Vista SP1 x64 BSOD, ursache finden ?

[Scoty]

nach dem ich gestern nach sehr langer Zeit einen BSOD hatte (Vista SP1 x64) wollte ich diesen mittels Microsoft Debugging Tools und installierten Windows-Symbol-Paket mal schauen wo der Fehler ist. nur wenn ich das dump file öffne kommt nur:

Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB

wenn ich dann !analyze -v eingebe kommt das:

MODULE_NAME: nt

FAULTING_MODULE: fffff80001e18000 nt

DEBUG_FLR_IMAGE_TIMESTAMP: 479192b7

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: WRONG_SYMBOLS

BUGCHECK_STR: 0xDE

LAST_CONTROL_TRANSFER: from fffff80001e5e4eb to fffff80001e6d390

STACK_TEXT:
fffffa60`0fa17e18 fffff800`01e5e4eb : 00000000`000000de 00000000`00000002 fffff880`11679128 fffff880`1167e700 : nt+0x55390
fffffa60`0fa17e20 00000000`000000de : 00000000`00000002 fffff880`11679128 fffff880`1167e700 00000000`26adc8c6 : nt+0x464eb
fffffa60`0fa17e28 00000000`00000002 : fffff880`11679128 fffff880`1167e700 00000000`26adc8c6 00000000`14a00000 : 0xde
fffffa60`0fa17e30 fffff880`11679128 : fffff880`1167e700 00000000`26adc8c6 00000000`14a00000 fffffa60`00000000 : 0x2
fffffa60`0fa17e38 fffff880`1167e700 : 00000000`26adc8c6 00000000`14a00000 fffffa60`00000000 fffff880`116b6000 : 0xfffff880`11679128
fffffa60`0fa17e40 00000000`26adc8c6 : 00000000`14a00000 fffffa60`00000000 fffff880`116b6000 fffff880`116b6000 : 0xfffff880`1167e700
fffffa60`0fa17e48 00000000`14a00000 : fffffa60`00000000 fffff880`116b6000 fffff880`116b6000 00000000`00000000 : 0x26adc8c6
fffffa60`0fa17e50 fffffa60`00000000 : fffff880`116b6000 fffff880`116b6000 00000000`00000000 fffffa80`05c15230 : 0x14a00000
fffffa60`0fa17e58 fffff880`116b6000 : fffff880`116b6000 00000000`00000000 fffffa80`05c15230 fffff880`0b640bd0 : 0xfffffa60`00000000
fffffa60`0fa17e60 fffff880`116b6000 : 00000000`00000000 fffffa80`05c15230 fffff880`0b640bd0 fffffa80`055fc8c0 : 0xfffff880`116b6000
fffffa60`0fa17e68 00000000`00000000 : fffffa80`05c15230 fffff880`0b640bd0 fffffa80`055fc8c0 fffffa60`005ec7f0 : 0xfffff880`116b6000
fffffa60`0fa17e70 fffffa80`05c15230 : fffff880`0b640bd0 fffffa80`055fc8c0 fffffa60`005ec7f0 00000000`00000000 : 0x0
fffffa60`0fa17e78 fffff880`0b640bd0 : fffffa80`055fc8c0 fffffa60`005ec7f0 00000000`00000000 00000000`055fc8c0 : 0xfffffa80`05c15230
fffffa60`0fa17e80 fffffa80`055fc8c0 : fffffa60`005ec7f0 00000000`00000000 00000000`055fc8c0 fffffa80`097eb8f0 : 0xfffff880`0b640bd0
fffffa60`0fa17e88 fffffa60`005ec7f0 : 00000000`00000000 00000000`055fc8c0 fffffa80`097eb8f0 fffff800`01e5e6b3 : 0xfffffa80`055fc8c0
fffffa60`0fa17e90 00000000`00000000 : 00000000`055fc8c0 fffffa80`097eb8f0 fffff800`01e5e6b3 00000000`00000000 : 0xfffffa60`005ec7f0
fffffa60`0fa17e98 00000000`055fc8c0 : fffffa80`097eb8f0 fffff800`01e5e6b3 00000000`00000000 fffffa80`097eb801 : 0x0
fffffa60`0fa17ea0 fffffa80`097eb8f0 : fffff800`01e5e6b3 00000000`00000000 fffffa80`097eb801 00000000`00000000 : 0x55fc8c0
fffffa60`0fa17ea8 fffff800`01e5e6b3 : 00000000`00000000 fffffa80`097eb801 00000000`00000000 00000000`00000000 : 0xfffffa80`097eb8f0
fffffa60`0fa17eb0 00000000`00000000 : fffffa80`097eb801 00000000`00000000 00000000`00000000 fffff880`0b640bd0 : nt+0x466b3
fffffa60`0fa17eb8 fffffa80`097eb801 : 00000000`00000000 00000000`00000000 fffff880`0b640bd0 fffffa60`0fa18740 : 0x0
fffffa60`0fa17ec0 00000000`00000000 : 00000000`00000000 fffff880`0b640bd0 fffffa60`0fa18740 00000000`00000000 : 0xfffffa80`097eb801
fffffa60`0fa17ec8 00000000`00000000 : fffff880`0b640bd0 fffffa60`0fa18740 00000000`00000000 fffff880`0be6f010 : 0x0
fffffa60`0fa17ed0 fffff880`0b640bd0 : fffffa60`0fa18740 00000000`00000000 fffff880`0be6f010 fffff880`0be6f040 : 0x0
fffffa60`0fa17ed8 fffffa60`0fa18740 : 00000000`00000000 fffff880`0be6f010 fffff880`0be6f040 fffffa80`0615ec50 : 0xfffff880`0b640bd0
fffffa60`0fa17ee0 00000000`00000000 : fffff880`0be6f010 fffff880`0be6f040 fffffa80`0615ec50 fffffa80`060f2c60 : 0xfffffa60`0fa18740
fffffa60`0fa17ee8 fffff880`0be6f010 : fffff880`0be6f040 fffffa80`0615ec50 fffffa80`060f2c60 fffffa60`012a6203 : 0x0
fffffa60`0fa17ef0 fffff880`0be6f040 : fffffa80`0615ec50 fffffa80`060f2c60 fffffa60`012a6203 fffffa80`055fc8c0 : 0xfffff880`0be6f010
fffffa60`0fa17ef8 fffffa80`0615ec50 : fffffa80`060f2c60 fffffa60`012a6203 fffffa80`055fc8c0 00000000`00000000 : 0xfffff880`0be6f040
fffffa60`0fa17f00 fffffa80`060f2c60 : fffffa60`012a6203 fffffa80`055fc8c0 00000000`00000000 00000000`00000001 : 0xfffffa80`0615ec50
fffffa60`0fa17f08 fffffa60`012a6203 : fffffa80`055fc8c0 00000000`00000000 00000000`00000001 fffff880`00000000 : 0xfffffa80`060f2c60
fffffa60`0fa17f10 fffffa60`012ce2da : fffffa60`0fa18740 fffff880`0be6f010 fffff880`0b640bd0 fffffa60`0fa18203 : Ntfs!NtfsDeleteFile+0x933
fffffa60`0fa181a0 fffffa60`0121b999 : fffffa60`0fa18710 00000000`00000000 fffffa60`0fa186a0 00000000`00000000 : Ntfs!NtfsCommonCleanup+0xe8a
fffffa60`0fa185b0 fffff800`01e8e3b1 : fffffa60`0fa186a0 fffffa60`0076986a fffffa80`08034310 00000000`00000000 : Ntfs!NtfsCommonCleanupCallout+0x19
fffffa60`0fa185e0 fffffa60`0fa186a0 : fffffa60`0076986a fffffa80`08034310 00000000`00000000 00000000`ffffffff : nt+0x763b1
fffffa60`0fa185e8 fffffa60`0076986a : fffffa80`08034310 00000000`00000000 00000000`ffffffff 00000000`00000000 : 0xfffffa60`0fa186a0
fffffa60`0fa185f0 00000000`00000000 : fffffa80`093717e0 fffffa60`0fa187e8 00000000`0f8c0500 fffffa60`0fa18700 : fltmgr!FltReleaseResource+0xa


STACK_COMMAND: kb

FOLLOWUP_IP:
nt+55390
fffff800`01e6d390 48894c2408 mov qword ptr [rsp+8],rcx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt+55390

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: ntoskrnl.exe

BUCKET_ID: WRONG_SYMBOLS

Followup: MachineOwner
---------

nur was jetzt der Fehler sein soll was den BSOD auslöste sehe ich nicht. habe mal das dump file hier hoch geladen, vielleicht findet ja jemand von euch den Ursacher nach dem es bei mir nicht funktioniert.
download: http://home.tele2.at/schrotty/tmp/Mini040308-01.rar

 

[Frightener]

Schau mal, woher die Datei fltmgr.sys kommt. Ist doch bestimmt eine Firewall oder ein Virenscanner.

 

[msoa]

Check bitte erstmal den Pfad zu den "Symbols", dieser lautet:
kd> .sympath srv*c:\symbols*http://msdl.microsoft.com/download/symbols

Anschließend bitte über analyze! -v nochmal einen Run starten. Wie lautet denn der Code aus dem BSOD?
0X0000...?

thx

 

[Scoty]

Check bitte erstmal den Pfad zu den "Symbols", dieser lautet:
kd> .sympath srv*c:\symbols*http://msdl.microsoft.com/download/symbols

Anschließend bitte über analyze! -v nochmal einen Run starten. Wie lautet denn der Code aus dem BSOD?
0X0000...?

thx

genau so habe ich es ja auch gemacht nur es geht eben nicht.

@FBrenner

die Datei taucht 2x auf nur von welchen Programm oder Treiber diese ist sehe ich nicht. zu finden ist die Datei unter windows/system32/drivers und windows/winsxs/amd64 microsoft windows filtermanagercore

 

[ntloader]

Der Dump ist korrupt. Warte auf einen neuen und versuchs mit dem. Evtl ist Memory corruption aber auch schon das Problem.

 

[Scoty]

also der Speicher ist ok da 2 Stunden getestet.

 

[ntloader]

Ich meinte Memory Corruption durch einen Treiber, nicht Hardware.

 

[Frightener]

Sinvoller wäre ein Kerneldump, den könnte man auch auf anderen Rechnern richtig debuggen, bei Minidumps ist das Glückssache.

Die Datei fltmgr.sys ist offenbar eine Windows Datei. Allerdings deutet das trotzdem darauf hin, daß sich dieser Treiber mit einem anderen Filtertreiber (z.B. Virenscanner) nicht verträgt. Ich würde somit dementsprechende Software deinstallieren und dann schauen, ob sich die Situation bessert.