Bluescreen ntkrnlmp.exe

[se7Ro]

hallo zusammen,

ich habe schon etwas länger Bluescreens auf meinem Windows Server 2008 R2 x64.

Hardware:
Core2Duo E8400 @ 3GHz
2GB RAM
300GB Festplatte
Onboard-Graka

Auf dem Server läuft VMWare Workstation und eine VM.

Ich habe bereits im Internet gesucht und die Treiber (Grafikkarte, Chipsatz, ..) überprüft, konnte jedoch keinen Fehler feststellen. Den Arbeitsspeicher werde ich über Nacht testen. Ansonsten wurde weder auf Soft- noch Hardwareebene etwas verändert, was zu den Bluescreens führen könnte.




Auswertung des Minidumps:

Spoiler

Loading Dump File [C:\Windows\Minidump\060815-26535-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available


************* Symbol Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
Symbol search path is: SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x64
Product: Server, suite: TerminalServer
Built by: 7601.18798.amd64fre.win7sp1_gdr.150316-1654
Machine Name:
Kernel base = 0xfffff800`01a01000 PsLoadedModuleList = 0xfffff800`01c46890
Debug session time: Mon Jun  8 00:31:01.452 2015 (UTC + 2:00)
System Uptime: 0 days 1:06:13.139
Loading Kernel Symbols
.

Press ctrl-c (cdb, kd, ntsd) or ctrl-break (windbg) to abort symbol loads that take too long.
Run !sym noisy before .reload to track down problems loading symbols.

..............................................................
................................................................
.........................
Loading User Symbols
Loading unloaded module list
......
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1A, {41284, 12d0001, fbe, fffff70001080000}

Probably caused by : ntkrnlmp.exe ( nt! ?? ::FNODOBFM::`string'+4ad3 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

MEMORY_MANAGEMENT (1a)
    # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000041284, A PTE or the working set list is corrupt.
Arg2: 00000000012d0001
Arg3: 0000000000000fbe
Arg4: fffff70001080000

Debugging Details:
------------------


BUGCHECK_STR:  0x1a_41284

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT_SERVER

PROCESS_NAME:  svchost.exe

CURRENT_IRQL:  0

ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500) amd64fre

LAST_CONTROL_TRANSFER:  from fffff80001acab27 to fffff80001a73a40

STACK_TEXT:  
fffff880`03f5caa8 fffff800`01acab27 : 00000000`0000001a 00000000`00041284 00000000`012d0001 00000000`00000fbe : nt!KeBugCheckEx
fffff880`03f5cab0 fffff800`01b8e7ea : ffffffff`ffffffff fffffa80`01e50060 fffffa80`01e50060 00000000`00000001 : nt! ?? ::FNODOBFM::`string'+0x4ad3
fffff880`03f5caf0 fffff800`01a72cd3 : fffffa80`01e50060 00000000`0171e690 00000000`0171e698 00000000`0030a380 : nt!NtUnlockVirtualMemory+0x20a
fffff880`03f5cbe0 00000000`7775f49a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`0171e658 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x7775f49a


STACK_COMMAND:  kb

FOLLOWUP_IP: 
nt! ?? ::FNODOBFM::`string'+4ad3
fffff800`01acab27 cc              int     3

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  nt! ?? ::FNODOBFM::`string'+4ad3

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: nt

IMAGE_NAME:  ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5507a73c

IMAGE_VERSION:  6.1.7601.18798

FAILURE_BUCKET_ID:  X64_0x1a_41284_nt!_??_::FNODOBFM::_string_+4ad3

BUCKET_ID:  X64_0x1a_41284_nt!_??_::FNODOBFM::_string_+4ad3

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:x64_0x1a_41284_nt!_??_::fnodobfm::_string_+4ad3

FAILURE_ID_HASH:  {be05fdaa-4306-87c0-1518-88e378a4f79a}

Followup: MachineOwner
---------

Ein weiterer Dump:

Spoiler

Microsoft (R) Windows Debugger Version 6.3.9600.17336 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available


************* Symbol Path validation summary **************
Response                         Time (ms)     Location
Deferred                                       SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
Symbol search path is: SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is: 
Windows 7 Kernel Version 7601 (Service Pack 1) MP (2 procs) Free x64
Product: Server, suite: TerminalServer
Built by: 7601.18798.amd64fre.win7sp1_gdr.150316-1654
Machine Name:
Kernel base = 0xfffff800`01a1d000 PsLoadedModuleList = 0xfffff800`01c62890
Debug session time: Tue Jun  9 03:00:29.360 2015 (UTC + 2:00)
System Uptime: 0 days 4:26:41.923
Loading Kernel Symbols
...............................................................
................................................................
.........................
Loading User Symbols
PEB is paged out (Peb.Ldr = 000007ff`fffdf018).  Type ".hh dbgerr001" for details
Loading unloaded module list
......
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck DE, {2, fffff8a0003bdfd0, fffff6fb40004001, bfc58c0}

Probably caused by : ntkrnlmp.exe ( nt! ?? ::FNODOBFM::`string'+2c811 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

POOL_CORRUPTION_IN_FILE_AREA (de)
A driver corrupted pool memory used for holding pages destined for disk.
This was discovered by the memory manager when dereferencing the file.
Arguments:
Arg1: 0000000000000002
Arg2: fffff8a0003bdfd0
Arg3: fffff6fb40004001
Arg4: 000000000bfc58c0

Debugging Details:
------------------


DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

BUGCHECK_STR:  0xDE

PROCESS_NAME:  MRT.exe

CURRENT_IRQL:  2

ANALYSIS_VERSION: 6.3.9600.17336 (debuggers(dbg).150226-1500) amd64fre

LAST_CONTROL_TRANSFER:  from fffff80001afbc3d to fffff80001a8fa40

STACK_TEXT:  
fffff880`06072d18 fffff800`01afbc3d : 00000000`000000de 00000000`00000002 fffff8a0`003bdfd0 fffff6fb`40004001 : nt!KeBugCheckEx
fffff880`06072d20 fffff800`01a5e3b2 : 00000000`00000000 fffffa80`01dea000 00000000`00000000 00000000`00000000 : nt! ?? ::FNODOBFM::`string'+0x2c811
fffff880`06072e10 fffff880`01891ec2 : fffffa80`02613b08 fffff8a0`01280140 fffff880`00000000 00000000`00000000 : nt!CcPurgeCacheSection+0x172
fffff880`06072e80 fffff880`018b118d : fffff880`060736f0 fffff8a0`01280010 fffff8a0`012b4140 fffff880`06073178 : Ntfs!NtfsDeleteFile+0x552
fffff880`060730f0 fffff880`01821639 : fffff980`33a83400 fffff880`018be7c0 fffff880`06073650 00000000`00006000 : Ntfs!NtfsCommonCleanup+0x166d
fffff880`06073510 fffff800`01a9c3d8 : fffff880`06073650 fffff880`06073628 00000000`01c4e9c0 00000000`00000000 : Ntfs!NtfsCommonCleanupCallout+0x19
fffff880`06073540 fffff880`018216b2 : fffff880`01821620 fffff880`018cb55e fffff880`06073900 00000000`00000000 : nt!KeExpandKernelStackAndCalloutEx+0xd8
fffff880`06073620 fffff880`018beba4 : fffff880`060736f0 fffff880`060736f0 fffff880`060736f0 fffff880`060736b0 : Ntfs!NtfsCommonCleanupOnNewStack+0x42
fffff880`06073690 fffff880`016f1bcf : fffff880`060736f0 fffffa80`01c4e740 fffffa80`01c4ea08 fffffa80`021d8010 : Ntfs!NtfsFsdCleanup+0x144
fffff880`06073900 fffff880`016f06df : fffffa80`010515f0 00000000`00000000 fffffa80`00f0a400 fffffa80`01c4e740 : fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x24f
fffff880`06073990 fffff800`01d97aff : fffffa80`01c4e740 fffffa80`02624060 00000000`00000000 fffffa80`0151c980 : fltmgr!FltpDispatch+0xcf
fffff880`060739f0 fffff800`01d8601e : 00000000`00000000 fffffa80`0151c950 fffffa80`01c40100 fffffa80`0151c980 : nt!IopCloseFile+0x11f
fffff880`06073a80 fffff800`01d85c8f : fffffa80`0151c950 fffffa80`00000001 fffff8a0`0adf3590 00000000`00000000 : nt!ObpDecrementHandleCount+0x8e
fffff880`06073b00 fffff800`01d863b4 : 00000000`00000104 fffffa80`02624060 fffff8a0`0adf3590 00000000`00000104 : nt!ObpCloseHandleTableEntry+0xaf
fffff880`06073b90 fffff800`01a8ecd3 : fffffa80`026ad060 fffff880`06073c60 00000000`00206a00 00000001`3fbf26b0 : nt!ObpCloseHandle+0x94
fffff880`06073be0 00000000`76dadcca : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`000af678 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x76dadcca


STACK_COMMAND:  kb

FOLLOWUP_IP: 
nt! ?? ::FNODOBFM::`string'+2c811
fffff800`01afbc3d cc              int     3

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  nt! ?? ::FNODOBFM::`string'+2c811

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: nt

IMAGE_NAME:  ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP:  5507a73c

IMAGE_VERSION:  6.1.7601.18798

FAILURE_BUCKET_ID:  X64_0xDE_nt!_??_::FNODOBFM::_string_+2c811

BUCKET_ID:  X64_0xDE_nt!_??_::FNODOBFM::_string_+2c811

ANALYSIS_SOURCE:  KM

FAILURE_ID_HASH_STRING:  km:x64_0xde_nt!_??_::fnodobfm::_string_+2c811

FAILURE_ID_HASH:  {1c76678a-1aa8-8173-68d0-56e90dfe7608}

Followup: MachineOwner
---------

Interessant ist folgender Punkt in Zeile 80 (erster Dump):
"nt!NtUnlockVirtualMemory+0x20a"

Könnte das mit der virtuellen Maschine zusammenhängen?

Vielen Dank,

Gruß


edit: sehe gerade, dass es eine Win-Server Kategorie gibt, hab ich leider übersehen

 

[majusss]

Checke die Festplatte auf defekte Sektoren etc. vlt bei der Auslagerung vom RAM auf einen kaputten Sektor gestoßen und dabei gecrasht.

Offtopic:
Wieso verwendest du windows? Wenn es zum arbeiten sein soll kann ich dir nur ein aktuelels Debian und KVM via Qemu ans Herz legen. Wesentlich schneller als alles andere auf dem Markt. So kompliziert ist das alles auch nicht und für Debian kannst du ja einfach einen Desktop installieren..

 

[se7Ro]

Werd ich heute Nacht alles mal testen, hab schon Arbeitsspeicher ausgekramt.

Ich arbeite nur mit Windows, mit Linux Distributionen kenne ich mich nicht aus. Habe zwar ein altes Notebook zum Testen (ArchLinux), mehr mache ich da aber momentan nicht.. werde es aber mal testen


edit:
Habe nach einem Neustart, als ich mich in Windows angemeldet habe, einen Bluescreen mit dem Stopcode 1E erhalten.. selbst der Bluescreen ist eingefroren, ein Dump wurde nicht angelegt.

edit2:
bekam gerade noch zwei Bluescreens mit folgenden Codes hinterhergeworfen: 0x50 und 0xD1
Dumps müssten angelegt sein, nur komme ich nicht mal soweit diese auszuwerten bzw. auf einen Stick zu kopieren.

Weder unter Windows noch im abgesicherten Modus..

 

[majusss]

Dann würde ich einfach ein Live-Linux erstellen und das booten. Dann den RAM und HDD damit testen. Einfach alles googeln.

 

[simpel1970]

Dafür eignet sich z.B. auch die Ultimate Boot CD, mit der du viele hilfreiche Tools (unter anderem auch Prüfprogramme für RAM und Festplatten) an die Hand bekommst: https://www.ultimatebootcd.com/

Interessant ist folgender Punkt in Zeile 80 (erster Dump):
"nt!NtUnlockVirtualMemory+0x20a"

Könnte das mit der virtuellen Maschine zusammenhängen?

Nein, das hat mit der virtuellen Maschine nichts zu tun. Virtual Memory ist der virtuelle Speicher (Adressraum im virtuellen Speicher).
Auch die variierenden Stopfehlercodes lassen eher auf ein (allgemeines) Problem mit dem Speichermanagement schließen. Speicher i.d.S. kann jedoch so gut wie alles sein. Insbes. der RAM gehört hier zu den häufigsten Problemquellen.