Minidump-Analyse (Bluescreen)

[henfri]

Hallo,

ich habe leider seit neustem häufig nach dem Login einen BSOD.
Ich habe in der Vergangenheit schon Minidumps erfolreich analysiert, aber hier komme ich nicht weiter. Bestimmt kann mir hier aber jemand helfen.

0: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

KMODE_EXCEPTION_NOT_HANDLED (1e)
This is a very common BugCheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: c0000094, The exception code that was not handled
Arg2: 842ed40d, The address that the exception occurred at
Arg3: 00000000, Parameter 0 of the exception
Arg4: c8fb36c0, Parameter 1 of the exception

Debugging Details:
------------------


KEY_VALUES_STRING: 1

    Key  : Analysis.CPU.mSec
    Value: 13764

    Key  : Analysis.DebugAnalysisManager
    Value: Create

    Key  : Analysis.Elapsed.mSec
    Value: 13989

    Key  : Analysis.Init.CPU.mSec
    Value: 30905

    Key  : Analysis.Init.Elapsed.mSec
    Value: 1310146

    Key  : Analysis.Memory.CommitPeak.Mb
    Value: 558

    Key  : Bugcheck.Code.DumpHeader
    Value: 0x1e

    Key  : Bugcheck.Code.KiBugCheckData
    Value: 0x1e

    Key  : WER.OS.Branch
    Value: vb_release

    Key  : WER.OS.Timestamp
    Value: 2019-12-06T14:06:00Z

    Key  : WER.OS.Version
    Value: 10.0.19041.1


FILE_IN_CAB:  080522-6671-01.dmp

BUGCHECK_CODE:  1e

BUGCHECK_P1: ffffffffc0000094

BUGCHECK_P2: ffffffff842ed40d

BUGCHECK_P3: 0

BUGCHECK_P4: ffffffffc8fb36c0

EXCEPTION_PARAMETER1:  00000000

EXCEPTION_PARAMETER2:  c8fb36c0

BLACKBOXBSD: 1 (!blackboxbsd)


BLACKBOXNTFS: 1 (!blackboxntfs)


BLACKBOXPNP: 1 (!blackboxpnp)


BLACKBOXWINLOGON: 1

CUSTOMER_CRASH_COUNT:  1

PROCESS_NAME:  MsMpEng.exe

TRAP_FRAME:  c8fb374c -- (.trap 0xffffffffc8fb374c)
ErrCode = 00000000
eax=00000057 ebx=00000003 ecx=ffffffff edx=00000000 esi=8341e138 edi=83194a40
eip=842ed40d esp=c8fb37c0 ebp=c8fb3808 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
nt!MiInsertLargePageInNodeList+0xed:
842ed40d f7348d80b74c84  div     eax,dword ptr nt!MiState+0x1400 (844cb780)[ecx*4] ds:0023:844cb77c=00000000
Resetting default scope

STACK_TEXT: 
c8fb30e8 844143c6     0000001e c0000094 842ed40d nt!KeBugCheckEx
c8fb3104 8439bfc2     c8fb3668 845095b0 c8fb3210 nt!KiFatalExceptionHandler+0x1a
c8fb3128 8439bf94     c8fb3668 845095b0 c8fb3210 nt!ExecuteHandler2+0x26
c8fb3200 842f0208     c8fb3668 c8fb3210 00010037 nt!ExecuteHandler+0x24
c8fb364c 84394c31     c8fb3668 00000000 c8fb374c nt!KiDispatchException+0x2b8
c8fb36b8 8439505e     00140001 01010002 0318558b nt!KiDispatchTrapException+0x51
    <Intermediate frames may have been skipped due to lack of complete unwind>
c8fb36b8 842ed40d (T) 00140001 01010002 0318558b nt!KiTrap00+0x2c2
    <Intermediate frames may have been skipped due to lack of complete unwind>
c8fb3808 84316d83 (T) 00000001 00000001 00000001 nt!MiInsertLargePageInNodeList+0xed
c8fb387c 84316b66     83193000 01000000 00000001 nt!MiInsertLargePageChain+0x207
c8fb38a4 842f984b     00000000 00000001 83193000 nt!MiInsertDemotedPages+0x36
c8fb3980 8427fd06     00000001 000000cb 00000004 nt!MiGetLargePage+0xfb
c8fb3a20 8427cd3f     c8fb3c14 171f0000 00000006 nt!MiResolvePrivateZeroFault+0x2a6
c8fb3ab0 8427bea1     171f0000 c8fb3b90 00000000 nt!MiUserFault+0x7df
c8fb3b78 84399457     00000006 171f0000 00000001 nt!MmAccessFault+0x121
    <Intermediate frames may have been skipped due to lack of complete unwind>
c8fb3b78 5a9f9ebd (T) 00000006 171f0000 00000001 nt!KiTrap0E+0x2c7
WARNING: Frame IP not in any known module. Following frames may be wrong.
    <Intermediate frames may have been skipped due to lack of complete unwind>
0e83c670 00000000 (T) 00000000 00000000 00000000 0x5a9f9ebd


SYMBOL_NAME:  nt!MiInsertLargePageInNodeList+ed

MODULE_NAME: nt

IMAGE_VERSION:  10.0.19041.1826

STACK_COMMAND:  .cxr; .ecxr ; kb

IMAGE_NAME:  ntkrpamp.exe

BUCKET_ID_FUNC_OFFSET:  ed

FAILURE_BUCKET_ID:  0x1E_C0000094_nt!MiInsertLargePageInNodeList

OS_VERSION:  10.0.19041.1

BUILDLAB_STR:  vb_release

OSPLATFORM_TYPE:  x86

OSNAME:  Windows 10

FAILURE_ID_HASH:  {e988bea1-771e-5f2b-589a-ca5186f96d18}

Followup:     MachineOwner
---------

Ich hatte jetzt erhofft, hier einen Hinweis auf einen Treiber zu finden, en ich dann ausgetauscht hätte (durch neuere/ältere Version). Aber nix dabei.
Wo könnte ich weiter ansetzen?

Gruß,
Hendrik

 

[Nickel]

Deaktiviere mal den Windows Schnellstart:
"Windows 10: Schnellstart deaktivieren/aktivieren "
Ansonten, auch mal in den Zuverläßigkeitsverlauf schauen.

 

[Silver Server]

Die letzten fünf Files aus dem Ordner
c:/Windows/Minidump
auf den Desktop kopieren.
Mit rar oder zip verpacken.
Hier im Forum hoch laden.

 

[henfri]

@Nickel Danke, mache ich.
@Silver Server hier der Link

Gruß,
Hendrik

 

[Silver Server]

Spoiler

THREAD cd7a5680 Cid 0b30.1924 Teb: 00393000 Win32Thread: 00000000 RUNNING on processor 0
Not impersonating
GetUlongFromAddress: unable to read from 844b0b74
Owning Process b9d1e7c0 Image: MsMpEng.exe
Attached Process N/A Image: N/A
ffdf0000: Unable to get shared data
Wait Start TickCount 3154
Context Switch Count 7236 IdealProcessor: 0
UserTime 00:00:04.015
KernelTime 00:00:00.250

Da wird jeweils der Absturz durch das Programm MsMpEn.exe verursacht.

Msmpeng.exe steht für Microsoft Malware Protection Engine. Auch als ausführbare Datei des Antimalware-Dienstes bekannt, ist es das integrierte Antivirenprogramm für Windows 10-Computer.

Es ist schwer zu raten was man da machen soll. Der Absturz wird vom Schutzprogramm von Windows verursacht. Das einzige was mir da zu einfällt ist ein Antivierenprogramm zu installieren und damit auf den Defender zu verzichten.

 

[Nickel]

Das Programm ist womöglich nur "zur falschen Zeit am falsche Ort im RAM"
und schon ist es verdächtig, nur ein Leidtragender von was anderem.

 

[henfri]

Das stimmt wohl.
Aber einen Versuch ist es ja Mal wert.
Ich gucke vorher Mal ob es ein Update gibt ..

 

[Silver Server]

Eine andere Frage.
hast du den Prozessor übertaktet?

Spoiler

Processor Version Intel(R) Xeon(R) CPU E3-1225 v3 @ 3.20GHz
Processor Voltage 8ch - 1.2V
External Clock 100MHz
Max Speed 3800MHz
Current Speed 3200MHz
Status Enabled Populated
Processor Upgrade Other
L1 Cache Handle 003ah
L2 Cache Handle 003bh
L3 Cache Handle 003ch

 

[Nickel]

Max Speed 3800MHz

Dürfte der Turbo-Boost sein, der hier mit angegeben wird.

@henfri , Windows Schnellstart nun ausgeschaltet?

 

[Silver Server]

Dürfte der Turbo-Boost sein, der hier mit angegeben wird.

Turboboost ist laut Hersteller 3600MHz.
https://www.intel.de/content/www/de...1225-v3-8m-cache-3-20-ghz/specifications.html

 

[henfri]

Hallo,

Nein, übertaktet habe ich nicht. Komme leider auch nur per Teamviewer dran... Familienadmin....

Schnellstart ist jetzt aus.

Ich ändere erstmal nix weiter. Vielleicht reicht das ja schon.

Noch eine Frage:
Würde ein voller MEMORY.DMP helfen, das Problem weiter einzugrenzen?

 

[Nickel]

Turboboost ist laut Hersteller 3600MHz.

Dann wird hier eben Mist angezeigt.

 

[Silver Server]

Du hast schon die mindestens die letzten fünf Minidump Files hoch geladen das reicht.

Lies mal mit CPU-Z die Daten aus. Zeige von jeder Seite ein Bild.
https://www.drwindows.de/news/software-vorstellungen/cpu-z

 

[henfri]

Hallo,

was ich meinte: Bisher waren es ja die kleinen Speicherabbilder. Vielleicht gibt es genauere Inofmationen in einem vollen Speicherabbild?
Hier die Screenshots

Leider hatte ich gerade wieder einen BSOD. Es fällt auf, dass dies immer ca 5-10s nach dem Login passiert..

Schnellstart deaktivieren hat also nicht geholfen.

Ich habe jetzt mal den Defender deaktiviert und Antivir installiert.

 

[henfri]

Hallo,

ich habe hier zwei neue Minidumps nachdem ich den Defender deaktiviert habe.
@Silver Server magst du dir die Dumps einmal ansehen?

Gruß&Danke,
Hendrik

 

[Silver Server]

Beide Dumpfiles habe ich mir angesehen. Es ist keine Eindeutige Fehlerquelle aus zu machen. Der Absturz erfolgte jeweils bei der Benutzung von Chrome. Der Absturz weißt aber als Ursache das Betriebssystem selbst aus.

Ich würde Windows clean. neu installieren.
Nach der Installation von Windows alle Updates drauf machen.
Nur den Chipsatztreiber und den Grafikkartentreiber installieren.
Den Rechner dann drei Tage so benutzen.
Tritt kein blue screen auf ein Programm oder eine Hardware installieren.
Wieder drei Tage den Rechner so nutzen.
Solange weiter fortfahren bis entweder alles installiert ist oder ein blue screen aufgetreten ist.

 

[henfri]

Hallo,

vielen Dank!
Leider ist das der PC meiner Mutter.
Das hat zwei Nachteile:
1) nach der Neuinstallation ist "alles anders"
2) der PC ist 350km entfernt

Hast du noch eine alternative Idee?

Gruß,
Hendrik

 

[Silver Server]

Nein im Moment nicht. Die Dumpfile lässt leider keinen andren Schluss zu.

 

[cumulonimbus8]

Bei 350km? Ich hätte keine. MEMETEST86 per Bootstick notgedrungen vor Ort.
Wie viel CrystalDiskInfo aussagt wäre zu prüfen.
Und ein InPlaceUpgrade per Remote anzustoßen - das würde gewisse manuelle Maßnahmen vor Ort erfordern: hinsehen und wissen wann der Neustart durch ist.
So weit wenigstens die Dinge die man noch aus der Ferne anstupsen könnte.

CN8

 

[RFB18]

Habe hier mittlerweile auch zwei Rechner mit dem "KMODE_EXCEPTION_NOT_HANDLED" Bluescreen, von jetzt auf nachher. In den Files finde ich auch nichts konkretes.

Könnte das mit einem der letzten Windows Updates zu tun haben? Ist der Rechner deiner Mutter aktuell? Meine zwei hier sind es.