest stored in it.

The stored exception information can be accessed via .ecxr.

(100.694): Access violation - code c0000005 (first/second chance not available)

eax=7e6e7c08 ebx=00090000 ecx=000000b0 edx=e9ec000e esi=7e6e7c00 edi=7e6e7bf8

eip=7c9206c3 esp=0295fac0 ebp=0295fce0 iopl=0 nv up ei pl nz na po nc

cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000202

ntdll!RtlAllocateHeap+0x1da:

7c9206c3 884706 mov byte ptr [edi+6],al ds:0023:7e6e7bfe=90

Link zu diesem Kommentar

Fortsetzung:

 

0:012> !analyze -v

*******************************************************************************

* *

* Exception Analysis *

* *

*******************************************************************************

 

*** WARNING: Unable to verify checksum for tlib_log.dll

*** ERROR: Symbol file could not be found. Defaulted to export symbols for tlib_log.dll -

*************************************************************************

 

 

*** Your debugger is not using the correct symbols

 

*** In order for this command to work properly, your symbol path

*** must point to .pdb files that have full type information.

 

*** Certain .pdb files (such as the public OS symbols) do not

*** contain the required information. Contact the group that

*** provided you with these symbols if you need this command to

*** work.

*** Type referenced: kernel32!pNlsUserInfo

 

*************************************************************************

 

FAULTING_IP:

ntdll!RtlAllocateHeap+1da

7c9206c3 884706 mov byte ptr [edi+6],al

 

EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)

ExceptionAddress: 7c9206c3 (ntdll!RtlAllocateHeap+0x000001da)

ExceptionCode: c0000005 (Access violation)

ExceptionFlags: 00000000

NumberParameters: 2

Parameter[0]: 00000001

Parameter[1]: 7e6e7bfe

Attempt to write to address 7e6e7bfe

 

DEFAULT_BUCKET_ID: HEAP_CORRUPTION

 

PROCESS_NAME: explorer.exe

 

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

 

WRITE_ADDRESS: 7e6e7bfe

 

NTGLOBALFLAG: 0

 

APPLICATION_VERIFIER_FLAGS: 0

 

LAST_CONTROL_TRANSFER: from 7c8099df to 7c9206c3

 

STACK_TEXT:

0295fce0 7c8099df 00090000 00140008 000000b0 ntdll!RtlAllocateHeap+0x1da

0295fd2c 7e69a332 00000040 000000b0 0295fe68 kernel32!LocalAlloc+0x58

0295fd3c 7e6e6fae 000000b0 000e7e00 000e7e08 shell32!operator new+0x10

0295fe68 7e6a2275 000e7e00 01df8050 00147030 shell32!CExtendedColumnTask::RunInitRT+0x42

0295fe84 75f21b9a 000e7e00 75f21b18 75f20000 shell32!CRunnableTask::Run+0x54

0295fee0 77f49548 0018ea10 01df3b10 77f4952b browseui!CShellTaskScheduler_ThreadProc+0x111

0295fef8 7c937545 01df3b10 7c98c3a0 000efef8 shlwapi!ExecuteWorkItem+0x1d

0295ff40 7c937583 77f4952b 01df3b10 00000000 ntdll!RtlpWorkerCallout+0x70

0295ff60 7c937645 00000000 01df3b10 000efef8 ntdll!RtlpExecuteWorkerRequest+0x1a

0295ff74 7c93761c 7c937569 00000000 01df3b10 ntdll!RtlpApcCallout+0x11

0295ffb4 7c80b683 00000000 0114f588 0114f588 ntdll!RtlpWorkerThread+0x87

0295ffec 00000000 7c920760 00000000 00000000 kernel32!BaseThreadStart+0x37

 

ADDITIONAL_DEBUG_TEXT: Enable Pageheap/AutoVerifer

 

FAULTING_THREAD: 000000e4

 

PRIMARY_PROBLEM_CLASS: HEAP_CORRUPTION

 

BUGCHECK_STR: APPLICATION_FAULT_HEAP_CORRUPTION

 

SYMBOL_NAME: heap_corruption!heap_corruption

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: heap_corruption

 

IMAGE_NAME: heap_corruption

 

DEBUG_FLR_IMAGE_TIMESTAMP: 0

 

STACK_COMMAND: ~12s; .ecxr ; kb

 

FAILURE_BUCKET_ID: heap_corruption!heap_corruption_c0000005_HEAP_CORRUPTION

 

BUCKET_ID: APPLICATION_FAULT_HEAP_CORRUPTION_heap_corruption!heap_corruption

 

Followup: MachineOwner

Link zu diesem Kommentar

Hi!

 

 

Danke für den Link. Ich hatte ihn sogar schon auf meinem Desktop, nur noch nicht gelesen. Das Notebook an dem der Fehler bei mir auftritt hat kein AMD sondern nen Intel Celeron M. Nachdem ich der Ursache auf den Grund gehen wollte, hab ich erstmal keinen der Tipps ausprobiert.

 

Mittlerweile konnte ich der möglichen Ursache etwas näher kommen. Hier hab ich die Lösung gefunden: Ask the Performance Team : What a Heap of ... (Part Two)

 

Mit diesem Befehl kam ich der HEAP_CORRUPTION näher:

 

gflags -p /enable explorer.exe

 

 

JFTR: Damit deaktiviert man das Monitoring wieder, wenn man mit der Bugsuche fertig ist:

gflags -p /disable explorer.exe

 

To list all programs that have Pageheap verification enabled: gflags -p

 

 

Ich konnte mein Glück kaum fassen, als der Fehler diesmal auftrat, sah das dann schon viel besser aus:

 

Ereignistyp: Fehler

Ereignisquelle: Application Error

Ereigniskategorie: Keine

Ereigniskennung: 1000

Datum: 04.12.2007

Zeit: 01:28:02

Benutzer: Nicht zutreffend

Computer: N1STWE

Beschreibung:

Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.3156, fehlgeschlagenes Modul boost_log-vc71-mt-1_33.dll, Version 0.0.0.0, Fehleradresse 0x000049dd.

 

Beide Dateien die im Watson-Dump an der Fehlerstelle enthalten sind, gehören zur Sony Ericsson Software. Leider konnte ich den Fehler bis heute nicht mehr produzieren, obwohl ich nix verändert hab, ist er wie weggezaubert. Falls als jemand ne Idee hat, wie ich ihn reproduzieren kann, bitte her damit.

 

Schon in den ersten dump-files stand sogar drin wies weitergeht, wenn ich das mal mehr beachtet hätte, hätte mir das sehr viele Stunden erspart:

 

ADDITIONAL_DEBUG_TEXT: Enable Pageheap/AutoVerifer

 

Der Application Verifier half allerdings nicht.

Link zu diesem Kommentar

*******************************************************************************

* *

* Exception Analysis *

* *

*******************************************************************************

 

FAULTING_IP:

boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+d

044549dd 3b483c cmp ecx,dword ptr [eax+3Ch]

 

EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)

ExceptionAddress: 044549dd (boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+0x0000000d)

ExceptionCode: c0000005 (Access violation)

ExceptionFlags: 00000000

NumberParameters: 2

Parameter[0]: 00000000

Parameter[1]: 0000003c

Attempt to read from address 0000003c

 

DEFAULT_BUCKET_ID: APPLICATION_FAULT

 

PROCESS_NAME: explorer.exe

 

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

 

READ_ADDRESS: 0000003c

 

BUGCHECK_STR: ACCESS_VIOLATION

 

NTGLOBALFLAG: 2000000

 

APPLICATION_VERIFIER_FLAGS: 0

 

LAST_CONTROL_TRANSFER: from 04a82a80 to 044549dd

 

STACK_TEXT:

WARNING: Stack unwind information not available. Following frames may be wrong.

0577f574 04a82a80 000003e8 00000000 0577f65c boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+0xd

0577f59c 04a829e3 0577f63c 0577f65c 0577f67c FM+0x2a80

0577f5ac 04ac16d9 0577f63c 0577f644 0577f5dc FM+0x29e3

0577f67c 04b0d725 02a12868 7e69addc 043b0054 FM!DllCanUnloadNow+0x28119

0577f694 04b105d3 001e4760 00000000 77731b20 FM!NSEGetApp+0x47d5

0577f700 777be58c 00000000 00000000 20400000 FM!NSEGetApp+0x7683

0577f718 777c4419 043b002c 02c4e068 09d6f118 shdocvw!CNscTree::_OnSHNotifyUpdateItem+0x13

0577f950 777c4945 00002000 043b002c 00000000 shdocvw!CNscTree::_OnChangeNotify+0x47d

0577f968 7778329b 0312e02c 00002000 043b002c shdocvw!CNscTree::OnChange+0x27

0577f988 773b1eaa 00090358 0000c099 09d6f11c shdocvw!CNotifySubclassWndProc::_SubclassWndProc+0x5a

0577f9e4 773b206c 0025a0b8 00090358 0000c099 comctl32!CallNextSubclassProc+0x3c

0577fa08 777c23ea 00090358 0000c099 00000b4c comctl32!DefSubclassProc+0x46

0577fa54 777c3216 00090358 0000c099 00000b4c shdocvw!CNscTree::_SubClassTreeWndProc+0x3ae

0577fa74 773b1eaa 00090358 0000c099 00000b4c shdocvw!CNscTree::s_SubClassTreeWndProc+0x34

0577fad0 773b20cf 0025a0b8 00090358 0000c099 comctl32!CallNextSubclassProc+0x3c

0577fb24 7e368734 00090358 0000c099 00000b4c comctl32!MasterSubclassProc+0x54

0577fb50 7e368816 773b207b 00090358 0000c099 user32!InternalCallWinProc+0x28

0577fbb8 7e36b4c0 001b6760 773b207b 00090358 user32!UserCallWinProcCheckWow+0x150

0577fc0c 7e36b50c 00aa3ec8 0000c099 00000b4c user32!DispatchClientMessage+0xa3

0577fc34 7c91eae3 0577fc44 00000018 00aa3ec8 user32!__fnDWORD+0x24

0577fc58 7e3693e9 7e3693a8 0577fcd8 00000000 ntdll!KiUserCallbackDispatcher+0x13

0577fc84 7e369402 0577fcd8 00000000 00000000 user32!NtUserPeekMessage+0xc

0577fcb0 75f4516b 0577fcd8 00000000 00000000 user32!PeekMessageW+0xbc

0577ff20 75f453ed 030bac78 7e809756 7e80b292 browseui!BrowserThreadProc+0x227

0577ffb4 7c80b683 030bac78 7e809756 7e80b292 browseui!BrowserProtectedThreadProc+0x50

0577ffec 00000000 75f4539d 030bac78 00000000 kernel32!BaseThreadStart+0x37

Link zu diesem Kommentar

FAULTING_THREAD: 000004b4

 

FOLLOWUP_IP:

boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+d

044549dd 3b483c cmp ecx,dword ptr [eax+3Ch]

 

SYMBOL_STACK_INDEX: 0

 

SYMBOL_NAME: boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+d

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: boost_log_vc71_mt_1_33

 

IMAGE_NAME: boost_log-vc71-mt-1_33.dll

 

DEBUG_FLR_IMAGE_TIMESTAMP: 44105850

 

STACK_COMMAND: ~24s; .ecxr ; kb

 

BUCKET_ID: ACCESS_VIOLATION_boost_log_vc71_mt_1_33!boost::logging::logger::is_enabled+d

 

FAILURE_BUCKET_ID: boost_log-vc71-mt-1_33.dll!boost::logging::logger::is_enabled_c0000005_APPLICATION_FAULT

 

Followup: MachineOwner

---------

 

 

0:024> lmvm boost_log_vc71_mt_1_33

start end module name

04450000 04464000 boost_log_vc71_mt_1_33 C (export symbols) boost_log-vc71-mt-1_33.dll

Loaded symbol image file: boost_log-vc71-mt-1_33.dll

Image path: C:\Programme\Gemeinsame Dateien\Teleca Shared\boost_log-vc71-mt-1_33.dll

Image name: boost_log-vc71-mt-1_33.dll

Timestamp: Thu Mar 09 17:31:12 2006 (44105850)

CheckSum: 00000000

ImageSize: 00014000

File version: 0.0.0.0

Product version: 0.0.0.0

File flags: 0 (Mask 0)

File OS: 0 Unknown Base

File type: 0.0 Unknown

File date: 00000000.00000000

Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

 

 

0:024> lmvm fm

start end module name

04a80000 04b73000 FM C (export symbols) FM.dll

Loaded symbol image file: FM.dll

Image path: C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll

Image name: FM.dll

Timestamp: Wed Nov 01 01:02:54 2006 (4547E42E)

CheckSum: 00000000

ImageSize: 000F3000

File version: 1.0.13.61

Product version: 1.0.13.61

File flags: 1 (Mask 3F) Debug

File OS: 4 Unknown Win32

File type: 2.0 Dll

File date: 00000000.00000000

Translations: 0409.04b0

CompanyName: Popwire AB

ProductName: FM

InternalName: FM

OriginalFilename: FM.dll

ProductVersion: 1.0.13.61

FileVersion: 1.0.13.61

FileDescription: Explorer browser application for mobile devices.

LegalCopyright: Copyright © Popwire AB. All rights reserved.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...