Prologen 10 Geschrieben 25. Februar 2009 Melden Teilen Geschrieben 25. Februar 2009 hallo Com, auf einem Win2k Client habe ich seit ein paar Tagen folgendes Problem: Im laufenden System wird der Rechner spontan abgestellt und er bootet sich neu. Durch den Fehler wird ein Dump File erstellt welcher nach dem auslesen folgenden Inhalt hat: Microsoft ® Windows Debugger Version 6.11.0001.402 X86 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [D:\WINNT\Minidump\Mini022509-03.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: *** Invalid *** **************************************************************************** * Symbol loading may be unreliable without a symbol search path. * * Use .symfix to have the debugger choose a symbol path. * * After setting your symbol path, use .reload to refresh symbol locations. * **************************************************************************** Executable search path is: ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* Unable to load image ntoskrnl.exe, Win32 error 0n2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe Windows 2000 Kernel Version 2195 (Service Pack 4) UP Free x86 compatible Machine Name: Kernel base = 0x80400000 PsLoadedModuleList = 0x80481580 Debug session time: Wed Feb 25 14:05:24.966 2009 (GMT+1) System Uptime: not available ********************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ********************************************************************* WaitForEvent failed das Symbol Packages von Microsoft habe ich bereits herunter geladen. Leider weis ich nicht wie ich den Pfad angleichen kann damit der Fehler bereinigt wird. Wäre super wenn mit hier jemand helfen könnte. Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 ::push:: keiner hier der mir diesbezüglich helfen kann ? Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 26. Februar 2009 Melden Teilen Geschrieben 26. Februar 2009 Deaktivier den automatischen Neustart und warte auf den Bluescreen. Automatischen Neustart deaktivieren Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 26. Februar 2009 Autor Melden Teilen Geschrieben 26. Februar 2009 Hatte ich heute schon mal umgestellt . beim jetzigem BlueScreen bekam ich aber auch keine bessere Lösung. Wird die komplette Meldung vom BlueScreen auch im DMP gespeichert? oder wird hier eine extra Datei angelegt? Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 keiner hier der mir diesbezüglich helfen kann ? Hallo! Es scheint wohl ein Problem mit den entsprechenden Umgebungsvariablen zu geben. Evtl. ist der Pfad falsch. * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * Überprüfe das mal. Gruß Zitieren Link zu diesem Kommentar
marka 587 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 Ansonsten kannst Du über [strg]+ über das GUI den Pfad zu den Symboldaten setzen. Diese müssen entpackt auf der Festplatte oder in einem Netzlaufwerk liegen. Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 27. Februar 2009 Autor Melden Teilen Geschrieben 27. Februar 2009 @ Gabriel70 das habe ich laut dem DMP auch schon mitbekommen *G* leider weiß ich nicht wie ich die Variablen über die Script Befehle anpassen kann bzw.wie ich mit den Srcipt Befehlen " .sympath und .sympath+ " arbeiten muss @ marka ich habe soeben in der WinDbg Console über STRG+S den Pfad an den lokalen entpackten Ordner angepasst. Nach Bestätigung mit ENTER verschwand das Fenster ohne Meldung. Kann man irgendwie nachprüfen ob Windows den Pfad jetzt wieder "lesen" kann ? Wodurch wird so ein gravierender Fehler eigentlich ausgelöst ? Zitieren Link zu diesem Kommentar
marka 587 Geschrieben 27. Februar 2009 Melden Teilen Geschrieben 27. Februar 2009 Gib in dem Debugger, nachdem Du ein Dumpfile geladen hast, in die Kommandoleiste unten mal "!analyze -v" (Ohne Anführungszeichen!) ein. Dann startet erst die "richtige" Analyse und er sagt Dir, welche Komponente vermutlich den Fehler ausgelöst hat. Du erkennst das an der Zeile "Problem probably caused by:" Was letztendlich den STOP-Fehler auslöst, kannst Du nur durch eine entsprechende Analyse im Debugger feststellen, s.o. Meiner Erfahrung nach werden STOP-Fehler zu 95% durch nicht signierte Treiber ausgelöst. Ganz selten verursachen auch signierte Treiber einen STOP. Einmal habe ich es erlebt, dass der ntfs.sys (NTFS Filesystemtreiber) einen STOP verursacht hat. HTH Markus Nachtrag: kleine Randinfo zu den Symboldateien. Diese werden passend zu dem OS benötigt, auf dem der zu analysierende Dump erstellt wurde. So erst kann der Debugger wissen, um welches OS mit welchem SP es sich handelt. Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 1. März 2009 Autor Melden Teilen Geschrieben 1. März 2009 hi Marka, vielen Dank für deinen Script Befehl. Hier mal der LOG aus der richtigen Analyse: ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* KMODE_EXCEPTION_NOT_HANDLED (1e) This is a very common bugcheck. Usually the exception address pinpoints the driver/function that caused the problem. Always note this address as well as the link date of the driver/image that contains this address. Arguments: Arg1: c0000005, The exception code that was not handled Arg2: a000b5a7, The address that the exception occurred at Arg3: 00000000, Parameter 0 of the exception Arg4: 0000ad49, Parameter 1 of the exception Debugging Details: ------------------ EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden. FAULTING_IP: win32k!xxxBeginPaint+78 a000b5a7 ?? ??? EXCEPTION_PARAMETER1: 00000000 EXCEPTION_PARAMETER2: 0000ad49 READ_ADDRESS: unable to read from 80481518 unable to read from 804811c8 unable to read from 804810a8 unable to read from 80472de0 unable to read from 804810c0 unable to read from 804811c4 unable to read from 80472de4 unable to read from 80481284 unable to read from 804814b8 0000ad49 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: DRIVER_FAULT BUGCHECK_STR: 0x1E PROCESS_NAME: firefox.exe EXCEPTION_RECORD: c0000005 -- (.exr 0xffffffffc0000005) Cannot read Exception record @ c0000005 LAST_CONTROL_TRANSFER: from 00000000 to 8042eee8 STACK_TEXT: bcc500d0 00000000 c0000005 a000b5a7 00000000 nt!KiDispatchException+0x31c STACK_COMMAND: .bugcheck ; kb FOLLOWUP_IP: win32k!xxxBeginPaint+78 a000b5a7 ?? ??? SYMBOL_NAME: win32k!xxxBeginPaint+78 FOLLOWUP_NAME: MachineOwner MODULE_NAME: win32k IMAGE_NAME: win32k.sys DEBUG_FLR_IMAGE_TIMESTAMP: 48cdeeff FAILURE_BUCKET_ID: 0x1E_win32k!xxxBeginPaint+78 BUCKET_ID: 0x1E_win32k!xxxBeginPaint+78 Followup: MachineOwner --------- Firefox wird zwar ab und an selbst beendet aber dabei friert mir das System nicht ein oder wird heruntergefahren. Die Crash passieren völlig abrupt. Manchmal habe ich FF überhaupt nicht geöffnet. Kannst du aus dem LOG noch etwas entnehmen? Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 1. März 2009 Autor Melden Teilen Geschrieben 1. März 2009 hier mal noch ein neuer Report vom Crash vor 5 Minuten kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* UNEXPECTED_KERNEL_MODE_TRAP (7f) This means a trap occurred in kernel mode, and it's a trap of a kind that the kernel isn't allowed to have/catch (bound trap) or that is always instant death (double fault). The first number in the bugcheck params is the number of the trap (8 = double fault, etc) Consult an Intel x86 family manual to learn more about what these traps are. Here is a *portion* of those codes: If kv shows a taskGate use .tss on the part before the colon, then kv. Else if kv shows a trapframe use .trap on that value Else .trap on the appropriate frame will show where the trap was taken (on x86, this will be the ebp that goes with the procedure KiTrap) Endif kb will then show the corrected stack. Arguments: Arg1: 0000000d, EXCEPTION_GP_FAULT Arg2: 00000000 Arg3: 00000000 Arg4: 00000000 Debugging Details: ------------------ BUGCHECK_STR: 0x7f_d CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: DRIVER_FAULT PROCESS_NAME: Gw.exe LAST_CONTROL_TRANSFER: from 00000000 to 8046850a STACK_TEXT: be2cd8c8 00000000 0000000d 00000000 00000000 nt!Ki386VdmReflectException_A+0x12 STACK_COMMAND: kb FOLLOWUP_IP: nt!Ki386VdmReflectException_A+12 8046850a ?? ??? SYMBOL_STACK_INDEX: 0 SYMBOL_NAME: nt!Ki386VdmReflectException_A+12 FOLLOWUP_NAME: MachineOwner MODULE_NAME: nt IMAGE_NAME: ntoskrnl.exe DEBUG_FLR_IMAGE_TIMESTAMP: 45ec3c8f FAILURE_BUCKET_ID: 0x7f_d_nt!Ki386VdmReflectException_A+12 BUCKET_ID: 0x7f_d_nt!Ki386VdmReflectException_A+12 Followup: MachineOwner Komischerweise wird wieder ein Programm genannt ( Gw.exe ) was definitiv in Ordnung ist. Kann es auch sein das die HD Sektor Fehler oder dergleichen aufweißt ?? Ich habe heute schon einmal mit HD Tune einen Error Check durchlaufen lassen aber es wird mir kein Fehler angezeigt. Komischerweise werden immer Programme genannt,die während des Crashes aktiv waren. Sie waren aber sicherlich nicht der Ausgangspunkt für den Crash. Zitieren Link zu diesem Kommentar
marka 587 Geschrieben 2. März 2009 Melden Teilen Geschrieben 2. März 2009 Ich tippe mal auf den Arbeitsspeicher. Dazu würde ich mir ein vernünftiges Bootmedium schnappen und damit einen RAM-Test fahren. Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 2. März 2009 Autor Melden Teilen Geschrieben 2. März 2009 hab mit MEM Test 86 eine Boot CD erstellt und mit dieser gebootet. den Test habe ich 2h laufen lassen mit dem Ergebnis " No Error " Wie bist du denn auf einen eventuellen RAM Fehler gekommen ? Ich hatte eher den Verdacht das es ein HDD Fehler ist. Ich konnte das bisher aber auch nur mit HD Tune testen. CHKDSK erbringt mir aber auch keine Fehlermeldungen. Mit welchem Tool könnte ich eventuell noch testen ob die HDD eine Hardwarefehler hat ? Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 2. März 2009 Melden Teilen Geschrieben 2. März 2009 Komischerweise wird wieder ein Programm genannt ( Gw.exe ) was definitiv in Ordnung ist. Hallo! Eine solch spezifische Meldung lässt IMHO nicht auf einen HDD-Fehler schliessen. Bist du dir denn so sicher, daß die genannte Anwendung nicht doch den Fehler verursacht? Werden von dieser Anwendung Treiber geladen? Gruß Zitieren Link zu diesem Kommentar
Prologen 10 Geschrieben 2. März 2009 Autor Melden Teilen Geschrieben 2. März 2009 Hallo Gabriel70, Eine solch spezifische Meldung lässt IMHO nicht auf einen HDD-Fehler schliessen[/qoute]könntest du mit da bitte sagen woran du das genau erkennst ? Bei der GW.exe handelt es sich um ein Spiel was zum Zeitpunkt des letzen Crash's lief.Dieses ist definitiv in Ordnung und wurde am Tag des letzten Crash's erst neu auf einen anderen Partition installiert. Ich dachte vorher auch das es eventuell daran liegt aber dem ist nicht so. Wenn es daran liegen sollte , müsste so wie geschrieben habe, die Error Meldung immer die GW.exe beinhalten. Was allerdings nicht ist. Im LOG steht immer die Anwendung die gerade beim Crash lief. Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 3. März 2009 Melden Teilen Geschrieben 3. März 2009 könntest du mit da bitte sagen woran du das genau erkennst ? Hallo! Da, wie von dir gepostet, immer wieder andere Anwendung während des Crashes laufen, ist es unwahrscheinlich, daß es an der HDD liegt; zumal du sie ja schon mal getestet hast. Besorge dir mal ein HDD-Tool des Herstellers deiner Platte und mach mal einen Obeflächen-Test. Ich könnte mir aber auch, wie es Marka bereits vermutete, einen RAM-Fehler vorstellen. Hast du Module zum Austauschen? Auch mal die Bänke wechseln. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.