2 Bluescreens in 20 min!

[Muuhmann]

Hi leute,

Ich habe Gestern nochmal mein Windows neu aufgesetzt, weil ich einfach zuviele Fehler hatte, Bluescreens etc.
Nun habe ich eben meinen PC hochgefahren, wollte Miranda starten und bekam folgenden Fehler:

IRQL_NOT_LESS_OR_EQUAL

STOP: 0x0000000A (0x0000001C, 0x00000002, 0x00000001, 0x8052B8E7)

Neugestartet.. Miranda gestartet, kein Bluescreen mehr!
Winamp gestartet --> Bluescreen!

PAGE_FAULT_IN_NONPAGED_AREA

STOP: 0x00000050 (0xE2BCB802, 0x00000000, 0x8053CE27, 0x00000001)

Neustart, danach nix besonderes mehr gemacht, was am pc gelesen und es kam der gleiche Bluescreen!

Wegen dem IRQ Fehler oben mal nen Screenshot von meinen IRQ settings! P.s. ich habe keinen peil was IRQ ist un wie man die belegung ändert!!

 

[werkam]

http://www.microsoft.com/resources/...all/reskit/en-us/prmd_stp_hwpg.asp?frame=true
http://www.microsoft.com/resources/...all/reskit/en-us/prmd_stp_ccgm.asp?frame=true

Kannst mal selbst nachsehen, wie die Fehler zustande kommen.

Klasse Topic?

 

[Muuhmann]

nö aber die seiten geben absoult keinen anhaltspunkt was falsch sein könnte... faulty driver, im bluescreen ist aber kein Driver angegeben, also muss was anderes falsch sein..

 

[Simon]

Aber mann hätte wenigstens mal die Suchfunktion benutzen können.
https://www.computerbase.de/forum/search/
Das Thema ist auch schon oft durchgekaut worden.

Beide Fehler weisen übrigens auf einen defekten RAM hin.
https://www.computerbase.de/downloads/systemtools/memtest86-plus/
RAM checken!

mfg Simon

 

[Fiona]

Bei dir sind auch unterschiedliche Bluescreens.
Nicht das du jedesmal einen anderen kriegst.
Dann wird es schwierig.
Normalerweise steht aber auch was dabei.

Ansonsten kannst du das mal anschauen.
https://www.computerbase.de/forum/threads/neustart-ohne-grund.95094/#post-910503

Viele Grüße

Fiona

 

[Muuhmann]

Aber mann hätte wenigstens mal die Suchfunktion benutzen können.
https://www.computerbase.de/forum/search/
Das Thema ist auch schon oft durchgekaut worden.

Beide Fehler weisen übrigens auf einen defekten RAM hin.
https://www.computerbase.de/downloads/systemtools/memtest86-plus/
RAM checken!

mfg Simon

also ich habe jetzt 1 std und 15 min Memtest durchlaufen lassen, bei pass stand 2 aber er hat keine Errors gefunden! Hört Memtest auhc mal von alleine auf, oder läuft das die ganze zeit weiter??


Was meinst du Fiona? hab ich nicht ganz verstanden mit den unterschiedlichen Bluescreens...

Achja kann mir mal jemand erklären, wie ich IRQs ändern kann? kann ich den dingern einfach irgendeinen IRQ zuordnern oder muss ich was besonderes beachten? Vielleicht liegts ja an den IRQs..

Wenns an Treibern liegen sollte, hab ich wohl die A****karte gezogen, weil ich gestern mein System neu aufgesetzt habe und demnach gestern ALLE treiber aufgespielt habe und keine Ahnung an welchem es liegen könnte!

 

[Fiona]

IRQL_NOT_LESS_OR_EQUAL
PAGE_FAULT_IN_NONPAGED_AREA

Hier siehst du 2 unterschiedliche BSOD's (Blue Screen of Death).

Standard bei WinXP ist die ACPI-Verwaltung.
Da kannst du keine IRQ's mehr verteilen.
Sollte normal auch nicht nötig sein.
Du Kannst das einmal umstellen.
Ist nur einmal möglich und gibt außer Neuinstallation kein zurück.
Dafür hast du dann andere Einschränkungen.
Hier ist auch nochmal Info dazu;
https://www.computerbase.de/forum/threads/black-screen-winxp-pro-install.91775/

In deiner Manual zum Motherboard, findest du auch die Steckkartenplatzbelegung und mit was die sich einen IRQ teilt.
Wenn du Steckkarten hast für PCI-Slots kannst du da nachschauen mit was sich der Steckplatz einen IRQ teilt, und versuchen die auch entsprechend für Troubleshooting umzustecken.

Schaue mal nach einer Memory oder Mini.dmp und lade die mal hoch.
Kann ich mir ja mal für Analyse anschauen.

 

[Muuhmann]

ok.. weitere PCI karten hab ich nicht..


hier mal die minidumps (gefunden in C:\Windows\Minidump)

 

[Fiona]

Hier habe ich die Ergebnisse;

1 memory.dmp
memory_corruption

2 memory.dmp
Pool_Corruption

Der dritte memory.dmp bringt mir eine Datei, die auch im Zusammenhang mit Random Errors (zufällige Fehler) stehen kann.

*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: e2571000, memory referenced.
Arg2: 00000001, value 0 = read operation, 1 = write operation.
Arg3: 8058a6a8, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000001, (reserved)

Debugging Details:
------------------


Could not read faulting driver name

WRITE_ADDRESS: e2571000

FAULTING_IP:
nt!IopQueryNameInternal+255
8058a6a8 f3a5 rep movsd

MM_INTERNAL_CODE: 1

CUSTOMER_CRASH_COUNT: 3

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x50

LAST_CONTROL_TRANSFER: from 8058a709 to 8058a6a8

STACK_TEXT:
f5d05b30 8058a709 85b78c30 863f1e00 00000000 nt!IopQueryNameInternal+0x255
f5d05b50 8058a546 85b78c30 863f1e00 e246db18 nt!IopQueryName+0x19
f5d05c68 f7be125e 85b78c30 e246db18 000004e0 nt!ObQueryNameString+0xa5
WARNING: Stack unwind information not available. Following frames may be wrong.
f5d05c98 f7be1314 0000000c f5d05ccc 00000000 AVGNTDD+0x225e
f5d05cb8 f7be14f6 85b78c30 e219acdc 0000018e AVGNTDD+0x2314
f5d05cdc f7be1897 85b78c30 e219acdc 0000018e AVGNTDD+0x24f6
f5d05d30 804da140 0177eb04 00100080 0177eaa4 AVGNTDD+0x2897
f5d05d64 00000000 00000000 00000000 00000000 nt!KiSystemService+0xc4


FOLLOWUP_IP:
AVGNTDD+225e
f7be125e ?? ???

SYMBOL_STACK_INDEX: 3

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: AVGNTDD+225e

MODULE_NAME: AVGNTDD

IMAGE_NAME: AVGNTDD.SYS

DEBUG_FLR_IMAGE_TIMESTAMP: 4188b25d

STACK_COMMAND: kb

BUCKET_ID: 0x50_W_AVGNTDD+225e

Followup: MachineOwner
---------

Der Treiber heißt;
AVGNTDD.SYS und gehört zu AntiVir ( http://www.free-av.de/ ) .

Hier ist Info über Suche aus dem Forum;
http://www.free-av.de/cgi-bin/ubb/u...emp-2453344-162132-2BFG.cgi&Total=&StartAt=34

Mein Tip dazu ist;

Mache eine Clean Deinstallation und Neuinstallation.

Dazu folgende Anleitung;

Lade dir wenn möglich die neueste Version von der Homepage.

Bei Antivirensoftware laufen oft Prozesse und Module im Hintergrund.
Daher ist es wichtig die vor einer Deinstallation abzuschalten.

Deaktiviere AV.

Lösche dann erstmal deine Tempdateien.
Zu finden unter ( Standard).
C:\Dokumente und Einstellungen\dein Anwendername\Lokale Einstellungen\Temp
und
C:\Windows\Temp

Gehe dann auf Start / Ausführen / msconfig
Deaktiviere alles bei Systemstart.
Gehe weiter auf den Reiter Dienste und setze bei Microsoft Dienste ausblenden den Haken.
Wichtig, sonst startet Windows nicht richtig.
Den Rest bei Dienste auch deaktivieren.
Neustart.
AV unter Start / Systemsteuerung / Software deinstallieren.
Neustart und die neueste Version installieren.
Neustart.
Bei msconfig kann alles wieder eingeschaltet werden.
Neustart und testen.

Hoffe es hilft.

Viele Grüße

Fiona

 

[Muuhmann]

Verstehe ich das richtig, dass Erste und Zweite memory.dmp auf einen defekten RAM hinweisen? Aber wie kann das sein, wenn MemTest keine Errors anzeigt?


Achja danke für die Auswertung! werde direkt mal deinen Tipp durchführen!

 

[Fiona]

Das kann sicherlich viele Ursachen haben.
Auch kann Hardware beschädigt sein.

Um einen Fehler mit dem Treiber auszuschließen ist erstmal die Prozedur mit AV wichtig.
Dabei kann man es auch in Betracht ziehen, erst mal ohne AV zu testen.

Aus 1;
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.

Aus 2;
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except,
it must be protected by a Probe. Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: e2bcb802, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 8053ce27, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000001, (reserved)

Beinhaltet auch;

Could not read faulting driver name

Gruß

Fiona

 

[Muuhmann]

vielleicht hilfts ja auch mal mainboardtreiber und grakatreiber zu deinstallen und die neuen von nvidia.com runterladen?

naja jetzt erstmal abwarten! das mit AV hab ich gemacht..

Ich geh jetzt gleich weg und werde memtest bis ich wieder da bin laufen lassen..

 

[Fiona]

Hier hatte ich für Clean Grafikkarten und Chipsetdriverinstallation auch mal eine Anleitung geschrieben.

https://www.computerbase.de/forum/threads/bad_pool_caller.94286/

Gruß

Fiona

 

[Frightener]

Hier siehst du 2 unterschiedliche BSOD's (Blue Screen of Death).

Standard bei WinXP ist die ACPI-Verwaltung.
Da kannst du keine IRQ's mehr verteilen.
Sollte normal auch nicht nötig sein.
Du Kannst das einmal umstellen.
Ist nur einmal möglich und gibt außer Neuinstallation kein zurück.
Dafür hast du dann andere Einschränkungen.
Hier ist auch nochmal Info dazu;
https://www.computerbase.de/forum/threads/black-screen-winxp-pro-install.91775/

In deiner Manual zum Motherboard, findest du auch die Steckkartenplatzbelegung und mit was die sich einen IRQ teilt.
Wenn du Steckkarten hast für PCI-Slots kannst du da nachschauen mit was sich der Steckplatz einen IRQ teilt, und versuchen die auch entsprechend für Troubleshooting umzustecken.

Schaue mal nach einer Memory oder Mini.dmp und lade die mal hoch.
Kann ich mir ja mal für Analyse anschauen.

Der Interrupt Request Level hat nichts mit den IRQs der Steckkarten zu tun

 

[Muuhmann]

hmh drivercleaner.. mhmh.. da hab ich doch relativ schlechte erfahrungen mit gemacht.. als ich das das letzte mal nutzte durfte ich mein betriebsystem neu aufspielene, weils einfach net mehr booten wollte... naja einfach nochmal versuchen ;D

Ich warte einfach ob die BlueScreens nochmal auftauchen, nach der AV neuinstallation..

p.s. ich habe MemTest jetzt ganze 10 mal durchlaufen lassen und kein einziger fehler wurde gefunden! also an nem kaputten arbeitsspeicher kanns nicht liegen! muss wenn dann also der Treiber sein!

 

[Muuhmann]

Hi,

Ich hab heute wieder 2 schöne Bluescreens bekommen!
Einmal einen 0x0000008E
und einen

0x000000DE (0x00000002,0xE3C4AC08,0xE368526C,0x383FFC2)

Ein Treiber verursachte Fehler im Poolspeicher (oder so ähnlich.. jedenfalls Treiber und Poolspeicher)

Fiona könnteste die beiden bitte mal durchn Debugger laufen lassen?


Danke schonmal im vorraus!

Muuhmann

 

[-eraz-]

Minidump 01




*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
An exception code of 0x80000002 (STATUS_DATATYPE_MISALIGNMENT) indicates
that an unaligned data reference was encountered. The trap frame will
supply additional information.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 8053cf57, The address that the exception occurred at
Arg3: f4c09828, Trap Frame
Arg4: 00000000

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

FAULTING_IP:
nt!ExDeferredFreePool+fb
8053cf57 8913 mov [ebx],edx

TRAP_FRAME: f4c09828 -- (.trap fffffffff4c09828)
ErrCode = 00000003
eax=e1190b18 ebx=00ffffff ecx=e11913e0 edx=00ffffff esi=863f5028 edi=000001ff
eip=8053cf57 esp=f4c0989c ebp=f4c098dc iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
nt!ExDeferredFreePool+0xfb:
8053cf57 8913 mov [ebx],edx ds:0023:00ffffff=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

LAST_CONTROL_TRANSFER: from 8053cf3c to 8053cf57

STACK_TEXT:
f4c098dc 8053cf3c e1112e48 863c7748 861f5958 nt!ExDeferredFreePool+0xfb
f4c09914 80582679 e1248940 00000000 8057fb16 nt!ExFreePoolWithTag+0x413
f4c09920 8057fb16 e1248940 f4c09901 00000000 nt!ObReleaseObjectSecurity+0x18
f4c0994c 80582112 e2b25c38 861f5958 00000001 nt!ObCheckObjectAccess+0xd1
f4c09998 80581e15 e21b2828 0009d790 e21da794 nt!CmpDoOpen+0x245
f4c09b8c 805852f5 0009d790 0009d790 861f5958 nt!CmpParseKey+0x552
f4c09c10 80581aba 0000025c f4c09c50 00000040 nt!ObpLookupObjectName+0x117
f4c09c64 805827cd 00000000 863c7708 00000101 nt!ObOpenObjectByName+0xe9
f4c09d34 f77f3fbc 000a33e0 00020019 00a7e384 nt!NtOpenKey+0x191
WARNING: Stack unwind information not available. Following frames may be wrong.
f4c09d64 863ce7c8 861ee278 f3533cec f3533d98 a347bus+0xdfbc
00000000 00000000 00000000 00000000 00000000 0x863ce7c8


STACK_COMMAND: .bugcheck ; kb

FOLLOWUP_IP:
nt!ExDeferredFreePool+fb
8053cf57 8913 mov [ebx],edx

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: Pool_corruption

SYMBOL_NAME: nt!ExDeferredFreePool+fb

MODULE_NAME: Pool_Corruption

IMAGE_NAME: Pool_Corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

BUCKET_ID: 0x8E_nt!ExDeferredFreePool+fb

Followup: Pool_corruption
---------



Minidump 02


*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck DE, {2, e3c4ac08, e368526c, 383ff8c2}

*** WARNING: Unable to verify timestamp for a347bus.sys
*** ERROR: Module load completed but symbols could not be loaded for a347bus.sys
*** WARNING: Unable to verify timestamp for AVGNTDD.SYS
*** ERROR: Module load completed but symbols could not be loaded for AVGNTDD.SYS
Probably caused by : a347bus.sys ( a347bus+e072 )

Followup: MachineOwner
---------

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

POOL_CORRUPTION_IN_FILE_AREA (de)
A driver corrupted pool memory used for holding pages destined for disk.
This was discovered by the memory manager when dereferencing the file.
Arguments:
Arg1: 00000002
Arg2: e3c4ac08
Arg3: e368526c
Arg4: 383ff8c2

Debugging Details:
------------------


CUSTOMER_CRASH_COUNT: 2

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xDE

LAST_CONTROL_TRANSFER: from 80519842 to 805266db

STACK_TEXT:
f33af548 80519842 000000de 00000002 e3c4ac08 nt!KeBugCheckEx+0x19
f33af58c 804f8aef e3c4ac08 01000000 00000001 nt!MmPurgeSection+0x4cc
f33af5bc 804e8b4e 859d522c f33af624 00000000 nt!CcPurgeCacheSection+0xd2
f33af5f0 804e8b0a 85590598 f33af624 ffffffff nt!CcPurgeAndClearCacheSection+0xe3
f33af62c f767328d 00000000 00436998 f76893c8 nt!CcSetFileSizes+0x21b
f33af654 f76a60b6 854ed378 e3436998 e3436988 Ntfs!NtfsSetBothCacheSizes+0x6f
f33af6b8 f76a9f7a f33afa9c 854ed378 00000001 Ntfs!NtfsDeleteAllocation+0x37e
f33af72c f76a9fe2 f33afa9c e34368c0 f33af7dc Ntfs!NtfsDeleteAllocationFromRecord+0x15a
f33af85c f76a98c3 f33afa9c e34368c0 e3b5c560 Ntfs!NtfsDeleteFile+0x25a
f33afa78 f7693ac0 f33afa9c 854d5270 862d1c80 Ntfs!NtfsCommonCleanup+0x1090
f33afbf0 804eca36 862ce020 854d5270 8637c7a8 Ntfs!NtfsFsdCleanup+0xcf
f33afc00 f771466f 857fd3b0 854d5280 f33afc54 nt!IopfCallDriver+0x31
f33afc10 804eca36 862d1bc8 e3bbec48 854d5270 sr!SrCleanup+0xb1
f33afc20 80586cda 857fd398 863f1e70 00000001 nt!IopfCallDriver+0x31
f33afc54 805812b4 85c67408 862d1bc8 00010080 nt!IopCloseFile+0x261
f33afc84 80581108 85c67408 857fd3b0 863f1e70 nt!ObpDecrementHandleCount+0x119
f33afcac 8058132d e2d7e118 857fd3b0 0000020c nt!ObpCloseHandleTableEntry+0x14b
f33afcf4 8058136e 0000020c 00000001 00000000 nt!ObpCloseHandle+0x85
f33afd04 f77f4072 0000020c 00000035 0000002f nt!NtClose+0x19
WARNING: Stack unwind information not available. Following frames may be wrong.
f33afd2c f7b42371 0000020c f7b4230c f33afd64 a347bus+0xe072
f33afd58 804da140 0000020c 00000000 863ce7c8 AVGNTDD+0x3371
f33afd58 7ffe0304 0000020c 00000000 863ce7c8 nt!KiSystemService+0xc4
0018eaa8 00000000 00000000 00000000 00000000 SharedUserData!SystemCallStub+0x4


FOLLOWUP_IP:
a347bus+e072
f77f4072 ?? ???

SYMBOL_STACK_INDEX: 13

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: a347bus+e072

MODULE_NAME: a347bus

IMAGE_NAME: a347bus.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4091f40d

STACK_COMMAND: kb

BUCKET_ID: 0xDE_a347bus+e072

Followup: MachineOwner
---------

Sprich bei 01
KERNEL_MODE_EXCEPTION_NOT_HANDLED_M

und bei 02
POOL_CORRUPTION_IN_FILE_AREA
(Betrifft die Datei a347bus.sys)


@Fiona
Kannst du mir Sagen warum ich bei "minidump 02" folgenden Fehler bei den Symbols bekomme?

*** WARNING: Unable to verify timestamp for a347bus.sys
*** ERROR: Module load completed but symbols could not be loaded for a347bus.sys
*** WARNING: Unable to verify timestamp for AVGNTDD.SYS
*** ERROR: Module load completed but symbols could not be loaded for AVGNTDD.SYS
Probably caused by : a347bus.sys ( a347bus+e072 )

@Muuhmann
Hast du Alcohol 120% auf deinem PC Installiert?

 

[Fiona]

Ist wieder das selbe Problem.

Bugcheck1;
Probably caused by : Pool_Corruption ( nt!ExDeferredFreePool+fb )

Followup: Pool_corruption

Bugcheck2;

Probably caused by : AVGNTDD.SYS ( AVGNTDD+3371 )

Followup: MachineOwner

Schein nicht soviel gebracht zu haben mit der Neuinstallation.

Hier ist nochmal Info aus dem Forum von AV.
Die Suchseite ist nur kurzfristig verfügbar, und ändert sich dann.
http://www.free-av.de/cgi-bin/ubb/u...emp-2453346-152644-ApI9.cgi&Total=&StartAt=34
Schaue mal ob du dort eine Problemlösung findest.

Habe dort auch gelesen, das es zufällige Bluescreens geben kann.
Kann dadurch auch mit Pool Corruption zusammenhängen.
Hier ist als Beispiel ein Thread mit Lösung war format C: .
http://www.free-av.de/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic&f=6&t=001151&p=
Schaue dir aber trotzdem auch mal die Suchergebnisse an.
Vielleicht findest du was.

Ansonsten kannst du es auch nochmal testen mit Deinstallation und auswechseln gegen die Freeware-Version von Bitdefender.
Gibt es hier.
http://www.bitdefender.de/bd/site/products.php?p_id=24

Viele Grüße

Fiona

Edit1;

@ eras

Kannst du mir Sagen warum ich bei "minidump 02" folgenden Fehler bei den Symbols bekomme?

Ich habe die volle Version von den Symbolen bei Microsoft geladen.
Sind über 750 MB.
Daher gibt es bei den Ergebnissen die Unterschiede.
Siehe hier;

*** ERROR: Module load completed but symbols could not be loaded for a347bus.sys
*** WARNING: Unable to verify timestamp for AVGNTDD.SYS
*** ERROR: Module load completed but symbols could not be loaded for AVGNTDD.SYS

Gruß


Edit2;

Hier auch nochmal der erste Bugcheck;
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000008E, {c0000005, 8053cf57, f4c09828, 0}

Unable to load image a347bus.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for a347bus.sys
*** ERROR: Module load completed but symbols could not be loaded for a347bus.sys
Probably caused by : Pool_Corruption ( nt!ExDeferredFreePool+fb )

Followup: Pool_corruption
---------

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
An exception code of 0x80000002 (STATUS_DATATYPE_MISALIGNMENT) indicates
that an unaligned data reference was encountered. The trap frame will
supply additional information.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 8053cf57, The address that the exception occurred at
Arg3: f4c09828, Trap Frame
Arg4: 00000000

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

FAULTING_IP:
nt!ExDeferredFreePool+fb
8053cf57 8913 mov [ebx],edx

TRAP_FRAME: f4c09828 -- (.trap fffffffff4c09828)
ErrCode = 00000003
eax=e1190b18 ebx=00ffffff ecx=e11913e0 edx=00ffffff esi=863f5028 edi=000001ff
eip=8053cf57 esp=f4c0989c ebp=f4c098dc iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
nt!ExDeferredFreePool+0xfb:
8053cf57 8913 mov [ebx],edx ds:0023:00ffffff=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

LAST_CONTROL_TRANSFER: from 8053cf3c to 8053cf57

STACK_TEXT:
f4c098dc 8053cf3c e1112e48 863c7748 861f5958 nt!ExDeferredFreePool+0xfb
f4c09914 80582679 e1248940 00000000 8057fb16 nt!ExFreePoolWithTag+0x413
f4c0994c 80582112 e2b25c38 861f5958 00000001 nt!ObReleaseObjectSecurity+0x18
f4c09998 80581e15 e21b2828 0009d790 e21da794 nt!CmpDoOpen+0x245
f4c09b8c 805852f5 0009d790 0009d790 861f5958 nt!CmpParseKey+0x552
f4c09c10 80581aba 0000025c f4c09c50 00000040 nt!ObpLookupObjectName+0x117
f4c09c64 805827cd 00000000 863c7708 00000101 nt!ObOpenObjectByName+0xe9
f4c09d34 f77f3fbc 000a33e0 00020019 00a7e384 nt!NtOpenKey+0x191
WARNING: Stack unwind information not available. Following frames may be wrong.
f4c09d64 863ce7c8 861ee278 f3533cec f3533d98 a347bus+0xdfbc
00000000 00000000 00000000 00000000 00000000 0x863ce7c8


STACK_COMMAND: .bugcheck ; kb

FOLLOWUP_IP:
nt!ExDeferredFreePool+fb
8053cf57 8913 mov [ebx],edx

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: Pool_corruption

SYMBOL_NAME: nt!ExDeferredFreePool+fb

MODULE_NAME: Pool_Corruption

IMAGE_NAME: Pool_Corruption

DEBUG_FLR_IMAGE_TIMESTAMP: 0

BUCKET_ID: 0x8E_nt!ExDeferredFreePool+fb

Followup: Pool_corruption
---------

Bugcheck2;

kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

POOL_CORRUPTION_IN_FILE_AREA (de)
A driver corrupted pool memory used for holding pages destined for disk.
This was discovered by the memory manager when dereferencing the file.
Arguments:
Arg1: 00000002
Arg2: e3c4ac08
Arg3: e368526c
Arg4: 383ff8c2

Debugging Details:
------------------


CUSTOMER_CRASH_COUNT: 2

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xDE

LAST_CONTROL_TRANSFER: from 80519842 to 805266db

STACK_TEXT:
f33af548 80519842 000000de 00000002 e3c4ac08 nt!KeBugCheckEx+0x19
f33af58c 804f8aef e3c4ac08 01000000 00000001 nt!MmPurgeSection+0x4cc
f33af5bc 804e8b4e 859d522c f33af624 00000000 nt!CcPurgeCacheSection+0xd2
f33af5f0 804e8b0a 85590598 f33af624 ffffffff nt!CcPurgeAndClearCacheSection+0xe3
f33af62c f767328d 00000000 00436998 f76893c8 nt!CcSetFileSizes+0x21b
f33af654 f76a60b6 854ed378 e3436998 e3436988 Ntfs!NtfsSetBothCacheSizes+0x6f
f33af6b8 f76a9f7a f33afa9c 854ed378 00000001 Ntfs!NtfsDeleteAllocation+0x37e
f33af72c f76a9fe2 f33afa9c e34368c0 f33af7dc Ntfs!NtfsDeleteAllocationFromRecord+0x15a
f33af85c f76a98c3 f33afa9c e34368c0 e3b5c560 Ntfs!NtfsDeleteFile+0x25a
f33afa78 f7693ac0 f33afa9c 854d5270 862d1c80 Ntfs!NtfsCommonCleanup+0x1090
f33afbf0 804eca36 862ce020 854d5270 8637c7a8 Ntfs!NtfsFsdCleanup+0xcf
f33afc00 f771466f 857fd3b0 854d5280 f33afc54 nt!IopfCallDriver+0x31
f33afc10 804eca36 862d1bc8 e3bbec48 854d5270 sr!SrCleanup+0xb1
f33afc20 80586cda 857fd398 863f1e70 00000001 nt!IopfCallDriver+0x31
f33afc54 805812b4 85c67408 862d1bc8 00010080 nt!IopCloseFile+0x261
f33afc84 80581108 85c67408 857fd3b0 863f1e70 nt!ObpDecrementHandleCount+0x119
f33afcac 8058132d e2d7e118 857fd3b0 0000020c nt!ObpCloseHandleTableEntry+0x14b
f33afcf4 8058136e 0000020c 00000001 00000000 nt!ObpCloseHandle+0x85
f33afd2c f7b42371 0000020c f7b4230c f33afd64 nt!NtClose+0x19
WARNING: Stack unwind information not available. Following frames may be wrong.
f33afd58 804da140 0000020c 00000000 863ce7c8 AVGNTDD+0x3371
f33afd64 863ce7c8 8599d020 ee714cec ee714d98 nt!KiSystemService+0xc4
00000000 00000000 00000000 00000000 00000000 0x863ce7c8


FOLLOWUP_IP:
AVGNTDD+3371
f7b42371 ?? ???

SYMBOL_STACK_INDEX: 13

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: AVGNTDD+3371

MODULE_NAME: AVGNTDD

IMAGE_NAME: AVGNTDD.SYS

DEBUG_FLR_IMAGE_TIMESTAMP: 4188b25d

STACK_COMMAND: kb

BUCKET_ID: 0xDE_AVGNTDD+3371

Followup: MachineOwner
---------

Hier steht nochmal Eindeutig, das der Treiber AVGNTDD.SYS den Fehler POOL_CORRUPTION_IN_FILE_AREA (de) verursacht.
Deckt sich somit auch mit dem ersten Bugcheck.

Im Forum gab es viele Ursachen mit dem Treiber.
Siehe Link.

Gruß

 

[-eraz-]

@ eras

Ich habe die volle Version von den Symbolen bei Microsoft geladen.
Sind über 750 MB.
Daher gibt es bei den Ergebnissen die Unterschiede.

hmm... ja schon, aber eigentlich stehen dem Debugger über http nur die aktuellsten Files zur verfügung (und vorallem alle Files). Nach meinem logischen denken solltest eher du so einen Fehler haben und nicht ich - naja egal, darüber zerbrech ich mir jetzt nicht den Kopf

 

[Fiona]

@ eras

Das ist schon richtig das man über das Internet die neuesten Symbole ladet.
Sollte auch am genauesten sein.

Hatte aber schon Fälle gelöst, das ich die Vollversion genommen hatte.

Mit laden der Symbole über Internet hatte ich nur Memory Corruption.
Die Folge waren einige Stunden Memtest.
Dann Vollversion Symbole geladen und Hinweis war nv4disp.dll.
Damit hatte es funktioniert.

Frage mich nicht warum.
Hatte mir deshalb schon sehr viel den Kopf zerbrochen.
Hatte mir schon die Mühe gemacht alles neu runterzuladen und zu überprüfen.
Die Ergebnisse waren trotzdem unterschiedlich.
Vielleicht sind die Symbole in der Vollversion auch nicht aktuell auf dem M$-Server.

Ich lade gerade noch mal die Vollversion runter und vergleiche die Ergebnisse.

Zur Zeit habe ich auch wieder den Internet-Pfad eingestellt.
SRV*downstream store*http://msdl.microsoft.com/download/symbols

Im ersten Bugcheck hatte ich auch schon einen Hinweis auf die Datei a347bus.sys.

Unable to load image a347bus.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for a347bus.sys
*** ERROR: Module load completed but symbols could not be loaded for a347bus.sys

Daher hast du auch recht, das es die Datei a347bus.sys betreffen kann.


@ Muuhmann

Somit kann es bei dir auch Alcohol 120 betreffen.
Dieses wird hier aber leider nicht mit mehr als die Deinstallation unterstützt, da es nicht nachvollzogen werden kann ist es die legale oder illegale Version.

Du kannst dir ja beides Anschauen.

Viele Grüße

Fiona