Windows 7: Bluescreen Problem

[Rob92]

Guten Tag,

ich hoffe erstmal das ich hier im richtigen Forenbereich bin.

Nun zu meinem Problem, ich bekomme nun schon seit einiger Zeit regelmäßig Bluescreens, bis zu 6 Stück am Tag, und ich bin mittlerweile echt ratlos.

Zunächst hatte ich ersteinmal alle Treiber aktualisiert, was allerdings nicht zum Erfolg führte.Daraufhin bekam ich den Rat die Bluescreens auszuwerten (per BlueScreenView hieß das Programm glaub ich), wobei rauskam dass immer eine gewisses Programm(?) namens hal.dll und irgendetwas namens ntoskrnl.exe die Bluescreens auslösten.
Nun wurde mir gesagt ich soll ein Windows Inplace Upgrade machen, was ich am Sonntag durchführte, seitdem löste die hal.dll keine Bluescreens mehr aus, die ntoskrnl.exe allerdings (gefühlt) mehr als vorher.

Ich habe keine Ahnung mehr was ich noch machen kann und kenn mich auch leider nicht wirklich in diesem Bereich aus, daher bitte ich hier um Rat.

Ich habe einen Asus Laptop, das Modell ist ein K51AE/K70AE Series mit einem AMD Athlon(tm) II Dual-Core M320 Prozessor und einem 64 Bit-Betriebssystem.

Das hier sind die Ergebnisse die BlueScreenView hergibt:
==================================================
Dump File : 121211-31418-01.dmp
Crash Time : 12.12.2011 17:46:43
Bug Check String :
Bug Check Code : 0x00000124
Parameter 1 : 00000000`00000000
Parameter 2 : fffffa80`030ad038
Parameter 3 : 00000000`00000000
Parameter 4 : 00000000`00000000
Caused By Driver : ntoskrnl.exe
Caused By Address : ntoskrnl.exe+4b2aec
File Description : NT Kernel & System
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Processor : x64
Crash Address : ntoskrnl.exe+4b2aec
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\121211-31418-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 7601
Dump File Size : 262.144
==================================================

Desweiteren habe ich noch mithilfe der Windows Debugging Tools einige Daten herausfiltern können, allerdings sagen mir diese nicht viel.

Das sind die Ergebnisse:

************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

WHEA_UNCORRECTABLE_ERROR (124)
A fatal hardware error has occurred. Parameter 1 identifies the type of error
source that reported the error. Parameter 2 holds the address of the
WHEA_ERROR_RECORD structure that describes the error conditon.
Arguments:
Arg1: 0000000000000000, Machine Check Exception
Arg2: fffffa8002dcb8f8, Address of the WHEA_ERROR_RECORD structure.
Arg3: 0000000000000000, High order 32-bits of the MCi_STATUS value.
Arg4: 0000000000000000, Low order 32-bits of the MCi_STATUS value.

Debugging Details:
------------------


BUGCHECK_STR: 0x124_AuthenticAMD

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

PROCESS_NAME: System

CURRENT_IRQL: 0

STACK_TEXT:
fffff880`031b26f0 fffff800`02f18c59 : fffffa80`02dcb8d0 fffffa80`027ec680 00000000`0000000c 00000000`00000000 : nt!WheapCreateLiveTriageDump+0x6c
fffff880`031b2c10 fffff800`02df8f57 : fffffa80`02dcb8d0 fffff800`02e732b8 fffffa80`027ec680 00000000`00000000 : nt!WheapCreateTriageDumpFromPreviousSession+0x49
fffff880`031b2c40 fffff800`02d605d5 : fffff800`02ed4ae0 00000000`00000001 fffffa80`02d01510 fffffa80`027ec680 : nt!WheapProcessWorkQueueItem+0x57
fffff880`031b2c80 fffff800`02cdd001 : fffff880`00c30e00 fffff800`02d605b0 fffffa80`027ec600 fffff8a0`0181dde0 : nt!WheapWorkQueueWorkerRoutine+0x25
fffff880`031b2cb0 fffff800`02f6dfee : 00000000`00000000 fffffa80`027ec680 00000000`00000080 fffffa80`027d7040 : nt!ExpWorkerThread+0x111
fffff880`031b2d40 fffff800`02cc45e6 : fffff880`009e6180 fffffa80`027ec680 fffff880`009f0f40 00000000`00000000 : nt!PspSystemThreadStartup+0x5a
fffff880`031b2d80 00000000`00000000 : fffff880`031b3000 fffff880`031ad000 fffff880`031b1f70 00000000`00000000 : nt!KxStartSystemThread+0x16


STACK_COMMAND: kb

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: hardware

IMAGE_NAME: hardware

DEBUG_FLR_IMAGE_TIMESTAMP: 0

FAILURE_BUCKET_ID: X64_0x124_AuthenticAMD_PROCESSOR_CACHE_PRV

BUCKET_ID: X64_0x124_AuthenticAMD_PROCESSOR_CACHE_PRV

Followup: MachineOwner
---------

0: kd> !analyze -v


falls ihr noch irgendetwas wissen müsst fragt nach.

Ich bedanke mich schonmal im vorraus!

MfG Robin

 

[Inzersdorfer]

Wirf WinDbg noch einmal an, und gib in die Kommandozeile !errec fffffa8002dcb8f8 ein.
Wenn ein Error Record gespeichert wurde, poste den hier.

Der Bugcheck 0x124 ist ein Hardwareproblem, die Selbsttestroutinen der CPU haben einen Fehler entdeckt, via Windows Hardware Error Architecture wird das an Windows übergeben und versucht, vor dem Shutdown einen Error Record zu speichern.
Der Auslöser ist im Bereich CPU (samt Cache), SystemBus/PCI, Northbridge und RAM zu suchen.

 

[Rob92]

Entschuldige dass ich mich solang nicht gemeldet hab , Weihnachten ist dazwischen gekommen, aber das Problem besteht weiterhin.

Wenn ich "!errec fffffa8002dcb8f8" eingebe bekomme ich die Antwort "No export errec found".

Hab ich vorher vergessen etwas einzustellen oder was läuft da schief?

MfG Robin

 

[IDontWantAName]

ein r vergessen. Es muss !errrec heißen (ErrorRecord)

PROCESSOR_CACHE_PRV klingt nach einem Problem von einem der L-Caches auf der CPU. Mir ist früher auch mal eine CPU dadurch abgerödelt, da war der Cache auch kaputt und hat WHEA_UNCORRECTABLE_ERROR Fehler verursacht.

 

[Rob92]

Ok, manchmal ist es wohl doch ganz simpel.

Dies ist das Ergebnis des !errrec fffffa8002dcb8f8-Befehls :

0: kd> !errrec fffffa8002dcb8f8
===============================================================================
Common Platform Error Record @ fffffa8002dcb8f8
-------------------------------------------------------------------------------
Record Id : 01ccba93d49ea7a4
Severity : Fatal (1)
Length : 928
Creator : Microsoft
Notify Type : Machine Check Exception
Timestamp : 12/14/2011 19:09:02
Flags : 0x00000002 PreviousError

===============================================================================
Section 0 : Processor Generic
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcb978
Section @ fffffa8002dcba50
Offset : 344
Length : 192
Flags : 0x00000001 Primary
Severity : Fatal

Proc. Type : x86/x64
Instr. Set : x64
Error Type : Cache error
Operation : Data Write
Flags : 0x00
Level : 1
CPU Version : 0x0000000000100f62
Processor ID : 0x0000000000000001

===============================================================================
Section 1 : x86/x64 Processor Specific
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcb9c0
Section @ fffffa8002dcbb10
Offset : 536
Length : 128
Flags : 0x00000000
Severity : Fatal

Local APIC Id : 0x0000000000000001
CPU Id : 62 0f 10 00 00 08 02 01 - 09 20 80 00 ff fb 8b 17
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00

Proc. Info 0 @ fffffa8002dcbb10

===============================================================================
Section 2 : x86/x64 MCA
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcba08
Section @ fffffa8002dcbb90
Offset : 664
Length : 264
Flags : 0x00000000
Severity : Fatal

Error : DCACHEL1_DWR_ERR (Proc 1 Bank 0)
Status : 0xf6004000f4000145
Address : 0x00000000cf6fa940
Misc. : 0x0000000000000000

Ich habe dazu allerdings noch eine Frage.

In Windbg muss ich ja ein dmp-File auswählen womit ich dann die Analyse machen kann.
Im Bluescreenviewer sind es glaub ich wenn ich ein dmp-File anklicke insgesamt 3 verschiedene Bluescreens, wobei allerdings in jedem einmal etwas von der ntoskrnl.exe steht nur mal mit einem +7cc40 oder einem +4b16cc dahinter. Ist es nun egal welche ich in Windbg auswähle?

MfG Robin

 

[IDontWantAName]

Du musst jede einzelne auswählen und öffnen. Du hast ein Problem mit dem L1 Cache:

DCACHEL1_DWR_ERR

DWR = Data Write Read Error. Schau in die anderen Dumps, sieht es dort ähnlich aus, kann die CPU defekt sein.

Eventuell könnte ein BIOS Update oder eine leicht erhöhte CPU Spannung das Problem lösen. Schmeiß auch mal die ganze ASUS Software runter die eventuell die CPU beeinflusst (Übertakten, Strom sparen).

 

[Inzersdorfer]

@IDontWantAName: DWR DataWrite, DRD DataRead.

@Rob92: In WinDbg via File/Open Crashdump werden dir ja alle in dem Ordner liegende zur Auswahl angeboten, also schön der Reihe nach abarbeiten.

 

[Rob92]

Ok, ich bin jetzt mal alle einzeln durchgegangen und erhalte bei dem Bluscreen :

==================================================
Dump File : 121411-29593-01.dmp
Crash Time : 14.12.2011 20:09:15
Bug Check String :
Bug Check Code : 0x00000124
Parameter 1 : 00000000`00000000
Parameter 2 : fffffa80`02dcb8f8
Parameter 3 : 00000000`00000000
Parameter 4 : 00000000`00000000
Caused By Driver : ntoskrnl.exe
Caused By Address : ntoskrnl.exe+4b16cc
File Description : NT Kernel & System
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.1.7601.17640 (win7sp1_gdr.110622-1506)
Processor : x64
Crash Address : ntoskrnl.exe+4b16cc
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\121411-29593-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 7601
Dump File Size : 262.144
==================================================

Diese Meldung:


0: kd> !errrec fffffa8002dcb8f8
===============================================================================
Common Platform Error Record @ fffffa8002dcb8f8
-------------------------------------------------------------------------------
Record Id : 01ccba93d49ea7a4
Severity : Fatal (1)
Length : 928
Creator : Microsoft
Notify Type : Machine Check Exception
Timestamp : 12/14/2011 19:09:02
Flags : 0x00000002 PreviousError

===============================================================================
Section 0 : Processor Generic
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcb978
Section @ fffffa8002dcba50
Offset : 344
Length : 192
Flags : 0x00000001 Primary
Severity : Fatal

Proc. Type : x86/x64
Instr. Set : x64
Error Type : Cache error
Operation : Data Write
Flags : 0x00
Level : 1
CPU Version : 0x0000000000100f62
Processor ID : 0x0000000000000001

===============================================================================
Section 1 : x86/x64 Processor Specific
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcb9c0
Section @ fffffa8002dcbb10
Offset : 536
Length : 128
Flags : 0x00000000
Severity : Fatal

Local APIC Id : 0x0000000000000001
CPU Id : 62 0f 10 00 00 08 02 01 - 09 20 80 00 ff fb 8b 17
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00

Proc. Info 0 @ fffffa8002dcbb10

===============================================================================
Section 2 : x86/x64 MCA
-------------------------------------------------------------------------------
Descriptor @ fffffa8002dcba08
Section @ fffffa8002dcbb90
Offset : 664
Length : 264
Flags : 0x00000000
Severity : Fatal

Error : DCACHEL1_DWR_ERR (Proc 1 Bank 0)
Status : 0xf6004000f4000145
Address : 0x00000000cf6fa940
Misc. : 0x0000000000000000


Ansonsten erhalte ich immer diese Meldung :

1: kd> !errrec fffffa8002dcb8f8
===============================================================================
Common Platform Error Record @ fffffa8002dcb8f8
-------------------------------------------------------------------------------
Signature : *** INVALID ***
Revision : 0.0
Record Id : 0000000000000000
Severity : Recoverable (0)
Length : 0
Creator : {00000100-000f-0000-3600-000000000000}
Notify Type : {00000100-000f-0000-3600-000000000000}
Flags : 0x00000000



Und 3 weitere dmp-Files kann ich nicht öffnen, da die Meldung :"XXXX-XXXX-XX.dmp Sie verfügen nicht über die Berechtigung, diese Datei zu öffnen. Wenden sie sich...."

Warum kann ich die nicht öffnen ich bin doch der Administrator auf diesem PC?

MfG Robin

 

[Inzersdorfer]

Hast du auch bei den anderen 0x124 nach !errrec die im jeweiligen Parameter 2 angegebene Adresse eingefügt?

Der Standarduser in Win7 ist nicht Administrator.
1) starte WinDbg mit Administratorrechten
2) klappt das nicht: wenns nicht gerade Memorydumps mit mehreren 100 MB sind, kopiere sie in deine eigenen Dateien und analysiere sie dann.

 

[Rob92]

Als Administrator starten hat geholfen, bei allen 3 erhalte ich ebenfalls :


1: kd> !errrec fffffa8002dcb8f8
===============================================================================
Common Platform Error Record @ fffffa8002dcb8f8
-------------------------------------------------------------------------------
Signature : *** INVALID ***
Revision : 0.0
Record Id : 0000000000000000
Severity : Recoverable (0)
Length : 0
Creator : {00000100-000f-0000-3600-000000000000}
Notify Type : {00000100-000f-0000-3600-000000000000}
Flags : 0x00000000

 

[Inzersdorfer]

Ist die ErrorRecord Adresse immer fffffa8002dcb8f8 ?
Die steht für jeden .dmp in Parameter 2.

 

[Rob92]

Ich hab jetzt nicht nochmal alle 17 nachgeschaut aber bei den 5, wo ich nachgeschaut hab, war es so.

MfG Robin

 

[Inzersdorfer]

Dann wurde bei den angesprochenen kein Error Record angelegt, warum auch immer.
Sind den alle 17 Bugchecks 0x124er ?

 

[Rob92]

Bis auf einen schon.
Dieser eine ist der hier:

==================================================
Dump File : 122611-31106-01.dmp
Crash Time : 26.12.2011 11:11:48
Bug Check String : SYSTEM_SERVICE_EXCEPTION
Bug Check Code : 0x0000003b
Parameter 1 : 00000000`c0000005
Parameter 2 : fffff960`0015675a
Parameter 3 : fffff880`05496f70
Parameter 4 : 00000000`00000000
Caused By Driver : win32k.sys
Caused By Address : win32k.sys+c675a
File Description :
Product Name :
Company :
File Version :
Processor : x64
Crash Address : ntoskrnl.exe+7cc40
Stack Address 1 :
Stack Address 2 :
Stack Address 3 :
Computer Name :
Full Path : C:\Windows\Minidump\122611-31106-01.dmp
Processors Count : 2
Major Version : 15
Minor Version : 7601
Dump File Size : 275.216
==================================================


Bei der Analyse kommt das raus:

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the bugcheck
Arg2: fffff9600015675a, Address of the instruction which caused the bugcheck
Arg3: fffff88005496f70, Address of the context record for the exception that caused the bugcheck
Arg4: 0000000000000000, zero.

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in 0x%08lx verweist auf Speicher 0x%08lx. Der Vorgang %s konnte nicht im Speicher durchgef hrt werden.

FAULTING_IP:
win32k!SURFACE::bDeleteSurface+4de
fffff960`0015675a 488910 mov qword ptr [rax],rdx

CONTEXT: fffff88005496f70 -- (.cxr 0xfffff88005496f70)
rax=dffff900c240d818 rbx=fffffa8003f04b90 rcx=fffffa8003f04b90
rdx=fffff900c22861b8 rsi=fffff900c1f11aa0 rdi=fffff900c09d9500
rip=fffff9600015675a rsp=fffff88005497950 rbp=0000000000000001
r8=0000000000000640 r9=0000000000000300 r10=fffff80002c14000
r11=0000000000000028 r12=0000000000000000 r13=0000000000000820
r14=0000000000000000 r15=fffff900c205c690
iopl=0 nv up ei pl nz na pe nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00010202
win32k!SURFACE::bDeleteSurface+0x4de:
fffff960`0015675a 488910 mov qword ptr [rax],rdx ds:002b:dffff900`c240d818=????????????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT

BUGCHECK_STR: 0x3B

PROCESS_NAME: dwm.exe

CURRENT_IRQL: 0

LAST_CONTROL_TRANSFER: from 0000000000000000 to fffff9600015675a

STACK_TEXT:
fffff880`05497950 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : win32k!SURFACE::bDeleteSurface+0x4de


FOLLOWUP_IP:
win32k!SURFACE::bDeleteSurface+4de
fffff960`0015675a 488910 mov qword ptr [rax],rdx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: win32k!SURFACE::bDeleteSurface+4de

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: win32k

IMAGE_NAME: win32k.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4ecdcd5a

STACK_COMMAND: .cxr 0xfffff88005496f70 ; kb

FAILURE_BUCKET_ID: X64_0x3B_win32k!SURFACE::bDeleteSurface+4de

BUCKET_ID: X64_0x3B_win32k!SURFACE::bDeleteSurface+4de

Followup: MachineOwner
---------


Und bei !errrec fffffa8002dcb8f8 :

0: kd> !errrec fffffa8002dcb8f8
===============================================================================
Common Platform Error Record @ fffffa8002dcb8f8
-------------------------------------------------------------------------------
Signature : *** INVALID ***
Revision : 0.0
Record Id : 0000000000000000
Severity : Recoverable (0)
Length : 0
Creator : {00000100-000f-0000-3600-000000000000}
Notify Type : {00000100-000f-0000-3600-000000000000}
Flags : 0x00000000




MfG Robin

Ergänzung (27. Dezember 2011)

Ok, ich glaub ich weiss wo das Problem liegt , ich hab deine Posts nochmal genau durchgelesen und nochmal nachgeschaut ob die Record-Addresse immer fffffa8002dcb8f8 ist.
Keine Ahnung wo ich vorhin geschaut hab , aber nicht an der richtigen Stelle. Sie ist wenn ich das richtig sehe bei jedem Bluescreen eine andere. Also muss ich bei Windbg nochmal bei jedem mit !errec arbeiten nur immer die richtige Addresse dahinter angeben? Ich hab leider gedacht !errec fffffa8002dcb8f8 sei ein vollstädniger Befehl und dabei leider diesen Code vollkommen ignoriert.

MfG Robin.

 

[Inzersdorfer]

Jetzt hast du es .
Der 0x3b war eine Speicherzugriffsverletzung (Cache, RAM, Massenspeicher).
Check die übrigen 0x124, die Error Records kannst du auch als .zip hier anhängen.

 

[Rob92]

Ok bin nun durch , hier dir zip-Datei.

MfG Robin

 

[Inzersdorfer]

Sehr schön, bis auf einen Ausreißer am 20.12, bei dem Prozessor 0 Bank 0 angezeigt wird, immer Prozessor 1 Bank 0.
1. Benutzt du ein Herstellertool um deinen Prozessor zu übertakten ? Wenn ja, bitte zurückstellen.
2. Schau in deinem BIOS, ob dort Optionen zum Einstellen von Takt und Volt des Prozessors vorhanden sind, üblicherweise ist das bei Notebooks nicht der Fall.
3. Wie alt ist das Notebook
4. Ist das BIOS aktuell ?

 

[Rob92]

1. Von Übertakten habe ich keine Ahnung, also sofern soetwas nicht von Anfang an vorhanden war, habe ich daran nichts geändert. Kann man das irgendwie überprüfen?

2. BIOS kommt wenn ich beim Start F2 drücke richtig? Dann werd ich das gleich mal überprüfen.

3. Habe es ca. im Juni 2010 gekauft.

4. Das weiß ich nicht, wie lässt sich das überprüfen?

 

[Inzersdorfer]

Wenn du eh ins BIOS gehst, dort sollte die Version stehen, notieren.
Hier überprüfen: http://support.asus.com.tw/download/download.aspx?SLanguage=de-de

 

[Rob92]

Also zu 2. konnte ich keine entsprechenden Optionen finden.

Bei Version denke ich wird diese ganz unten am Bildschirm angezeigt, dort stand :

v02.61 (C)Copyright 1985-2006, American Megatrends, Inc.

Zu meinem Laptop:
Wenn ich bei "Computer" rechtsklicke und auf "Eigenschaften" gehe steht dort, dass ich ein ASUS Notebook der K51AE/K70AE Series habe, auf der Asus Seite kann ich allerdings nur K51AE oder K70AE auswählen, welches nehme ich da? Oder ist es egal welches von beiden?

Bei K51AE habe ich dieses BIOS zu Auswahl:

Version 210

Beschreibung BIOS 210
First release

Bei K70AE gibt es garkeinen BIOS Reiter den ich anwählen kann.