Windows 8 - Logging Process Monitor / Explorer zur Diagnose der BSOD-Ursache

798
Zac

Ich habe vor kurzem jedes Mal mit BSODs zu kämpfen, wenn ich meinen Computer in den Ruhezustand versetze. Die spezifischen Fehlercodes für die Fehlerüberprüfung, die ich empfange (0x139 mit Parameter 1 = 3), sind laut dieser Microsoft-Supportseite besonders schwer zu diagnostizieren.

Ohne auf Details einzugehen, wird ein Prozess initiiert, der zum Absturz von Windows führt, und ich möchte wissen, was dieser Prozess ist.

Mit Process Monitor und Process Explorer kann ich sehen, dass verschiedene Prozesse unmittelbar vor dem Absturz eingeleitet werden. Aber selbst wenn ich verschiedene Filter zur Reduzierung des Ausgabevolumens verwende, kann ich einfach nicht so schnell lesen, da mein Computer die Anzeige aktualisieren kann .

Angenommen, ich habe keine Zeit zum manuellen Speichern, bevor der Absturz auftritt. Welche Techniken könnte ich verwenden, um die Ausgabe automatisch auf der Festplatte zu protokollieren? Gibt es eine Möglichkeit zur automatischen Protokollierung von Process Monitor (oder Explorer)? Gibt es alternativ alternative Tools, mit denen diese Informationen angezeigt werden können, die die automatische Protokollierung unterstützen?

Wenn nicht, gibt es ein Bildschirmaufnahmetool, das direkt in eine Videodatei schreiben kann, die nicht beschädigt wird, wenn der Schreibvorgang durch einen Absturz unterbrochen wird?

Ich denke, im schlimmsten Fall könnte ich meinen Bildschirm von einem Handy aus filmen - aber ich gehe davon aus, dass dies eine ziemlich schmerzhafte Methode sein wird.

Vielen Dank im Voraus für jede Hilfe.

Prost, Zac

0
Für detailliertere Informationen sollten Sie sich Crash-Dump anschauen. Crash Dump befindet sich unter C: \ Windows \ Minidump \ und Sie können die frei verfügbare windbg.exe (ein Microsoft-Tool) verwenden, um die Dumps zu analysieren. pun vor 8 Jahren 0
Danke, ich lese bereits die Minidump-Protokolle über BlueScreenView. Es sagt mir, dass der Prozess, der ausgeführt wird, als der Absturz auftrat, ntoskrnl.exe ist - dies ist jedoch nicht die Ursache des Problems. Das eigentliche Problem (LIST_ENTRY-Beschädigung) tritt zu einem früheren Zeitpunkt auf als der Absturz, und der Minidump kann nicht verwendet werden, um das zu identifizieren (erklärt auf der Seite, auf die ich in der obigen Frage verlinkt habe). Deshalb versuche ich, Prozesse in der Zeit vor dem Absturz zu protokollieren. Zac vor 8 Jahren 0
deshalb verwende ich niemals bluescreenview oder whocrash usw. was auch immer der grund des absturzes ist, es ist immer (wenn nicht anders) in crashdump eingeloggt. Es wird nirgends erwähnt, dass List_entry-Korruption nicht mit windbg analysiert werden kann pun vor 8 Jahren 0
Nun, das stimmt. Ich lese gerade, wie man Windbg benutzt (ich hatte diese Art von Untersuchung noch nie gemacht). Zac vor 8 Jahren 0
Kommt es immer vor, wenn Sie es längere Zeit nicht benutzen? Wie zuvor ist der Computer im Begriff, in den Ruhezustand oder in den Standby-Modus zu wechseln, usw. ... cos. Ich habe viele Geräte (mit alten / beschädigten Treibern) gesehen, die zum Ändern der Energieverwaltung des Computers aktiviert sind pun vor 8 Jahren 0
Ja, es ist immer nach ein paar Minuten (ca. 5 Minuten), aber nicht das gleiche Timing von einem Sturz zum nächsten. Ich habe Windows so eingestellt, dass es niemals in den Ruhezustand versetzt wird, wenn es an der Wand angeschlossen ist. Ich glaube nicht, dass es durch den Schlaf verursacht wurde (der Bildschirm wird vor einem Absturz nicht dunkel). Dies bedeutet jedoch nicht, dass es nicht der Fall ist verursacht durch Energieverwaltung. Ich habe auch sichergestellt, dass alle Treiber auf dem neuesten Stand sind (mit Win Update und Driver Reviver - obwohl ich nicht für die Zuverlässigkeit der Treiber sprechen kann, jedoch schien es so zu funktionieren, wie es angekündigt wurde). Zac vor 8 Jahren 0
BlueScreenView ist Mist. Geben Sie die dmp-Dateien frei, wenn Sie Windbg nicht korrekt verwenden können. Ich werde es mir ansehen. magicandre1981 vor 8 Jahren 0
Ja, ich habe gerade in Windbg geschaut und realisiert, dass es nicht etwas ist, was ich über Nacht verstehen werde. Ich habe die 5 neuesten dmp-Dateien [hier] gezippt (https://drive.google.com/open?id=0B0_YxU7xwOfdbjVaNldyVV9PcTA) - sollte öffentlich sein, aber lassen Sie mich wissen, ob der Link fehlerhaft ist. Zac vor 8 Jahren 0
@Zac Ich habe eine Antwort gepostet. Verwenden Sie beim nächsten Mal auch das "@" vor meinem Namen, damit ich über Ihre Antwort informiert werde. magicandre1981 vor 8 Jahren 0
@ magicandre1981 ah, danke für die Antwort und den Downloadlink. Ich habe den Hotfix ausgeführt und werde feststellen, ob das Problem behoben ist. Vielen Dank für Ihre Zeit, ich schätze es sehr! Und danke für den Kommentartipp - ich hatte angenommen, dass Benutzer, die die Antwort kommentieren, automatisch benachrichtigt werden. Zac vor 8 Jahren 0

1 Antwort auf die Frage

1
magicandre1981

Ihr Absturzabbild zeigt dies:

KERNEL_SECURITY_CHECK_FAILURE (139) A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine. Arguments: Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove). Arg2: ffffd0002054c2b0, Address of the trap frame for the exception that caused the bugcheck Arg3: ffffd0002054c208, Address of the exception record for the exception that caused the bugcheck Arg4: 0000000000000000, Reserved  Debugging Details: ------------------   SYSTEM_SKU: P09ABE.012.CP  SYSTEM_VERSION: P09ABE.012.CP  BIOS_DATE: 07/04/2013  BASEBOARD_PRODUCT: NP350V5C-A0EUK  BASEBOARD_VERSION: BOARD REVISION 00  BUGCHECK_P1: 3  BUGCHECK_P2: ffffd0002054c2b0  BUGCHECK_P3: ffffd0002054c208  BUGCHECK_P4: 0  TRAP_FRAME: ffffd0002054c2b0 -- (.trap 0xffffd0002054c2b0) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=ffffe000a9a204e0 rbx=0000000000000000 rcx=0000000000000003 rdx=ffffe000aa8e64e0 rsi=0000000000000000 rdi=0000000000000000 rip=fffff801476dd699 rsp=ffffd0002054c440 rbp=ffffd0002054c4d9 r8=0000000000000000 r9=0000000000000002 r10=ffffe000acd2e620 r11=ffffe000ae13333c r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na pe nc ndis!ndisNsiGetAllInterfaceInformation+0x25819: fffff801`476dd699 cd29 int 29h Resetting default scope  EXCEPTION_RECORD: ffffd0002054c208 -- (.exr 0xffffd0002054c208) ExceptionAddress: fffff801476dd699 (ndis!ndisNsiGetAllInterfaceInformation+0x0000000000025819) ExceptionCode: c0000409 (Security check failure or stack buffer overrun) ExceptionFlags: 00000001 NumberParameters: 1 Parameter[0]: 0000000000000003 Subcode: 0x3 FAST_FAIL_CORRUPT_LIST_ENTRY  CPU_COUNT: 4  CPU_MHZ: 9be  CPU_VENDOR: GenuineIntel  CPU_FAMILY: 6  CPU_MODEL: 3a  CPU_STEPPING: 9  CUSTOMER_CRASH_COUNT: 1  DEFAULT_BUCKET_ID: LIST_ENTRY_CORRUPT  BUGCHECK_STR: 0x139  PROCESS_NAME: svchost.exe  CURRENT_IRQL: 2  ERROR_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den berlauf eines stapelbasierten Puffers ermittelt. Dieser berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu bernehmen.  EXCEPTION_CODE: (NTSTATUS) 0xc0000409 - Das System hat in dieser Anwendung den berlauf eines stapelbasierten Puffers ermittelt. Dieser berlauf k nnte einem b sartigen Benutzer erm glichen, die Steuerung der Anwendung zu bernehmen.  EXCEPTION_PARAMETER1: 0000000000000003  ANALYSIS_VERSION: 10.0.10240.9 amd64fre  LAST_CONTROL_TRANSFER: from fffff802843ce7e9 to fffff802843c2ca0  STACK_TEXT:  00 nt!KeBugCheckEx 01 nt!KiBugCheckDispatch 02 nt!KiFastFailDispatch 03 nt!KiRaiseSecurityCheckFailure 04 ndis!ndisNsiGetAllInterfaceInformation 05 NETIO!NsiGetAllParametersEx 06 nsiproxy!NsippGetAllParameters 07 nsiproxy!NsippDispatch 08 nt!IopXxxControlFile 09 nt!NtDeviceIoControlFile 0a nt!KiSystemServiceCopyEnd 0b 0x0   FOLLOWUP_IP:  NETIO!NsiGetAllParametersEx+1f8 fffff801`474077d3 8bf0 mov esi,eax  SYMBOL_STACK_INDEX: 5  SYMBOL_NAME: NETIO!NsiGetAllParametersEx+1f8  FOLLOWUP_NAME: MachineOwner  MODULE_NAME: NETIO  IMAGE_NAME: NETIO.SYS  DEBUG_FLR_IMAGE_TIMESTAMP: 546029c5  IMAGE_VERSION: 6.3.9600.17485  BUCKET_ID_FUNC_OFFSET: 1f8  FAILURE_BUCKET_ID: 0x139_3_NETIO!NsiGetAllParametersEx  BUCKET_ID: 0x139_3_NETIO!NsiGetAllParametersEx  PRIMARY_PROBLEM_CLASS: 0x139_3_NETIO!NsiGetAllParametersEx

Dieser Absturz bei NETIO.sys ist ein bekanntes Problem, das Microsoft bereits mit dem Hotfix KB3055343 behoben hat .

Klicken Sie auf Hotfix Download Available, geben Sie Ihre E-Mail- Adresse ein, um den Hotfix anzufordern. Extrahieren Sie das in der E-Mail verknüpfte Exe und installieren Sie den Hotfix über die Windows8.1-KB3055343-x64.msuDatei.

Vorläufig scheint der Hotfix den Trick getan zu haben. Nochmals vielen Dank, dass Sie sich das für mich angesehen haben, die regelmäßigen Abstürze haben mich verrückt gemacht und meine Arbeit behindert, also haben Sie mich wirklich bei dieser Arbeit gerettet ... Zac vor 8 Jahren 0
@Zac schön zu hören, dass dein Problem nun behoben ist :) magicandre1981 vor 8 Jahren 0
Microsoft stellt jetzt Version 2 des Updates über WindowsUpdate für alle Benutzer bereit. magicandre1981 vor 8 Jahren 0
Ah, super, danke für das Update. Zac vor 8 Jahren 0

Verwandte Probleme