KMODE_EXCEPTION_NOT_HANDLED

[erich56]

auf meinem PC, bei dem ich vor über einem Jahr Win10 installiert habe und der bislang problemlos lief, gibt es seit einigen Tagen immer wieder Abstürze mit Neustarts (1-2 mal pro Tag).
Ich habe vor Beginn dieser Probleme, mit Ausnahme der Virenscanner-Updates, so gut wie nichts verändert; weder irgendwelche Programme neu installiert noch deinstalliert.

Memtest 86 v7.5 (stundenlang gelaufen in mehreren Durchgängen) zeigt keine Speicherprobleme.
sfc /scannow hat ebenfalls keinerlei Probleme entdeckt.
Hitzeprobleme gibt es auch keine, bedingt durch einen sehr leistungsstarken Kühler läuft die CPU mit ca. 53-55°C.

Die Windows-Ereignisanzeige sagt folgendes: Ereignis ID: 1001. Der Computer wurde nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x0000001e (0xffffffffc0000005, 0x0000000000000000, 0x0000000000000008, 0x0000000000000000). Ein volles Abbild wurde gespeichert in: C:\Windows\MEMORY.DMP. Berichts-ID: b4ae22cc-94ed-4f00-b97a-711606e4becc.

Die mittels "WhoCrashed" ausgelesenen memory dump und minidump files sagen folgendes:

System Information (local)
--------------------------------------------------------------------------------
Computer name: GPUGRID-WIN10
Windows version: Windows 10 , 10.0, version 1803, build: 17134
Windows dir: C:\Windows
Hardware: ASUSTeK COMPUTER INC., P9X79 WS
CPU: GenuineIntel Intel(R) Core(TM) i7-4930K CPU @ 3.40GHz Intel8664, level: 6
12 logical processors, active mask: 4095
RAM: 34297679872 bytes (31,9GB)

Crash Dump Analysis
--------------------------------------------------------------------------------
Crash dumps are enabled on your computer.

Crash dump directories:
C:\Windows
C:\Windows\Minidump

On Sun 16.06.2019 23:57:16 your computer crashed or a problem was reported
crash dump file: C:\Windows\Minidump\061619-37515-01.dmp
This was probably caused by the following module: ntoskrnl.exe (nt+0x1AA0A0)
Bugcheck code: 0x1E (0xFFFFFFFFC0000005, 0x0, 0x8, 0x0)
Error: KMODE_EXCEPTION_NOT_HANDLED
file path: C:\Windows\system32\ntoskrnl.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
Bug check description: This indicates that a kernel-mode program generated an exception which the error handler did not catch.
This might be a case of memory corruption. This may be because of a hardware issue such as faulty RAM, overheating (thermal issue) or because of a buggy driver.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.

-----------------------------------------------------
On Sun 16.06.2019 23:57:16 your computer crashed or a problem was reported
crash dump file: C:\Windows\MEMORY.DMP
This was probably caused by the following module: ntkrnlmp.exe (nt!RtlCaptureStackBackTrace+0x62D)
Bugcheck code: 0x1E (0xFFFFFFFFC0000005, 0x0, 0x8, 0x0)
Error: KMODE_EXCEPTION_NOT_HANDLED
Bug check description: This indicates that a kernel-mode program generated an exception which the error handler did not catch.
This might be a case of memory corruption. This may be because of a hardware issue such as faulty RAM, overheating (thermal issue) or because of a buggy driver.
The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time.

Conclusion
--------------------------------------------------------------------------------
2 crash dumps have been found and analyzed. No offending third party drivers have been found

Natürlich habe ich mittlerweile ausgiebig gegoogelt, eigentlich nur um - frustrierenderweise - herauszufinden, daß dieses Problem so gut wie durch alles und jedes verursacht werden kann - Hardware wie auch Software.

Gibt es hier trotzdem vielleicht jemanden, der aufgrund seiner/ihrer fachlichen Kenntnisse und Erfahrungen aufgrund der oben gezeigten Fehlermeldungen zumindest einen bestimmten Verdacht äußern kann?

 

[Dancefly]

Öffne Mal die dmp Datei mit windbg und danach gibt Mal !analyze -v ein dann wissen wir mehr

 

[erich56]

oje, da stehe ich jetzt "auf der Leitung" - wie komme ich zu "windbg"?

 

[Dancefly]

Ist ein Bestandteil von Windows einfach in der Suchleiste Windbg eingeben,das Programm kann dmp Dateien genau analysieren

 

[erich56]

"keine Ergebnisse gefunden für Windbg" - das kommt in der Suchleiste :-(

 

[Dancefly]

https://www.microsoft.com/de-de/p/windbg-preview/9pgjgd53tn86?rtc=1&activetab=pivot:overviewtab

Lade dir bitte die neuste Version herunter


Sobald ich am PC bin kann ich es dir genau dann zeigen

 

[xexex]

Wie wäre es denn, wenn du schlichtweg das aktuellste Windows Update (1903) installierst und schaust ob die Probleme dann noch vorhanden sind?

 

[Dancefly]

Wie wäre es denn, wenn du schlichtweg das aktuellste Windows Update (1903) installierst und schaust ob die Probleme dann noch vorhanden sind?

Da muss er gucken,ob danach alle Programme und spiele mit Windows 1903 laufen.bei mir laufen z.B seit der neuen Version ein Spiel nicht mehr und ein vst für fl Studio nicht mehr

 

[ando99]

Wie wäre es denn, wenn du schlichtweg das aktuellste Windows Update (1903) installierst und schaust ob die Probleme dann noch vorhanden sind?

Schlechte Idee.
Wenn es blöd geht, kommst dann nicht mal bei der Installlationroutine weiter.

 

[Dancefly]

Bei mir sieht es so aus

 

[xexex]

Schlechte Idee.

Das Update wird der TE früher oder später sowieso installieren müssen und möglicherweise spart er sich damit eine weitere Fehlersuche. Am 12.11.2019 fliegt die 1803 aus dem Support raus.
https://support.microsoft.com/de-de/help/13853/windows-lifecycle-fact-sheet

 

[Dancefly]

Das Update wird der TE früher oder später sowieso installieren müssen und möglicherweise spart er sich damit eine weitere Fehlersuche. Am 12.11.2019 fliegt die 1803 aus dem Support raus.
https://support.microsoft.com/de-de/help/13853/windows-lifecycle-fact-sheet

Sobald man ein Hardware Problem ausschliesen kann,dann würde ich Upgraden. Ich vermute, dass es bei erich 56 um ein Software/Treiber Problem handelt.

 

[erich56]

danke für den link. Habe das Tool runtergeladen, installiert und laufen lassen (auch analyse -v):

Microsoft (R) Windows Debugger Version 10.0.18869.1002 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Erich\Documents\MEMORY.DMP]
Kernel Bitmap Dump File: Kernel address space is available, User address space may not be available.


Path validation summary *
Response Time (ms) Location
Deferred srv*
Symbol search path is: srv*
Executable search path is:
Windows 10 Kernel Version 17134 MP (12 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 17134.1.amd64fre.rs4_release.180410-1804
Machine Name:
Kernel base = 0xfffff802`70419000 PsLoadedModuleList = 0xfffff802`707c7150
Debug session time: Sun Jun 16 23:57:16.498 2019 (UTC + 2:00)
System Uptime: 0 days 14:55:24.566
Loading Kernel Symbols
.....................................Page 2001ba3be too large to be in the dump file.
Page 2000042bd too large to be in the dump file.
..........................
................................................................
.............................................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 00000000`01ed5018). Type ".hh dbgerr001" for details
Loading unloaded module list
.........
For analysis of this file, run !analyze -v
nt!KeBugCheckEx:
fffff802`705c30a0 48894c2408 mov qword ptr [rsp+8],rcx ss:0018:ffffd489`85d1cd20=000000000000001e
10: kd> !analyze -v
***

• *
• Bugcheck Analysis *
• *

***

KMODE_EXCEPTION_NOT_HANDLED (1e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: ffffffffc0000005, The exception code that was not handled
Arg2: 0000000000000000, The address that the exception occurred at
Arg3: 0000000000000008, Parameter 0 of the exception
Arg4: 0000000000000000, Parameter 1 of the exception

Debugging Details:
------------------

*
* *
* *
* Either you specified an unqualified symbol, or your debugger *
* doesn't have full symbol information. Unqualified symbol *
* resolution is turned off by default. Please either specify a *
* fully qualified symbol module!symbolname, or enable resolution *
* of unqualified symbols by typing ".symopt- 100". Note that *
* enabling unqualified symbol resolution with network symbol *
* server shares in the symbol path may cause the debugger to *
* appear to hang for long periods of time when an incorrect *
* symbol name is typed or the network symbol server is down. *
* *
* For some commands to work properly, your symbol path *
* must point to .pdb files that have full type information. *
* *
* Certain .pdb files (such as the public OS symbols) do not *
* contain the required information. Contact the group that *
* provided you with these symbols if you need this command to *
* work. *
* *
* Type referenced: ExceptionRecord *
* *
*
*
* *
* *
* Either you specified an unqualified symbol, or your debugger *
* doesn't have full symbol information. Unqualified symbol *
* resolution is turned off by default. Please either specify a *
* fully qualified symbol module!symbolname, or enable resolution *
* of unqualified symbols by typing ".symopt- 100". Note that *
* enabling unqualified symbol resolution with network symbol *
* server shares in the symbol path may cause the debugger to *
* appear to hang for long periods of time when an incorrect *
* symbol name is typed or the network symbol server is down. *
* *
* For some commands to work properly, your symbol path *
* must point to .pdb files that have full type information. *
* *
* Certain .pdb files (such as the public OS symbols) do not *
* contain the required information. Contact the group that *
* provided you with these symbols if you need this command to *
* work. *
* *
* Type referenced: ContextRecord *
* *
*

KEY_VALUES_STRING: 1

Key : Analysis.CPU.Sec
Value: 63

Key : Analysis.Elapsed.Sec
Value: 64

Key : Analysis.Memory.CommitPeak.Mb
Value: 273


PROCESSES_ANALYSIS: 1

SERVICE_ANALYSIS: 1

STACKHASH_ANALYSIS: 1

TIMELINE_ANALYSIS: 1


DUMP_CLASS: 1

DUMP_QUALIFIER: 401

BUILD_VERSION_STRING: 17134.1.amd64fre.rs4_release.180410-1804

SYSTEM_MANUFACTURER: System manufacturer

SYSTEM_PRODUCT_NAME: System Product Name

SYSTEM_SKU: SKU

SYSTEM_VERSION: System Version

BIOS_VENDOR: American Megatrends Inc.

BIOS_VERSION: 4802

BIOS_DATE: 06/02/2015

BASEBOARD_MANUFACTURER: ASUSTeK COMPUTER INC.

BASEBOARD_PRODUCT: P9X79 WS

BASEBOARD_VERSION: Rev 1.xx

DUMP_TYPE: 1

BUGCHECK_P1: ffffffffc0000005

BUGCHECK_P2: 0

BUGCHECK_P3: 8

BUGCHECK_P4: 0

CPU_COUNT: c

CPU_MHZ: d48

CPU_VENDOR: GenuineIntel

CPU_FAMILY: 6

CPU_MODEL: 3e

CPU_STEPPING: 4

CPU_MICROCODE: 6,3e,4,0 (F,M,S,R) SIG: 428'00000000 (cache) 428'00000000 (init)

BLACKBOXBSD: 1 (!blackboxbsd)


BLACKBOXPNP: 1 (!blackboxpnp)


DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT

BUGCHECK_STR: 0x1E

PROCESS_NAME: GPU-Z.exe

CURRENT_IRQL: 0

ANALYSIS_SESSION_HOST: GPUGRID-WIN10

ANALYSIS_SESSION_TIME: 06-17-2019 07:49:43.0094

ANALYSIS_VERSION: 10.0.18869.1002 amd64fre

TRAP_FRAME: ffffb1868f42f000 -- (.trap 0xffffb1868f42f000)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
Unable to get program counter
rax=0000000000000000 rbx=0000000000000000 rcx=0000000000000000
rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80732fc8ce4 rsp=fffff80732fcd424 rbp=fffff80732fcc434
r8=0000000000000000 r9=0000000000000000 r10=0000000000000000
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 vip vif ov dn di ng nz na po nc
8c6c:8ce4 ?? ???
Resetting default scope

BAD_STACK_POINTER: fffff80732fcd424

IP_IN_FREE_BLOCK: 0

LAST_CONTROL_TRANSFER: from fffff802704d99ad to fffff802705c30a0

STACK_COMMAND: .trap 0xffffb1868f42f000 ; kb

THREAD_SHA1_HASH_MOD_FUNC: d79c3f9e9541b50dff558588ee91b494a55f2aae

THREAD_SHA1_HASH_MOD_FUNC_OFFSET: aec45d7f8a6ffa744cacd570be4de2306ffa003f

THREAD_SHA1_HASH_MOD: d79c3f9e9541b50dff558588ee91b494a55f2aae

FOLLOWUP_IP:
nvlddmkm+1e8ce4
fffff807`32fc8ce4 48895c2408 mov qword ptr [rsp+8],rbx

FAULT_INSTR_CODE: 245c8948

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nvlddmkm+1e8ce4

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nvlddmkm

IMAGE_NAME: nvlddmkm.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 5b2fbada

BUCKET_ID_FUNC_OFFSET: 1e8ce4

FAILURE_BUCKET_ID: 0x1E_STACKPTR_ERROR_nvlddmkm!unknown_function

BUCKET_ID: 0x1E_STACKPTR_ERROR_nvlddmkm!unknown_function

PRIMARY_PROBLEM_CLASS: 0x1E_STACKPTR_ERROR_nvlddmkm!unknown_function

TARGET_TIME: 2019-06-16T21:57:16.000Z

OSBUILD: 17134

OSSERVICEPACK: 0

SERVICEPACK_NUMBER: 0

OS_REVISION: 0

SUITE_MASK: 784

PRODUCT_TYPE: 1

OSPLATFORM_TYPE: x64

OSNAME: Windows 10

OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS Personal

OS_LOCALE:

USER_LCID: 0

OSBUILD_TIMESTAMP: 2019-01-01 07:44:13

BUILDDATESTAMP_STR: 180410-1804

BUILDLAB_STR: rs4_release

BUILDOSVER_STR: 10.0.17134.1.amd64fre.rs4_release.180410-1804

ANALYSIS_SESSION_ELAPSED_TIME: fab9

ANALYSIS_SOURCE: KM

FAILURE_ID_HASH_STRING: km:0x1e_stackptr_error_nvlddmkm!unknown_function

FAILURE_ID_HASH: {fde28f7f-8386-0487-0b29-22cc2c901872}

Followup: MachineOwner
---------

Ergänzung (17. Juni 2019)

mir fällt bei ganz genauer Durchsicht die Erwähnung "PROCESS_NAME: GPU-Z.exe" auf.
Könnte das ein Hinweis dafür sein, daß dieses Programm das Problem verursacht?

 

[Dancefly]

Gib mal bitte in den settings das ein und führe es nochmal durch

srv*c:\symbols*http://msdl.microsoft.com/download/symbols

Ergänzung (17. Juni 2019)

mir fällt bei ganz genauer Durchsicht die Erwähnung "PROCESS_NAME: GPU-Z.exe" auf.
Könnte das ein Hinweis dafür sein, daß dieses Programm das Problem verursacht?

läuft es bei dir immer im Hintergrund?

 

[erich56]

okay, gemacht.
Damit wird das ganze nun aber wesentlich kürzer (und vermutlich weniger aussagekräftig):
Microsoft (R) Windows Debugger Version 10.0.18869.1002 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Users\Erich\Documents\MEMORY.DMP]
Kernel Bitmap Dump File: Kernel address space is available, User address space may not be available.


* Path validation summary **
Response Time (ms) Location
Deferred srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Symbol search path is: srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 10 Kernel Version 17134 MP (12 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 17134.1.amd64fre.rs4_release.180410-1804
Machine Name:
Kernel base = 0xfffff802`70419000 PsLoadedModuleList = 0xfffff802`707c7150
Debug session time: Sun Jun 16 23:57:16.498 2019 (UTC + 2:00)
System Uptime: 0 days 14:55:24.566
Loading Kernel Symbols
.....................................Page 2001ba3be too large to be in the dump file.
Page 2000042bd too large to be in the dump file.
..........................
................................................................
.............................................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 00000000`01ed5018). Type ".hh dbgerr001" for details
Loading unloaded module list
.........
For analysis of this file, run !analyze -v
nt!KeBugCheckEx:
fffff802`705c30a0 48894c2408 mov qword ptr [rsp+8],rcx ss:0018:ffffd489`85d1cd20=000000000000001e
10: kd> !analyze -v
***

• *
• Bugcheck Analysis *
• *

***

KMODE_EXCEPTION_NOT_HANDLED (1e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: ffffffffc0000005, The exception code that was not handled
Arg2: 0000000000000000, The address that the exception occurred at
Arg3: 0000000000000008, Parameter 0 of the exception
Arg4: 0000000000000000, Parameter 1 of the exception

Debugging Details:
------------------

*
* *
* *
* Either you specified an unqualified symbol, or your debugger *
* doesn't have full symbol information. Unqualified symbol *
* resolution is turned off by default. Please either specify a *
* fully qualified symbol module!symbolname, or enable resolution *
* of unqualified symbols by typing ".symopt- 100". Note that *
* enabling unqualified symbol resolution with network symbol *
* server shares in the symbol path may cause the debugger to *
* appear to hang for long periods of time when an incorrect *
* symbol name is typed or the network symbol server is down. *
* *
* For some commands to work properly, your symbol path *
* must point to .pdb files that have full type information. *
* *
* Certain .pdb files (such as the public OS symbols) do not *
* contain the required information. Contact the group that *
* provided you with these symbols if you need this command to *
* work. *
* *
* Type referenced: ExceptionRecord *
* *
*
*
* *
* *
* Either you specified an unqualified symbol, or your debugger *
* doesn't have full symbol information. Unqualified symbol *
* resolution is turned off by default. Please either specify a *
* fully qualified symbol module!symbolname, or enable resolution *
* of unqualified symbols by typing ".symopt- 100". Note that *
* enabling unqualified symbol resolution with network symbol *
* server shares in the symbol path may cause the debugger to *
* appear to hang for long periods of time when an incorrect *
* symbol name is typed or the network symbol server is down. *
* *
* For some commands to work properly, your symbol path *
* must point to .pdb files that have full type information. *
* *
* Certain .pdb files (such as the public OS symbols) do not *
* contain the required information. Contact the group that *
* provided you with these symbols if you need this command to *
* work. *
* *
* Type referenced: ContextRecord *
* *
*

 

[TK-Shockwave]

Evtl. hier ein Hinweis:

https://www.giga.de/downloads/windows-10/tipps/loesung-kmode-exception-not-handled-windows-fehler/

 

[erich56]

wie gesagt, ich habe nun GPU-Z in Verdacht; entgegen meiner Aussage im ersten Posting fiel mir nun ein, daß ich genau dieses Tool vor kurzem auf die neueste Version upgegradet habe. Werde es mal nicht starten und sehen, was sich tut.

 

[Dancefly]

wie gesagt, ich habe nun GPU-Z in Verdacht; entgegen meiner Aussage im ersten Posting fiel mir nun ein, daß ich genau dieses Tool vor kurzem auf die neueste Version upgegradet habe. Werde es mal nicht starten und sehen, was sich tut.

OK sag uns dann bitte Bescheid,bin gespannt, ob es die Ursache war.

 

[erich56]

OK sag uns dann bitte Bescheid,bin gespannt, ob es die Ursache war.

das auf alle Fälle!

Was mir in der Folge allerdings aufgefallen ist, nämlich hinsichtlich des Windbg, ist, daß bei mehreren nochmaligen Laufenlassen dieses Programms und dem Klicken auf !analyze -v diese Analyse nicht mehr so wie beim ersten Mal durchgeführt wurde und die entsprechenden detaillierten Resultate angezeigt hat, sondern bereits nach
* Type referenced: ContextRecord *
* *
*
beendet wurde (wie in obigem Beitrag #15 beschrieben).

Was kann der Grund dafür sein?

Vielleicht benötige ich dieses Tool zum konkreten Problem eh nicht mehr (wenn tatsächlich GPU-Z der Übeltäter war), aber für etwaige künftige Fälle wäre es natürlich schade, wenn Windbg bzw. !analyze -v nicht mehr wunschgemäß funktioniert.
Habe es vorhin auch schon mal deinstalliert und neu installiert, trotzdem kommt die genaue Analyse nicht mehr :-(

 

[wirelessy]

GPU-Z scheint eine Funktion im Grafiktreiber aufgerufen zu haben, und der Grafikkartentreiber ist dabei abgestürzt. Beides aktualisieren, sollte dann passen.