ComputerBase Menü
Aktuelles

NT: Grund für BlueScreen analysieren

Hepatitis

Hepatitis

Cadet 3rd Year
Registriert
Feb. 2005
Beiträge
45
Hallo Leute,

Ich versuche gerade einem rätzelhaften Systemsterben auf die Spur zu kommen.

Konkret geht es um Windows NT 4.0 SP6 Maschinen die beim Start auf folgende Meldung laufen:

Stop c0000135 Dll nicht gefunden
Dynamic Link Libary Winsrv im "Default load Path" konnte nicht gefunden werden



Worum es geht:

Es geht darum von einem Anderen System aus die fehlerquelle zu finden. Der Zugriff auf die Festplatten ist schon sichergestellt. Ich weiß nur nicht wo suchen muss!

Es geht nicht darum die Systeme wieder zum laufen zu bringen!!!

Sondern darum nachzuvollziehen warum der Bluescreen passiert!


Infos:

Allgemeines:

Es ned nur um 3 Maschienen, sondern von ca 2-4 Mascheinen im Monat! Bisher war die vorgehnsweise die Maschienen schnellstmöglich neu zu installieren.
Betroffen sind Außschlieslich:
WinNT-Clients alle fast identisch! Die einzigenVariationen sind:

* 2 Programme (von denen jeweils eines auf den Rechnern istalliert sein kann)
* Unterschidliche PC-Modellbaureien (alles P4 oder P3 von IMB)


Fakten (ungeordnet):
  • Ich habe 3 Platten (von Systemen mit so einem Bluescreen) an einen Andere Rechner Gehängt, kann also beliebig auf das Dateisystem zugreifen
  • Das Dateisystem der Platten ist I.O. nur Windows lässt sich nicht booten. (sandisk (von dem anderen Rechner aus durchgeführt) meldet keine Fehler)


  • Das Speicherabbild
    Laut dem Text des dem Bluescreen wird ein Speicherabbild erstellt. Nach meinen Informationen müsste es "Memory.dmp" heißen. Ich kann diese Datei aber nirgends finden.

  • Die Konfiguration
    Ich würde mir gerne die Regestry der Maschinen anschauen.
    Beim öffnen von "E:\WINNT\system32\config\system" mit regedet32 erfolgt folgende Meldung: "Registry Editor could not load the key. The file is not a valid Registry file." das bedeutet: "die Struktur ist beschädigt:


    Auch alle anderen wichtigen Konfigurationsdateien wären interresant.
  • Das Systemprotokoll
    Auch WindowsNT legt ein Systemprotokoll an, Ich würde mir das gerne anschauen, um den Fehler eventuell lokalieseren zu können.

  • Die Angemeckerte Datei: winsrv.dll ist im Ordner winnt\system32 und sie ist auch in Ordnung (identisch mit einer Funktionierenden Maschiene)
  • Die Pagefile.sys
    Wie bereits gesagt existiert kein Speicerdump, aber die Pagefile.sys liegt auf c: ich habe versucht sie mit dem MS-Programm Windbg auszulesen. Dass ist ein Debug Programm von MS mit dem sich DMP files analysieren lassen sollen Nur leider habe ich eben keinen Speicherdump. Wenn ich mit dem Programm die Pagefile.sys öffne sieh so aus:
    Code: 
     ..
Unable to read PsLoadedModuleList
KdDebuggerData.KernBase < SystemRangeStart
Loading Kernel Symbols
Unable to read PsLoadedModuleList
GetContextState failed, 0x80004005
...
DEFAULT_BUCKET_ID:  DRIVER_FAULT
BUGCHECK_STR:  0xC0000135
STACK_TEXT:  
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME:  Unknown_Module
IMAGE_NAME:  Unknown_Image
DEBUG_FLR_IMAGE_TIMESTAMP:  0
STACK_COMMAND:  kb
BUCKET_ID:  CORRUPT_MODULELIST
Followup: MachineOwner
    Ich habe nur keine Ahnung was mir dass sagen soll.
    Ich hab noch nichtmal ne Ahnng ob die padefile.sys überhaupt aussagekräftig ist. Schließlich sollte da eigentlich ein DMP file sein.
  • Der Link zum Microsoft Knowledge Base: http://support.microsoft.com/?kbid=173309&sd=RMVP

____________________________________________________________________



Ich habe jetzt leider keine Ahnung wie ich vorgehen Soll!

Könnt ihr mir sagen wie ich den Fehler finden kann.

Es muss ja irgend einen Grund dafür geben dass die Maschienen trappen, und wenn ich Die URsache an deres liegt kenne, kann ich auch versuchen das Problem zu verhindrn anstgadt in regelmäsigen abständen Rchner neu zu installieren.
 
Hallo, laut deinem Link ist eine Ursache das Laden der Datei "Sermouse.sys" und in deinem Dump der pagefile.sys ist die Rede von DRIVER_FAULT.

Ich würd als erstes mal diese Datei vom Systemstart entfernen, vorausgesetzt ihr verwendet keine seriellen Mäuse. ;)

Schau in der Registry nach wo der Aufruf für die Datei ist und deaktiviere ihn. Bei mir wird der Treiber mouclass.sys unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mouclass gesetzt.

Wenn du fehlerhafte Registry-Hives hast, so kannst du eine Kopie von %Windir%\repair versuchen zu laden, Überspielen der Ori-Files geht aber nur wenn das OS nicht läuft (z.B. Booten mit BartPE)

Zum Memory-Dump: Standardpfad ist hier %systemroot%\Minidump, einzustellen unter Systemsteuerung\System\Erweitert\Starten und Wiederherstellen\Einstellungen. Ganz unten gibts den Punkt "Verzeichnis für kleines Speicherabbild".


BTW ist so eine Geschichte doch das beste Argument für einen Admin auf XP zu wechseln, oder nicht ? :cool_alt:

my2cents

PCB
 
Darauf dass die "Winsrv.dll" schuld sein müsste binn ich hier gekommen:
Microsoft Knowledge Base schrieb:
ANMERKUNG: In allen überprüften Fällen, in denen die Softwarestruktur nicht geladen werden konnte, entsprach "Dateiname.dll" der Datei "Winsrv.dll".
Zum Vergrößern anklicken....

Ich würd als erstes mal diese Datei vom Systemstart entfernen, vorausgesetzt ihr verwendet keine seriellen Mäuse. ;)
Zum Vergrößern anklicken....
Von einer "Sermouse.sys" habe ich noch nie etwas gehört. (und wir setzen auch keine Seriellen Mäuse mehr ein!) Gefunden habe ich diese Datei auch nicht, weder auf den Systemen mit Bluescreen, noch auf (noch) laufenden System.

PCB schrieb:
Schau in der Registry nach wo der Aufruf für die Datei ist und deaktiviere ihn. Bei mir wird der Treiber mouclass.sys unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mouclass gesetzt.

Wenn du fehlerhafte Registry-Hives hast, so kannst du eine Kopie von %Windir%\repair versuchen zu laden, Überspielen der Ori-Files geht aber nur wenn das OS nicht läuft (z.B. Booten mit BartPE)
Zum Vergrößern anklicken....
Ich habe die HD an einen WIn XP Rechnerangeschlossen, kann also von da aus drauf zugreifen. Wie soll ich "%Windir%\repair" machen? Keine Ahnung was du meinst.

PCB schrieb:
Zum Memory-Dump: Standardpfad ist hier %systemroot%\Minidump, einzustellen unter Systemsteuerung\System\Erweitert\Starten und Wiederherstellen\Einstellungen. Ganz unten gibts den Punkt "Verzeichnis für kleines Speicherabbild".
Zum Vergrößern anklicken....
Soweit so Gut! Im Bluescree stand auch ein Speicherabbild wurde erstellt! Aber auf keiner der Maschienen exisistiert dieses Verzeichniss! Auch mit der Suche habe ich keine einizige *.dmp file gedunden.

PCB schrieb:
BTW ist so eine Geschichte doch das beste Argument für einen Admin auf XP zu wechseln, oder nicht ? :cool_alt:
Zum Vergrößern anklicken....
wenn dass so einfach wäre :) Leider haben da ein paar so :freaky: mitzureden so dass das leider auserhalb meiner Kompetenz liegt. Aber Danke für den Tip *g*
 
<<<
Die Konfiguration
Ich würde mir gerne die Regestry der Maschinen anschauen.
Beim öffnen von "E:\WINNT\system32\config\system" mit regedet32 erfolgt folgende Meldung: "Registry Editor could not load the key. The file is not a valid Registry file." das bedeutet: "die Struktur ist beschädigt:
>>>

Dann ist es doch nicht weiter verwunderlich das die Kisten nicht mehr booten. Jetzt gilt es doch nur(! is klar ;) ) noch herauszufinden warum der Registry-Hive bei euch so oft zerschossen wird.

Mögliche Ursachen sind: Die User fahren die Kisten nicht ordentlich runter, nachlassende Netzteile, RAM-Fehler oder ein Amoklaufender Prozess der beim Runterfahren noch viel zu spät Schreibzugriffe in den Hive vornimmt.

Bis das geklärt ist empfehle ich als Workaround Täglich die Registry zu sichern. Das klappt prima mit ERUNT, Anleitung ist dabei.
 
Is ned so ganz einfach! Wir sind bei den PC´s an Vorgaben vom Rechenzentrum gebunden.
Die Regestry zu sichern macht ned so unbendingt viel sinn, schlieslcih kann ich mit der sichung dann nix anfagen. Ich muss dann trozdem vor ort gehen, dass ding mit nem Anderen Betriebssystem booten usw.
Wir leben mit dem Problem schon ne ganze weile.


Ich versuche nicht die Kisten wieder zum laufen zu bringen!
Sondern rauszufinden warum sie aussteigen!


Und dazu brauch ich einfach informationen, wie die Ereingnisprotokollanzeige.


NAja, jetzt wünsch ich ertmal ein schönes WE
bis Montag

Greez
 
Hepatitis schrieb:
Is ned so ganz einfach! Wir sind bei den PC´s an Vorgaben vom Rechenzentrum gebunden.
Die Regestry zu sichern macht ned so unbendingt viel sinn, schlieslcih kann ich mit der sichung dann nix anfagen. Ich muss dann trozdem vor ort gehen, dass ding mit nem Anderen Betriebssystem booten usw.
Wir leben mit dem Problem schon ne ganze weile.

Ich versuche nicht die Kisten wieder zum laufen zu bringen!
Sondern rauszufinden warum sie aussteigen!
Zum Vergrößern anklicken....
Ich schrieb ja auch als Workaround bis das Problem soweit gelöst ist. Die Registry wiederherzustellen geht (wenn sie denn gesichert wurde) immer schneller als ein Image oder gar die Kiste komplett neu aufzusetzen.

Und dazu brauch ich einfach informationen, wie die Ereingnisprotokollanzeige.
Zum Vergrößern anklicken....

Dir fehlt der Pfad wo die gespeichert wird? Befindet sich in \winnt\system32\config in den Dateien mit der Erweiterung .EVT -nur unformatiertes Ascii. Kannst du auf dem anderen Rechner einfach mit der Ereignisanzeige öffnen.
 
Dank diener Pfadangebe konnte ich die Ereignissprotokolle ansehen. Leider ist das Sicherheitsprotokoll leer und das ANwendungsprotokoll lässt sich nicht öffen. Das Systemprotokoll zeigt keine auffälligkeite. So wie es aussieht wurde dei Maschine am VOrarbend des Crash auch Runergefahren. (Zumindest wurde der Ereignissprotokolldienst ordnungsgemäs beendet.

Solangsam beginne ich zu glauben dass ich mir abschminken kann auf diesem Weg den fehler zu finden.


Ich werd als nächstes mal eine Systedatei nach der anderen von einem Referenzsystem auf die "Defekte"-Window installation ziehen und probieren mit welcher es wieder geht.


PS: Sorry für die Blöde Antwort am Fr. ; war einfach ziemlich gestresst am Fr.
 
Systemdateien kannst du kopieren soviele du willst - trotzdem wird die Kiste mit zerschossener Registry nicht starten können. Der System-Hive ist für den Start der wichtigste. Hier sucht NTLDR Dienste und Treiber, lädt sie anhand des Start-Werts in den Speicher bevor der Kernel überhaupt gestartet wird. Vergleiche http://www.pcwelt.de/forum/thread161940.html

Da bei euch verschiedene Kisten mit dem gleichen Problem aussteigen sollte man sich auf die Gemeinsamkeiten konzentrieren:

- Welche Hardware-Komponenten sind auf allen ausgestiegenen Rechnern gleich? (Zu prüfende Punkte sind hier Netzteil, Motherboard, zusätliche Festplattenadapter, RAM usw.)

- Dasselbe dann noch mal für Software, insbesondere Treiber, Dienste, Hintergrundprogramme
 
weltweit schrieb:
Systemdateien kannst du kopieren soviele du willst - trotzdem wird die Kiste mit zerschossener Registry nicht starten können.
Zum Vergrößern anklicken....
Ok, macht durchaus Sinn.

Gemeinsamkeiten sind zwischen den Maschienen eigentlich sehr viele.

  • Hardwaremäßig gibt es nur 3 Unterschiedliche PC-Modelle. (der fehler tritt auf allen auf)
  • Softwaremäsig gibt sind ebenfalls alle über ein Betankungsverfahren gleich installiert.
    Es gibt lediglich ein paar Zusatzprogramme die auf den kisten Laufen. Ein zusammen hang zwischen den Zsatzprogrammen und den abstürzen liegt aber nicht vor, da der Fehler auch bei solchen Maschienen aufritt die keine Programe (außer der Grundbetankung am laufen haben.) (der Fehle tritt auf allen Konfiguationen auf, muss also in der Grundkonfiguration liegen)


Meinßt du mann könnte die Regestry der einer inzwischen wieder neu-installierten maschiene Exportieren und damit die regestry der zerschossenen Windowsinstallation überschreiben?

(Ich weiß noch nicht was für einen Sinn das haben soll, aber wenn di Maschiene dann wieder läuft weiß ich auf jeden Fall schonmal dass definitiv die Defekte Regestr Schult ist.)
 
Hepatitis schrieb:
Meinßt du mann könnte die Regestry der einer inzwischen wieder neu-installierten maschiene Exportieren und damit die regestry der zerschossenen Windowsinstallation überschreiben?
Zum Vergrößern anklicken....

Das ist schon möglich, aber nur ratsam, wenn die Hardware der beiden Kisten größtenteils gleich ist. Vor allem der Chipsatz sollte der gleiche sein.

Da NT kein PlugnPlay besitzt kann es auch mit unterschiedlicher Peripherie Probleme geben, da Sie halt nicht erkannt und eingebunden wird.

Sichern kannst man bei NT mit der rdisk.exe, allerdings muss der undokumentierte Parameter /s gesetzt werden, sonst werden der Hive SAM und SECURITY nicht mitgesichert.

Abgelegt werden die Dateien dann unter %SYSTEMROOT%\Repair.

Ne weitere Möglichkeit ist das Starten einer Boot-CD (z.B. BartPE) unter der man Zugriff auf das Filesystem hat und die Dateien dann manuell kopiert.

PS: Ich würd deinem Boss mal zeigen, wieviel Zeit (und damit Geld) du mit dieser Fehlersuche verschwendest, ist immer ein gutes Argument für neue HW / SW ! :D

my2cents

PCB
 
Mit rdisk.exe habe ich die Sichrung druchgeführt.
Als ergebniss habe ich unter anderem "system._"
kann ich jetzt einfach die Endung ".-" entfernen und die Kaputte Regestry druch die Sicherung ersetzen oder benötige ich da spezielles Vorgehen?
 
Einfaches Ersetzrn der Regestry durch die Gesichrte Regestry brachte keinen Erfolg.
Muss die Datei mit einem anderen verfahren ersetzt werden.


Die Original-Regestrierungs-Datei ist über 1700KB groß.

Die Sicheungsdatei ist nur ca 200LB groß.

Nach dem Startersuch (der natürlich wieder im Bluescreen endete) ist die Datei ebenfalls über 1700KB groß.


Kann ich daraus schließen dass die Rück-Sicherung de regestry zwar erfolgreich wahr aber der Gund für den Bluescreen irgendwo anderst lieg und dieser gleich wieder zugeschlagen hat?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SgtCena - Sven
ntoskrnl.exe+4177f0 - crash bei warzone - system neustart ins bios
Antworten
10
Aufrufe
603
Tarimaro
T
G
Bluescreen "VIDEO_MEMORY_MANAGEMENT_INTERNAL" + Screen Freeze
Antworten
17
Aufrufe
1.018
cumulonimbus8
cumulonimbus8
Propotional
Bluescreen: PAGE_FAULT_IN_NONPAGED_AREA (50)
2 3 4
Antworten
61
Aufrufe
2.990
Propotional
Propotional
survivor
BSOD "Critical Process Died" nach Windows Update
Antworten
4
Aufrufe
2.107
survivor
survivor
F
Ryzen 7 5800X Bluescreen unter Last "WHEA_UNCORRECTABLE_ERROR"
2
Antworten
26
Aufrufe
3.122
fatscreen
F

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz