Bluescreens, wer kann mir helfen?

[Teylor 10]

Guten Tag,

 

Also ich habe Windows 32 bit (will demnächst auf Vista 64 Bit umsteigen) und bekomme 2 Bluescreens... Die lauten wie folgt (habe leider vergessen die Nummern aufzuschreiben...):

 

DRIVER_IRQL_NOT_LESS_OR_EQUAL

und

BUGCODE_USB_DRIVER

 

 

Habe mich natürlich schlau gemacht über google und prompt heraus gefunden das man bei Bluescreens WinDbg benutzen soll. Aber da kommt schon das nächste Problem... Ich poste euch mal was bei mir kommt.

 

Microsoft ® Windows Debugger Version 6.10.0003.233 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [F:\WINXP\Minidump\Mini123008-02.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: "srv*f:\cache*http://msdl.microsoft.com/download/symbols;"

Executable search path is:

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

Windows XP Kernel Version 2600 (Service Pack 3) MP (8 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Machine Name:

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720

Debug session time: Tue Dec 30 10:22:41.468 2008 (GMT+5)

System Uptime: 0 days 0:01:42.984

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

Loading Kernel Symbols

...............................................................

................................................................

...

Loading User Symbols

Loading unloaded module list

.............

Unable to load image kerneld.wnt, Win32 error 0n2

*** ERROR: Module load completed but symbols could not be loaded for kerneld.wnt

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck 1000008E, {c0000005, badaead8, b5783948, 0}

 

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

 

*************************************************************************

*** ***

*** ***

*** Your debugger is not using the correct symbols ***

*** ***

*** In order for this command to work properly, your symbol path ***

*** must point to .pdb files that have full type information. ***

*** ***

*** Certain .pdb files (such as the public OS symbols) do not ***

*** contain the required information. Contact the group that ***

*** provided you with these symbols if you need this command to ***

*** work. ***

*** ***

*** Type referenced: nt!_KPRCB ***

*** ***

*************************************************************************

Probably caused by : kerneld.wnt ( kerneld+ad8 )

 

Followup: MachineOwner

---------

 

 

Ich kann damit nix anfangen... Mein Windows ist unter F:\WINXP installiert, deswegen hab ich als symbol path auch F ("srv*f:\cache*http://msdl.microsoft.com/download/symbols;") genommen. Kann mir da jemand weitrhelfen? =(

 

Mit freundlichen Grüßen,

Teylor

[zahni 554]

Hallo und Willkommen hier im Forum.

 

Zunächst ist es sehr löböich, dass Du Dir schon den aktuellen Windows--Debugger installiert hast:

 

Trage bitte als Umgebungsvaribale

 

_NT_SYMBOL_PATH=SRV*f:\cache*http://msdl.microsoft.com/download/symbols

 

unter Arbeitsplatz -> rechte Taste -> Eingenschaften, Reiter Erweitert, Umgebungsvariablen, unter "Systemvariablen" ein. Bitte exakt so wie geschriben, ohne Semikolon.

 

Der Ordner "Cache" muss vorhanden sein.

 

Der Debugger muss auf der selben Maschine ausgeführt werden, auf der der Dump erstellt wurde.

 

-Zahni

[Gabriel70 10]

... bekomme 2 Bluescreens...

DRIVER_IRQL_NOT_LESS_OR_EQUAL

und

BUGCODE_USB_DRIVER

 

Hallo und Willkommen an Board!

 

Schaut nach einem Treiber-Problem aus. Starte das System mal im abgesicherten Modus und deaktiviere den automatischen Neustart bei Systemfehlern, sowie alle Dienste ausser den MS-Diensten.

 

Gruß

[Teylor 10]

Hallo und Willkommen hier im Forum.

 

Zunächst ist es sehr löböich, dass Du Dir schon den aktuellen Windows--Debugger installiert hast:

 

Trage bitte als Umgebungsvaribale

 

_NT_SYMBOL_PATH=SRV*f:\cache*Symbol information

 

unter Arbeitsplatz -> rechte Taste -> Eingenschaften, Reiter Erweitert, Umgebungsvariablen, unter "Systemvariablen" ein. Bitte exakt so wie geschriben, ohne Semikolon.

 

Hallo Zahni, danke für die schnelle Antwort. Ich bin jetzt bei Systemvariablen und soll dort folgendes eingeben:

- Name der Variable

- Wert der Variable

 

Wo soll ich das

_NT_SYMBOL_PATH=SRV*f:\cache*Symbol information

eintragen und was im anderen Feld?

 

Der Ordner "Cache" muss vorhanden sein.

Habe einen Ordner erstellt, folgender Pfad: "F:\cache"

 

Ist das so richtig?

 

Der Debugger muss auf der selben Maschine ausgeführt werden, auf der der Dump erstellt wurde.

 

-Zahni

 

Heisst Maschine in dem Fall Partition? Entschuldige, bin leider PC Leie und kenne mich in dem Bereich wirklich grnicht aus, hatte zuvor auch nochnie so extreme Bluescreen Probleme wie die letzten paar Tage!

 

 

@Gabriel: Wie schalte ich den Neustart bei Systemfehler aus?

 

 

MfG,

Teylor

[Gabriel70 10]

@Gabriel: Wie schalte ich den Neustart bei Systemfehler aus?

 

Hallo!

 

Unter Arbeitsplatz -> Eigenschaften -> Erweitert -> Starten und Wiederherstellen -> Einstellungen -> Häkchen bei Systemfehler "Automatischer Neustart" wegnehmen.

 

Gruß

[Teylor 10]

Ok danke Gabriel, das habe ich schonmal gemacht.

 

Fehlt nurnoch wie ich den Debugger zum laufen bringe... :(

[zahni 554]

Achso, ich dachte das wäre klar:

 

Du klickt auf "Neu"

 

Bei Name kommt _NT_SYMBOL_PATH

und beim Wert SRV*f:\cache*http://msdl.microsoft.com/download/symbols

 

rein.

 

Du kannst danach mel in einer Eingabeaufforderung (cmd.exe) mal mit "set" prüfen, ob alles korrekt da steht.

 

Mit "Maschine" meine ich den PC, bei dem Fehler auftritt.

 

-Zahni

[Teylor 10]

Ok, habs jetz tmal direkt aus der Eingabeaufforderung rauskopiert. Da steht jetzt:

 

_NT_SYMBOL_PATH=SRV*f:\cache*Symbol information

 

Denke das ist so richtig. Ich schau jetzt mal ob Debugger funktioniert! Danke schonmal für die Hilfe soweit! ^^

–

Habs jetzt ausprobiert. Aber es scheint immernoch etwas nicht zu stimmen mit der Symbollist... Hier, das kam raus:

 

 

Microsoft ® Windows Debugger Version 6.10.0003.233 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [F:\WINXP\Minidump\Mini123008-02.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: "srv*F:\cache*http://msdl.microsoft.com/download/symbols;";SRV*f:\cache*Symbol information

Executable search path is:

Windows XP Kernel Version 2600 (Service Pack 3) MP (8 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp_sp3_qfe.080814-1300

Machine Name:

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720

Debug session time: Tue Dec 30 10:22:41.468 2008 (GMT+5)

System Uptime: 0 days 0:01:42.984

Loading Kernel Symbols

...............................................................

................................................................

...

Loading User Symbols

Loading unloaded module list

.............

Unable to load image kerneld.wnt, Win32 error 0n2

*** ERROR: Module load completed but symbols could not be loaded for kerneld.wnt

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck 1000008E, {c0000005, badaead8, b5783948, 0}

 

 

 

 

MfG,

Teylor :(

[zahni 554]

Nimm bitte mal die Einstellung aud dem Debugger raus, der Symbolpfad ist Müll:

 

 

"srv*F:\cache*http://msdl.microsoft.com/download/symbols;";SRV*f:\cache*Symbol information

 

 

-Zahni

[Teylor 10]

Soll ich das SO direkt kopieren und bei Symbol path einfügen?

 

edit: Das mit dem F:\Cache fügt er automatisch hinzu... Ich füge dort ein:

"srv*F:\cache*http://msdl.microsoft.com/download/symbols;"

 

 

Und wenn ich nach dem öffnen eines Dump Crashs nochmal unter Symbol path schaue, steht das da:

"srv*F:\cache*http://msdl.microsoft.com/download/symbols;""srv*F:\cache*http://msdl.microsoft.com/download/symbols;";SRV*f:\cache*Symbol information

–

Wenn ich analyze -v machen kommt noch folgendes:

 

5: kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)

This is a very common bugcheck. Usually the exception address pinpoints

the driver/function that caused the problem. Always note this address

as well as the link date of the driver/image that contains this address.

Some common problems are exception code 0x80000003. This means a hard

coded breakpoint or assertion was hit, but this system was booted

/NODEBUG. This is not supposed to happen as developers should never have

hardcoded breakpoints in retail code, but ...

If this happens, make sure a debugger gets connected, and the

system is booted /DEBUG. This will let us see why this breakpoint is

happening.

Arguments:

Arg1: c0000005, The exception code that was not handled

Arg2: badaead8, The address that the exception occurred at

Arg3: b5783948, Trap Frame

Arg4: 00000000

 

Debugging Details:

------------------

 

 

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

 

FAULTING_IP:

kerneld+ad8

badaead8 0f32 rdmsr

 

TRAP_FRAME: b5783948 -- (.trap 0xffffffffb5783948)

ErrCode = 00000000

eax=0000000c ebx=869cb0d0 ecx=0000011e edx=00000003 esi=86954384 edi=b5783c38

eip=badaead8 esp=b57839bc ebp=b5783c40 iopl=0 nv up ei pl zr na pe nc

cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246

kerneld+0xad8:

badaead8 0f32 rdmsr

Resetting default scope

 

CUSTOMER_CRASH_COUNT: 2

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

BUGCHECK_STR: 0x8E

 

PROCESS_NAME: everest.bin

 

LAST_CONTROL_TRANSFER: from 804ef19f to badaead8

 

STACK_TEXT:

WARNING: Stack unwind information not available. Following frames may be wrong.

b5783c40 804ef19f 869ebb28 869cb0d0 806e7410 kerneld+0xad8

b5783c50 8057f982 869cb140 88333f90 869cb0d0 nt!IopfCallDriver+0x31

b5783c64 805807f7 869ebb28 869cb0d0 88333f90 nt!IopSynchronousServiceTail+0x70

b5783d00 80579274 000006b8 00000000 00000000 nt!IopXxxControlFile+0x5c5

b5783d34 8054162c 000006b8 00000000 00000000 nt!NtDeviceIoControlFile+0x2a

b5783d34 7c91e4f4 000006b8 00000000 00000000 nt!KiFastCallEntry+0xfc

032fad00 00000000 00000000 00000000 00000000 0x7c91e4f4

 

 

STACK_COMMAND: kb

 

FOLLOWUP_IP:

kerneld+ad8

badaead8 0f32 rdmsr

 

SYMBOL_STACK_INDEX: 0

 

SYMBOL_NAME: kerneld+ad8

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: kerneld

 

IMAGE_NAME: kerneld.wnt

 

DEBUG_FLR_IMAGE_TIMESTAMP: 42e505e2

 

FAILURE_BUCKET_ID: 0x8E_kerneld+ad8

 

BUCKET_ID: 0x8E_kerneld+ad8

 

Followup: MachineOwner

[zahni 554]

Da haben wir doch den Übeltäter: Deinstalliere die Software "Everest" . Die braucht man eh nicht wirklich.

 

-Zahni

[Teylor 10]

Da haben wir doch den Übeltäter: Deinstalliere die Software "Everest" . Die braucht man eh nicht wirklich.

 

-Zahni

 

Unter Software in Systemsteuerung finde ich everest nichtmehr. Muss ich das in den regestrys löschen? Und wenn ja, wie bzw. wo?

 

MfG,

Teylor

 

edit: Ich habe noch einen Ordner gefunden mit vielen Everest Dateien. Die uninstall Datei sagt mir, wenn ich sie versuche zu öffne:

"C:\Programme\Everest\unins000.dat" file is corrupted. Cannot uninstall.

 

 

Soll ich den Ordner sammt inhalt einfach löschen?

[zahni 554]

Keine Ahnung. Dann wurde es nciht korrekt deinstalliert. eine Möglihkeit: Du installierst von Lavalys - Comprehensive IT Security and Management die neuste Version, bootest neu und deinstallierst sie dann wieder. Mitt ein bissel Glück verschwindet dann auch diese "Leiche".

 

-Zahni

[Teylor 10]

Hab ich gemacht. Debugger sagt mir noch immer dieses mit everest prozess.

 

Vorallem dieser Abschnitt verwundert mich ein wenig:

 

 

Microsoft ® Windows Debugger Version 6.10.0003.233 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [F:\WINXP\Minidump\Mini123008-02.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: srv*F:\cache*Symbol information

Executable search path is:

Windows XP Kernel Version 2600 (Service Pack 3) MP (8 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 2600.xpsp_sp3_qfe.080814-1300

Machine Name:

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055d720

Debug session time: Tue Dec 30 10:22:41.468 2008 (GMT+5)

System Uptime: 0 days 0:01:42.984

Loading Kernel Symbols

...............................................................

................................................................

...

Loading User Symbols

Loading unloaded module list

.............

Unable to load image kerneld.wnt, Win32 error 0n2

*** ERROR: Module load completed but symbols could not be loaded for kerneld.wnt

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

Use !analyze -v to get detailed debugging information.

 

BugCheck 1000008E, {c0000005, badaead8, b5783948, 0}

 

Probably caused by : kerneld.wnt ( kerneld+ad8 )

 

Followup: MachineOwner

---------

 

 

 

 

Er hat irgendwas mit den Symbols und kerneld.wnt

 

Weiss da einer weiter?

 

MfG,

Teylor

[Gabriel70 10]

Er hat irgendwas mit den Symbols und kerneld.wnt

 

Hallo!

 

Schau dir mal diesen Thread an: Mein Pc ist verseucht - Virus Hilfe

 

Gruß