Geavanceerde probleemoplossing voor stop- of blauw schermfouten

Probeer onze virtuele agent : het kan u helpen om veelvoorkomende opstartproblemen met Windows snel te identificeren en op te lossen

Van toepassing op: Ondersteunde versies van Windows Server en Windows Client

Wat zijn de oorzaken van stopfouten?

Wanneer Windows een voorwaarde ondervindt die de veilige systeembewerking in gevaar komt, stopt het systeem. Voorbeelden hiervan zijn fouten die de beveiliging in gevaar kunnen komen of kunnen leiden tot beschadiging van het besturingssysteem en/of gebruikersgegevens. Wanneer de machine stopt om te voorkomen dat het besturingssysteem in deze omstandigheden vooruitgaat, wordt dit een bugcontrole (of bugcontrole) genoemd. Het wordt ook vaak aangeduid als een systeemcrash, een kernelfout, een blauw scherm, een blauw scherm van de dood (BSOD) of een stopfout. In preview-versies van Windows kan de schermkleur groen zijn, wat leidt tot het groene scherm van de dood (GSOD).

Er is geen eenvoudige verklaring voor de oorzaak van stopfouten. Er kunnen veel verschillende factoren bij betrokken zijn. Onze analyse van de hoofdoorzaken van crashes geeft aan dat:

• 70% wordt veroorzaakt door stuurprogrammacode van derden.
• 10% wordt veroorzaakt door hardwareproblemen.
• 5% wordt veroorzaakt door Microsoft-code.
• 15% heeft onbekende oorzaken, omdat het geheugen te beschadigd is om te analyseren.

Algemene stappen voor probleemoplossing

Volg deze algemene stappen om problemen met stopfoutberichten op te lossen:

1. Controleer de stopfoutcode die u in de gebeurtenislogboeken vindt. Zoek online naar de specifieke stopfoutcodes om te zien of er bekende problemen, oplossingen of tijdelijke oplossingen voor het probleem zijn.

2. Zorg ervoor dat u de meest recente Windows-updates, cumulatieve updates en rollup-updates installeert. Raadpleeg de juiste updategeschiedenis voor uw systeem om de updatestatus te controleren. Bijvoorbeeld:

   • Windows 10, versie 21H2
   • Windows 10 versie 21H1
   • Windows 10 versie 20H2

3. Zorg ervoor dat het BIOS en de firmware up-to-date zijn.

4. Voer alle relevante hardware- en geheugentests uit.

5. Voer Microsoft-beveiligingsscanner of een ander virusdetectieprogramma uit dat controles van de MBR op infecties bevat.

6. Zorg ervoor dat er voldoende vrije ruimte op de harde schijf is. De exacte vereiste varieert, maar we raden 10-15 procent vrije schijfruimte aan.

7. Neem contact op met de betreffende hardware- of softwareleverancier om de stuurprogramma's en toepassingen bij te werken in de volgende scenario's:

   • Het foutbericht geeft aan dat een specifiek stuurprogramma het probleem veroorzaakt.
   • U ziet een indicatie van een service die wordt gestart of gestopt voordat de crash is opgetreden. In deze situatie bepaalt u of het servicegedrag consistent is voor alle exemplaren van de crash.
   • U hebt software- of hardwarewijzigingen aangebracht.

   Opmerking

   Als er geen updates beschikbaar zijn van een specifieke fabrikant, raden we u aan de gerelateerde service uit te schakelen.

   Zie Een schone opstartbewerking uitvoeren in Windows voor meer informatie.

   U kunt een stuurprogramma uitschakelen door de stappen te volgen in Het filterstuurprogramma voor de kernelmodus tijdelijk deactiveren in Windows.

   U kunt ook de optie overwegen om wijzigingen terug te draaien of terug te keren naar de laatst bekende werkstatus. Zie Een apparaatstuurprogramma terugdraaien naar een eerdere versie voor meer informatie.

Geheugendumpverzameling

Voer de volgende stappen uit om het systeem voor geheugendumpbestanden te configureren:

1. Selecteer het zoekvak taakbalk, typ Geavanceerde systeeminstellingen en druk op Enter.
2. Selecteer op het tabblad Geavanceerd in het vak Systeemeigenschappen de knop Instellingen die wordt weergegeven in de sectie Opstarten en herstel.
3. Selecteer in het nieuwe venster de vervolgkeuzelijst onder de optie Foutopsporingsgegevens schrijven.
4. Kies Automatische geheugendump.
5. Selecteer OK.
6. Start de computer opnieuw op om de instelling van kracht te laten worden.
7. Als de server is gevirtualiseerd, schakelt u automatisch opnieuw opstarten uit nadat het geheugendumpbestand is gemaakt. Met deze uitschakeling kunt u een momentopname maken van de server in de status en ook als het probleem zich opnieuw voordoet.

Het geheugendumpbestand wordt opgeslagen op de volgende locaties:

U kunt het hulpprogramma Microsoft Crash Dump File Checker (DumpChk) gebruiken om te controleren of de geheugendumpbestanden niet beschadigd of ongeldig zijn. Zie de volgende video voor meer informatie:

Zie de volgende artikelen voor meer informatie over het gebruik van Dumpchk.exe om uw dumpbestanden te controleren:

• DumpChk gebruiken
• DumpChk downloaden

Instellingen voor paginabestand

Zie de volgende artikelen voor meer informatie over paginabestandinstellingen:

• Inleiding tot paginabestanden
• De juiste paginabestandsgrootte bepalen voor 64-bits versies van Windows
• Een kernel genereren of een crashdump voltooien

Analyse van geheugendump

Het vinden van de hoofdoorzaak van de crash is mogelijk niet eenvoudig. Hardwareproblemen zijn vooral moeilijk te diagnosticeren omdat ze onregelmatig en onvoorspelbaar gedrag kunnen veroorzaken dat zich in verschillende symptomen kan manifesteren.

Wanneer er een stopfout optreedt, moet u eerst de problematische onderdelen isoleren en vervolgens proberen de stopfout opnieuw te activeren. Als u het probleem kunt repliceren, kunt u meestal de oorzaak bepalen.

U kunt de hulpprogramma's zoals Windows Software Development Kit (SDK) en symbolen gebruiken om dumplogboeken te diagnosticeren. In de volgende sectie wordt beschreven hoe u dit hulpprogramma gebruikt.

Geavanceerde stappen voor probleemoplossing

Geavanceerde verwijzingen voor foutopsporing

• Geavanceerde Windows-foutopsporing, eerste editie boek
• Hulpprogramma's voor foutopsporing voor Windows (WinDbg, KD, CDB, NTSD)

Stappen voor foutopsporing

1. Controleer of de computer is ingesteld om een volledig geheugendumpbestand te genereren wanneer er een crash optreedt. Zie Methode 1: Geheugendump voor meer informatie.

2. Zoek het memory.dmp-bestand in uw Windows-map op de computer die vastloopt en kopieer dat bestand naar een andere computer.

3. Download de Windows 10 SDK op de andere computer.

4. Start de installatie en kies Hulpprogramma's voor foutopsporing voor Windows. Het hulpprogramma WinDbg is geïnstalleerd.

5. Ga naar het menu Bestand en selecteer Bestandspad symbool om het hulpprogramma WinDbg te openen en het pad naar het symbool in te stellen.

   1. Als de computer is verbonden met internet, voert u de openbare symboolserver van Microsoft in en https://msdl.microsoft.com/download/symbols selecteert u OK. Deze methode wordt aanbevolen.
   2. Als de computer niet is verbonden met internet, geeft u een lokaal symboolpad op.

6. Selecteer Crashdump openen en open vervolgens het memory.dmp bestand dat u hebt gekopieerd.

   

7. Selecteer onder Bugcontroleanalyse de optie !analyze -v. De opdracht !analyze -v wordt ingevoerd in de prompt onderaan de pagina.

8. Er wordt een gedetailleerde foutcontroleanalyse weergegeven.

   

9. Schuif omlaag naar de sectie STACK_TEXT . Er zijn rijen met getallen met elke rij gevolgd door een dubbele punt en wat tekst. Deze tekst moet aangeven welke DLL de crash veroorzaakt. Indien van toepassing, wordt ook aangegeven welke service het DLL-bestand crasht.

10. Zie De extensie !analyze gebruiken voor meer informatie over het interpreteren van de uitvoer van de STACK_TEXT.

Er zijn veel mogelijke oorzaken van een bugcontrole en elk geval is uniek. In het bovenstaande voorbeeld zijn de belangrijke regels die kunnen worden geïdentificeerd in de STACK_TEXT 20, 21 en 22:

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Dit probleem wordt veroorzaakt door de mpssvc-service, een onderdeel van de Windows Firewall. Het probleem is opgelost door de firewall tijdelijk uit te schakelen en vervolgens het firewallbeleid opnieuw in te schakelen.

Zie Voorbeelden van foutopsporing voor meer voorbeelden.

Videoresources

De volgende video's illustreren verschillende probleemoplossingstechnieken voor het analyseren van dumpbestanden.

• Dumpbestand analyseren
• Hulpprogramma voor foutopsporing installeren voor Windows (x64 en x86)
• Foutopsporing voor crashgeheugendumps in de kernelmodus
• Speciaal zwembad

Geavanceerde probleemoplossing met stuurprogrammacontrole

We schatten dat ongeveer 75 procent van alle stopfouten wordt veroorzaakt door defecte stuurprogramma's. Het hulpprogramma Stuurprogrammacontrole biedt verschillende methoden om u te helpen bij het oplossen van problemen. Deze omvatten het uitvoeren van stuurprogramma's in een geïsoleerde geheugengroep (zonder geheugen te delen met andere onderdelen), het genereren van extreme geheugendruk en het valideren van parameters. Als het hulpprogramma fouten tegenkomt bij de uitvoering van stuurprogrammacode, wordt er proactief een uitzondering gemaakt. Vervolgens kan het dat deel van de code verder onderzoeken.

Gebruik de volgende richtlijnen wanneer u Driver Verifier gebruikt:

• Test eventuele 'verdachte' stuurprogramma's. Bijvoorbeeld stuurprogramma's die onlangs zijn bijgewerkt of die bekend staan als problematisch.
• Als u nog steeds niet-analyseerbare crashes ondervindt, kunt u verificatie inschakelen voor alle stuurprogramma's van derden en niet-ondertekende stuurprogramma's.
• Gelijktijdige verificatie inschakelen voor groepen van 10-20 stuurprogramma's.
• Bovendien, als de computer niet kan opstarten op het bureaublad vanwege Driver Verifier, kunt u het hulpprogramma uitschakelen door te starten in de veilige modus. Deze oplossing is omdat het hulpprogramma niet kan worden uitgevoerd in de veilige modus.

Zie Driver Verifier voor meer informatie.

Veelvoorkomende windows-stopfouten

Deze sectie bevat geen lijst met alle foutcodes, maar omdat veel foutcodes dezelfde mogelijke oplossingen hebben, kunt u het beste de onderstaande stappen volgen om uw fout op te lossen. Zie Naslaginformatie over foutcontrole voor een volledige lijst met stopfoutcodes.

De volgende secties bevatten algemene procedures voor probleemoplossing voor veelvoorkomende stopfoutcodes.

VIDEO_ENGINE_TIMEOUT_DETECTED of VIDEO_TDR_TIMEOUT_DETECTED

Foutcode 0x00000141 of 0x00000117 stoppen

Neem contact op met de leverancier van het vermelde beeldschermstuurprogramma om een geschikte update voor dat stuurprogramma te verkrijgen.

DRIVER_IRQL_NOT_LESS_OR_EQUAL

Foutcode 0x0000000D1 stoppen

Pas de meest recente updates voor het stuurprogramma toe door de meest recente cumulatieve updates voor het systeem toe te passen via de website microsoft updatecatalogus. Een verouderd netwerkstuurprogramma bijwerken. Gevirtualiseerde VMware-systemen voeren vaak 'Intel(R) PRO/1000 MT-netwerkverbinding' (e1g6032e.sys) uit. U kunt dit stuurprogramma downloaden van de website Intel Download Drivers & Software. Neem contact op met de hardwareleverancier om het netwerkstuurprogramma bij te werken voor een oplossing. Voor VMware-systemen gebruikt u het geïntegreerde VMware-netwerkstuurprogramma in plaats van de e1g6032e.sys van Intel. Gebruik bijvoorbeeld VMware-typen VMXNET, VMXNET2 of VMXNET3.

PAGE_FAULT_IN_NONPAGED_AREA

Foutcode 0x000000050 stoppen

Als een stuurprogramma wordt geïdentificeerd in het stopfoutbericht, neemt u contact op met de fabrikant voor een update. Als er geen updates beschikbaar zijn, schakelt u het stuurprogramma uit en controleert u het systeem op stabiliteit. Voer uit chkdsk /f /r om schijffouten te detecteren en te herstellen. Start het systeem opnieuw op voordat de schijfscan op een systeempartitie begint. Neem contact op met de fabrikant voor diagnostische hulpprogramma's die ze kunnen bieden voor het subsysteem voor de harde schijf. Probeer een toepassing of service die onlangs is geïnstalleerd of bijgewerkt opnieuw te installeren. Het is mogelijk dat de crash is geactiveerd terwijl het systeem toepassingen start en het register leest voor voorkeursinstellingen. Als u de toepassing opnieuw installeert, kunnen beschadigde registersleutels worden hersteld. Als het probleem zich blijft voordoen en u een recente back-up van de systeemstatus hebt uitgevoerd, probeert u de registercomponents vanuit de back-up te herstellen.

SYSTEM_SERVICE_EXCEPTION

Stop foutcode c000021a {Fatal System Error} Het windows-subsysteemproces is onverwacht beëindigd met de status 0xc0000005. Het systeem is uitgeschakeld.

Gebruik het hulpprogramma Systeembestandscontrole om ontbrekende of beschadigde systeembestanden te herstellen. Met systeembestandscontrole kunnen gebruikers zoeken naar beschadigingen in Windows-systeembestanden en beschadigde bestanden herstellen. Zie Het hulpprogramma Systeembestandscontrole gebruiken voor meer informatie.

NTFS_FILE_SYSTEM

Foutcode 0x000000024 stoppen

Deze stopfout wordt meestal veroorzaakt door beschadiging in het NTFS-bestandssysteem of slechte blokken (sectoren) op de harde schijf. Beschadigde stuurprogramma's voor harde schijven (SATA of IDE) kunnen ook een negatieve invloed hebben op het lees- en schrijfvermogen van het systeem. Voer alle hardwarediagnose uit die wordt geleverd door de fabrikant van het opslagsubsysteem. Gebruik het hulpprogramma schijf scannen om te controleren of er geen bestandssysteemfouten zijn. Als u deze stap wilt uitvoeren, klikt u met de rechtermuisknop op het station dat u wilt scannen, selecteert u Eigenschappen, selecteert u Extra en selecteert u vervolgens de knop Nu controleren. Werk het NTFS-bestandssysteemstuurprogramma (Ntfs.sys) bij. Pas de meest recente cumulatieve updates toe voor het huidige besturingssysteem dat het probleem ondervindt.

KMODE_EXCEPTION_NOT_HANDLED

Foutcode 0x0000001E stoppen

Als er een stuurprogramma wordt geïdentificeerd in het stopfoutbericht, schakelt u dat stuurprogramma uit of verwijdert u dit stuurprogramma. Schakel stuurprogramma's of services die onlangs zijn toegevoegd uit of verwijder deze.

Als de fout optreedt tijdens het opstarten en de systeempartitie is geformatteerd met behulp van het NTFS-bestandssysteem, kunt u mogelijk de veilige modus gebruiken om het stuurprogramma uit te schakelen in Apparaatbeheer. Volg deze stappen om het stuurprogramma uit te schakelen:

1. Ga naar Instellingen>Bijwerken & beveiligingsherstel>.
2. Selecteer onder Geavanceerd opstartende optie Nu opnieuw opstarten.
3. Nadat uw pc opnieuw is opgestart naar het scherm Kies een optie, selecteert u Problemen met>geavanceerde optiesopstarten-instellingen>>opnieuw opstarten oplossen.
4. Nadat de computer opnieuw is opgestart, ziet u een lijst met opties. Druk op 4 of F4 om de computer in de veilige modus te starten. Als u van plan bent om internet te gebruiken in de veilige modus, drukt u op 5 of F5 voor de optie Veilige modus met netwerken .

DPC_WATCHDOG_VIOLATION

Foutcode 0x00000133 stoppen

Deze stopfoutcode wordt veroorzaakt door een defect stuurprogramma dat het werk niet binnen het toegewezen tijdsbestek onder bepaalde omstandigheden voltooit. Om deze fout te verhelpen, verzamelt u het geheugendumpbestand van het systeem en gebruikt u vervolgens het Foutopsporingsprogramma van Windows om het defecte stuurprogramma te vinden. Als er een stuurprogramma wordt geïdentificeerd in het stopfoutbericht, schakelt u het stuurprogramma uit om het probleem te isoleren. Neem contact op met de fabrikant voor updates van stuurprogramma's. Controleer het systeemlogboek in Logboeken op andere foutberichten die kunnen helpen bij het identificeren van het apparaat of stuurprogramma dat een stopfout veroorzaakt 0x133. Controleer of nieuwe hardware die is geïnstalleerd compatibel is met de geïnstalleerde versie van Windows. U kunt bijvoorbeeld informatie krijgen over vereiste hardware op Windows 10 Specificaties. Als Windows Debugger is geïnstalleerd en u toegang hebt tot openbare symbolen, kunt u het bestand c:\windows\memory.dmp laden in het foutopsporingsprogramma. Raadpleeg vervolgens De bron van foutencontrole 0x133 (DPC_WATCHDOG_VIOLATION) bepalen op Windows Server 2012 om het problematische stuurprogramma uit de geheugendump te vinden.

USER_MODE_HEALTH_MONITOR

Foutcode 0x0000009E stoppen

Deze stopfout geeft aan dat een statuscontrole in de gebruikersmodus is mislukt op een manier die een probleemloos afsluiten voorkomt. Windows herstelt kritieke services door toepassingsfailover naar andere servers opnieuw op te starten of in te schakelen. De Clustering-service bevat een detectiemechanisme waarmee mogelijk niet-reagerende onderdelen in de gebruikersmodus worden gedetecteerd.

Deze stopfout treedt meestal op in een geclusterde omgeving en het aangegeven defecte stuurprogramma is RHS.exe. Controleer de gebeurtenislogboeken op opslagfouten om het mislukte proces te identificeren. Probeer het onderdeel of proces bij te werken dat wordt aangegeven in de gebeurtenislogboeken. De volgende gebeurtenis wordt nu geregistreerd:

• Gebeurtenis-id: 4870
• Bron: Microsoft-Windows-FailoverClustering
• Beschrijving: De statuscontrole in de gebruikersmodus heeft gedetecteerd dat het systeem niet reageert. De virtuele failoverclusteradapter heeft gedurende %2 seconden geen contact meer met het clusterserverproces met de proces-id %1. Er wordt een herstelactie uitgevoerd. Bekijk de clusterlogboeken om het proces te identificeren en te onderzoeken welke items ervoor kunnen zorgen dat het proces vastloopt.

Zie Stopfout '0x0000009E' op clusterknooppunten in een Windows Server-omgeving met meerdere knooppuntenfailover voor meer informatie Zie ook de volgende Microsoft-video Wat te doen als er een 9E optreedt.

Voorbeelden van foutopsporing

Voorbeeld 1

Deze bugcontrole wordt veroorzaakt doordat een stuurprogramma vastloopt tijdens de upgrade, wat resulteert in een bugcontrole D1 in NDIS.sys, een Microsoft-stuurprogramma. In de IMAGE_NAME wordt het stuurprogramma met de fout aangegeven, maar omdat dit stuurprogramma het Microsoft-stuurprogramma is, kan het niet worden vervangen of verwijderd. De oplossingsmethode is om het netwerkapparaat uit te schakelen in apparaatbeheer en de upgrade opnieuw uit te voeren.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame doesn't contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Voorbeeld 2

In dit voorbeeld heeft een niet-Microsoft-stuurprogramma een paginafout veroorzaakt, dus er zijn geen symbolen voor dit stuurprogramma. Als u echter naar IMAGE_NAME en of MODULE_NAME kijkt, geeft dit aan dat het WwanUsbMP.sys is dat het probleem heeft veroorzaakt. Het loskoppelen van het apparaat en het opnieuw proberen van de upgrade is een mogelijke oplossing.

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This can't be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Verwijzingen

Naslaginformatie over foutcontrolecode