ラベル #cmd dmp の投稿を表示しています。 すべての投稿を表示
ラベル #cmd dmp の投稿を表示しています。 すべての投稿を表示

2021年1月29日金曜日

[OS] Windows10,STOPエラーの原因と処置



[OS] Windows10,STOPエラーの原因と処置
STOPエラーまたはブルースクリーンエラーに対する高度なトラブルシューティング
2021/06/01
注意
サポート エージェントまたは IT プロフェッショナルではない場合は,「ブルー スクリーン エラーのトラブルシューティング」の「Stop error ("blue screen") メッセージに関するより役立つ情報 が表示されます。
■Stop エラーの原因
Stop エラーは,次のドライバー例など,障害のあるドライバーの名前を含む青い画面として表示されます。
atikmpag.sys
igdkmd64.sys
nvlddmkm.sys
Stop エラー (ブルー スクリーン エラーまたはバグ チェック エラーとも呼ばれる) の原因に関する簡単な説明はありません。 
さまざまな要因が関係する可能性があります。 
ただし,さまざまな調査では,Stop エラーは通常,Microsoft のコンポーネントによって発生Windows示されています。 代わりに,これらのエラーは一般に,サード パーティ製ソフトウェアによってインストールされているハードウェア ドライバーまたはドライバーの誤動作に関連しています。 
これには,ビデオ カード,ワイヤレス ネットワーク カード,セキュリティ プログラムなどがあります。
クラッシュの根本原因を分析すると,次の結果が示されます。
70% はサード パーティ製のドライバー コードによって引き起こされます
10% はハードウェアの問題によって引き起こされます
5% は Microsoft コードによって引き起こされます
15% の原因が不明です (メモリが壊れすぎて分析が行えないので)
Stop エラーの根本原因は,ユーザー モード プロセスでは発生しません。 
ユーザー モード プロセス (メモ帳 や Slack など) が Stop エラーを引き起こす可能性がある一方で,ドライバー,ハードウェア,または OS に常に存在する,基になるバグを公開しているに過言ではありません。
■一般的なトラブルシューティング手順
☆イベント ログでStopエラーコードを確認
Stop エラー メッセージをトラブルシューティングするには,次の一般的な手順に従います。
イベント ログで見つけた Stopエラーコードを確認します。 
オンラインで特定の Stop エラー コードを検索して,既知の問題,解決方法,または回避策が問題かどうかを確認します。
ベスト プラクティスとして,次の手順を実行することをお勧めします。
最新の Windows 更新プログラム,累積的な更新プログラム,およびロールアップ更新プログラムをインストールしていることを確認してください。 
更新状態を確認するには,システムの適切な更新履歴を参照してください。
Windows 10 バージョン 2004
Windows 10 Version 1909
Windows 10 Version 1903
Windows 10 Version 1809
Windows 10 Version 1803
Windows 10 Version 1709
Windows 10 Version 1703
Windows Server 2016およびWindows 10バージョン 1607
Windows 10 バージョン 1511
Windows Server 2012 R2 と Windows 8.1
WindowsServer 2008 R2 および Windows 7 SP1
BIOS とファームウェアが最新の情報である必要があります。
関連するハードウェアテストとメモリ テストを実行します。
診断パッケージのコンピューター メモリ ダンプ コレクター Windows実行します。 
この診断ツールは,コンピューター メモリ ダンプ ファイルを収集し,既知のソリューションを確認するために使用されます。
マスターブート Microsoft Safety Scannerのチェックを含む,他のウイルス検出プログラムを実行します。
ハード ディスクに十分な空き領域が確保されている必要があります。 正確な要件は異なりますが,10 ~ 15% の空きディスク領域をお勧めします。
次のシナリオでドライバーとアプリケーションを更新するには,それぞれのハードウェアベンダーまたはソフトウェア ベンダーに問い合わせください。
エラー メッセージは,特定のドライバーが問題の原因となっているかどうかを示します。
クラッシュが発生する前に開始または停止しているサービスが表示されます。 
この状況では,クラッシュのすべてのインスタンスでサービス動作が一貫するかどうかを判断します。
ソフトウェアまたはハードウェアの変更が行われた。
特定の製造元から利用可能な更新プログラムがない場合は,関連するサービスを無効にしてください。
これを行うには,「クリーン ブートを実行する方法」を参照Windows。
「カーネル モード フィルター ドライバーを一時的に非アクティブ化する方法」の手順に従って,ドライバーを無効Windows。
また,変更をロールバックするか,最後に既知の作業状態に戻すオプションを検討することもできます。 詳細については,「デバイス ドライバー を以前のバージョンにロールバックする」を参照してください。
☆メモリ ダンプ コレクション
メモリ ダンプ ファイル用にシステムを構成するには,次の手順を実行します。
DumpConfigurator ツールをダウンロードします。
ソース ファイルを.zipし,[ソース コード] フォルダーに移動 します。
ツール DumpConfigurator.hta を実行し,[この HTA を昇格する] を選択します。
[ 自動構成カーネル] を選択します。
設定を有効にするためにコンピューターを再起動します。
ダンプ ファイルが書き込まれるのを防ぐために,自動システム再起動サービス (ASR) を停止および無効化します。
サーバーが仮想化されている場合は,メモリ ダンプ ファイルの作成後に自動再起動を無効にします。 
これにより,サーバーの状態のスナップショットを取得できます。また,問題が再発した場合にも使用できます。
メモリ ダンプ ファイルは,次の場所に保存されます。
メモリ ダンプ コレクション
ダンプ ファイルの種類 Location
(なし) %SystemRoot%\MEMORY。DMP (非アクティブ,または灰色表示)
小さなメモリ ダンプ ファイル (256 kb) %SystemRoot%\Minidump
カーネル メモリ ダンプ ファイル %SystemRoot%\MEMORY。DMP
完全なメモリ ダンプ ファイル %SystemRoot%\MEMORY。DMP
自動メモリ ダンプ ファイル %SystemRoot%\MEMORY。DMP
アクティブ メモリ ダンプ ファイル %SystemRoot%\MEMORY。DMP
Microsoft DumpChk (クラッシュ ダンプ ファイル チェッカー) ツールを使用して,メモリ ダンプ ファイルが破損または無効ではないか確認できます。 
詳細については,次のビデオを参照してください。
ダンプ ファイルを確認する方法Dumpchk.exe詳細については,次の手順を実行します。
DumpChk の使用
DumpCheck のダウンロード
Pagefile 設定
サービス チャネルとサービス チャネルLong-Termチャネルでのページ Semi-AnnualのWindows
64ビット版の Windows の適切なページ ファイル サイズを決定する方法
サーバー 2008 およびサーバー 2008 R2 でカーネルまたは完全なメモリ ダンプ WindowsをWindowsする方法
メモリ ダンプ分析
クラッシュの根本的な原因を見つけるのは簡単ではない可能性があります。 
ハードウェアの問題は,さまざまな症状で現れる不安定で予測不可能な動作を引き起こす可能性があるため,診断が特に困難です。
Stop エラーが発生した場合は,まず問題のあるコンポーネントを分離してから,停止エラーを再びトリガーする必要があります。 問題を再現できる場合は,通常,原因を特定できます。
ソフトウェア開発キット (SDK) Windowsシンボルなどのツールを使用して,ダンプ ログを診断できます。 次のセクションでは,このツールの使い方について説明します。
■高度なトラブルシューティング手順
クラッシュ ダンプの高度なトラブルシューティングは,プログラミングと内部データ 処理のメカニズムを経験していない場合,非常にWindowsがあります。 
ここでは,いくつかの例を含め,使用する手法の一部について簡単に説明しました。 
ただし,クラッシュ ダンプのトラブルシューティングを実際に効果的に行うには,高度なデバッグ手法に慣れ親しんだ時間を費やす必要があります。 ビデオの概要については,「Advanced Windows デバッグとデバッグ カーネル モードのクラッシュとハング」を参照してください。 また,以下に示す高度なリファレンスも参照してください。
高度なデバッグ参照
☆WinDbgツール
高度なWindowsデバッグ
Windows のデバッグ ツール (WinDbg,KD,CDB,NTSD)
デバッグ手順
クラッシュが発生した場合に,完全なメモリ ダンプ ファイルを生成するためにコンピューターがセットアップされているのを確認します。 
詳細については, こちらを参照 してください。
クラッシュしているコンピューターの Windows ディレクトリにある memory.dmp ファイルを見つけて,そのファイルを別のコンピューターにコピーします。
もう一方のコンピューターで,SDK をダウンロードWindows 10します。
インストールを開始し,[デバッグ ツール] を選択Windows。 これにより,WinDbg ツールがインストールされます。
WinDbgツールを開き,[ファイル] をクリック**** し,[シンボル ファイルのパス] をクリックして,シンボル パスを設定します。
コンピューターがインターネットに接続されている場合は ,Microsoft パブリック シンボル サーバーを入力します https://msdl.microsoft.com/download/symbols) ([OK] をクリックします)。 
これは,推奨されている接続方法です。
コンピューターがインターネットに接続されていない場合は,ローカル シンボル パスを指定する 必要があります。
[クラッシュ ダンプを開く] をクリックし,コピーした memory.dmp ファイルを開きます。 以下の例を参照してください。
WinDbg img
Bugcheck Analysis の下に !analyze -v というリンク****がある必要があります。 そのリンクをクリックします。 
これにより,ページの下部にあるプロンプトにコマンド !analyze -v が入力されます。
詳細なバグチェック分析が表示されます。 以下の例を参照してください。
バグチェック分析
下にスクロールしてセクションにスクロールし,[STACK_TEXT] をクリックします。 
各行の後にコロンとテキストが続く数字の行があります。 
このテキストは,クラッシュの原因となっている DLL と,該当するサービスが DLL をクラッシュしている場合に示す必要があります。
出力 の解釈方法の詳細については,「!analyze Extension の使用」をSTACK_TEXTしてください。
バグ
(HEX データはここで削除され,わかりやすくするために行に番号が付きます)
ここでの問題は ,ファイアウォールのコンポーネントである mpssvc Windowsです。 
この問題は,ファイアウォールを一時的に無効にしてからファイアウォール ポリシーをリセットすることで修復されました。
その他の例については,この 記事の下部にある 「デバッグの例」セクションで説明します。
ビデオ リソース
次のビデオは,ダンプ ファイルを分析するためのさまざまなトラブルシューティング手法を示しています。
☆ダンプ ファイルの分析
デバッグ ツールのインストール (x64 Windows x86)
カーネル モードのクラッシュ メモリ ダンプのデバッグ
特別なプール
ドライバー検証ツールを使用した高度なトラブルシューティング
すべての Stop エラーの約 75% が,障害のあるドライバーによって引き起こされたと推定されています。 ドライバー検証ツールには,トラブルシューティングに役立ついくつかの方法があります。 これには,分離されたメモリ プールでドライバーを実行する (他のコンポーネントとメモリを共有しない),極端なメモリの圧力を発生させる,パラメーターの検証が含まれます。 
ツールは,ドライバー コードの実行でエラーが発生した場合,コードのその部分をさらに調べる例外を積極的に作成します。
ドライバーの検証ツールは,CPU の多くを消費し,コンピューターを大幅に遅くすることができます。 また,追加のクラッシュが発生する可能性があります。 
検証ツールは,Stop エラーが発生した後に障害のあるドライバーを無効にし,システムを正常に再起動してデスクトップにアクセスするまで,この処理を続行します。 
また,複数のダンプ ファイルが作成される可能性があります。
すべてのドライバーを一度に確認しようとはしない。 これにより,パフォーマンスが低下し,システムが使用できなくなる可能性があります。 これにより,ツールの有効性も制限されます。
ドライバー検証ツールを使用する場合は,次のガイドラインを使用します。
"疑わしい" ドライバー (最近更新されたドライバー,または問題が知られているドライバー) をテストします。
分析できないクラッシュが引き続き発生する場合は,すべてのサード パーティドライバーと署名されていないドライバーで検証を有効にしてみてください。
10 ~ 20 人のドライバーのグループで同時検証を有効にします。
また,ドライバー検証ツールが原因でコンピューターがデスクトップに起動できない場合は,コンピューターモードで起動してセーフできます。 
この理由は,このツールを実行できないモードセーフです。
詳細については,「Driver Verifier」を参照してください。

Microsoft 
https://docs.microsoft.com/ja-jp/windows/client-management/troubleshoot-stop-errors











[OS] Windows10,一般的WINDOWS停止エラーと軽減策~STOPエラーに対する高度なトラブルシューティング
■一般的WINDOWS停止エラーと軽減策
一般的Windows停止エラー
このセクションには,すべてのエラー コードの一覧が含まれているとは言え,多くのエラー コードには同じ解決策が含まれているので,次の手順に従ってエラーのトラブルシューティングを行うのが最善の策です。
一般的な Stop エラー コードの一般的なトラブルシューティング手順を示します。
エラー メッセージとコードを停止する
◇VIDEO_ENGINE_TIMEOUT_DETECTEDまたはVIDEO_TDR_TIMEOUT_DETECTED
:エラー コードを停止0x00000141,または0x00000117
>>リストされているディスプレイ ドライバーのベンダーに問い合わせ,そのドライバーに適切な更新プログラムを取得します。
◇DRIVER_IRQL_NOT_LESS_OR_EQUAL
:エラー コードの停止0x0000000D1
>> Microsoft Update Catalog Web サイトを介してシステムの最新の累積的な更新プログラムを適用して,ドライバーの最新の更新プログラムを適用します。
古い NIC ドライバーを更新します。 
仮想化された VMware システムは,多くの場合,"Intel(R) PRO/1000 MT Network Connection" (e1g6032e.sys) を実行します。 このドライバーはで利用できます http://downloadcenter.intel.com 。 解決のために NIC ドライバーを更新するには,ハードウェア ベンダーに問い合わせください。 VMware システムの場合は,Intel デバイスの代わりに VMware 統合 NIC ドライバー (VMXNET または VMXNET2,VMXNET3 を使用できます) を使用e1g6032e.sys。
◇PAGE_FAULT_IN_NONPAGED_AREA
:Stop error code 0x000000050
>>ドライバーが Stop エラー メッセージで識別された場合は,更新プログラムを製造元に問い合わせください。
利用可能な更新プログラムがない場合は,ドライバーを無効にし,システムの安定性を監視します。
Chkdsk /f /r を実行して,ディスク エラーを検出して修復します。 ディスク スキャンがシステム パーティションで開始される前に,システムを再起動する必要があります。 ハード ディスク サブシステムに提供できる診断ツールについては,製造元にお問い合わせください。 最近インストールまたは更新されたアプリケーションまたはサービスを再インストールしてみてください。 システムがアプリケーションを起動し,優先設定のレジストリを読み取っている間にクラッシュが発生した可能性があります。 アプリケーションを再インストールすると,破損したレジストリ キーを修正できます。問題が解決しない場合,最近のシステム状態のバックアップを実行した場合は,バックアップからレジストリ ハイブを復元してみてください。
◇SYSTEM_SERVICE_EXCEPTION
:Stop error code c000021a {Fatal System Error} Windows SubSystem 
>>システム プロセスが予期せず終了し,エラーが発生0xc0000005。 システムがシャットダウンされています。
システム ファイル チェッカー ツールを使用して,見つからないシステム ファイルまたは破損したシステム ファイルを修復します。 
System File Checker を使用すると,ユーザーはシステム ファイル内の破損Windowsスキャンし,破損したファイルを復元できます。 
詳細については,「Use the System File Checker tool」を参照してください。
◇NTFS_FILE_SYSTEM
:Stop error code 0x000000024
>>この Stop エラーは,一般的に,NTFS ファイル システムの破損,またはハード ディスク上の不良ブロック (セクター) が原因で発生します。 
ハード ディスク (SATA または IDE) の破損したドライバーは,システムのディスクへの読み取りおよび書き込み機能にも悪影響を及ぼす可能性があります。 
記憶域サブシステムの製造元が提供するハードウェア診断を実行します。 
スキャン ディスク ツールを使用して,ファイル システム エラーがないか確認します。 これを行うには,スキャンするドライブを右クリックし,[プロパティ] を選択し,[ツール] を選択し,[今すぐ確認] ボタンを選択します。また,NTFS ファイル システム ドライバー (Ntfs.sys) を更新し,問題が発生している現在のオペレーティング システムに対して最新の累積的な更新プログラムを適用してください。
◇KMODE_EXCEPTION_NOT_HANDLED
:エラー コードの停止0x0000001E
>>Stop エラー メッセージでドライバーが識別された場合は,そのドライバーを無効または削除します。 
最近追加されたドライバーまたはサービスを無効または削除します。
スタートアップ シーケンス中にエラーが発生し,NTFS ファイル システムを使用してシステム パーティションが書式設定されている場合は,セーフ モードを使用してデバイス マネージャーでドライバーを無効にできる場合があります。 これを行うには,次の手順を実行します。
[セキュリティの更新設定 > & 回復] に>移動します。 
[高度 な起動] で,[今すぐ 再起動] を選択します。 PC が [オプションの選択] 画面に再起動したら,[高度なオプションのトラブルシューティング] を選択し,[スタートアップ] 設定** > > > します**。 コンピューターを再起動すると,オプションの一覧が表示されます。 4 または F4 キーを押して,コンピューターを セーフします。 または,ネットワーク モード中にインターネットを使用する場合セーフネットワークモードの場合は ,5またはF5セーフを押します。
◇DPC_WATCHDOG_VIOLATION
:エラー コードの停止0x00000133
>>この Stop エラー コードは,特定の条件で割り当てられた時間枠内で作業を完了しないドライバーの障害が原因です。 
このエラーを軽減するために,システムからメモリ ダンプ ファイルを収集し,エラーのあるドライバーを検索するには,Windows デバッガーを使用します。 
Stop エラー メッセージでドライバーが特定された場合は,ドライバーを無効にして問題を特定します。 ドライバーの更新プログラムを製造元に確認します。 イベント ビューアーのシステム ログで,Stop エラー の原因となっているデバイスまたはドライバーを特定するのに役立つ可能性のある追加のエラー メッセージ0x133。 インストールされている新しいハードウェアがインストールされているバージョンのハードウェアと互換性Windows。 たとえば,「仕様」で必要なハードウェアに関するWindows 10できます。 Windows デバッガーがインストールされ,パブリック シンボルにアクセスできる場合は,c:\windows\memory.dmp ファイルをデバッガーに読み込み,Windows Server 2012 のバグ チェック0x133 (DPC_WATCHDOG_VIOLATION)エラーの原因を特定するを参照して,メモリ ダンプから問題のあるドライバーを検索します。
◇USER_MODE_HEALTH_MONITOR
:エラー コードの停止0x0000009E
この Stop エラーは,正常なシャットダウンを防止する方法でユーザー モードの正常性チェックが失敗したと示します。 
したがって,Windowsサーバーへのアプリケーション フェールオーバーを再起動または有効にすることで,重要なサービスを復元できます。 
Clustering Service には,ユーザー モード コンポーネントで応答しなくなる可能性がある検出メカニズムが組み込されています。
この Stop エラーは通常,クラスター化された環境で発生し,示されている障害のあるドライバーがRHS.exe。障害が発生したプロセスを識別するために,ストレージ障害が発生した場合は,イベント ログを確認します。 イベント ログに示されているコンポーネントまたはプロセスを更新してください。 次のイベントが記録されている必要があります。
イベント ID: 4870
ソース: Microsoft-Windows-FailoverClustering
説明: ユーザー モードの正常性監視で,システムが応答していないのが検出されました。 
フェールオーバー クラスター仮想アダプターは,'%2' 秒間,プロセス ID '%1' を持つクラスター サーバー プロセスとの接触を失いました。 回復アクションが実行されます。 クラスター ログを確認して,プロセスを特定し,プロセスがハングする原因となる可能性のあるアイテムを調査します。
詳細については,「フェールオーバー クラスター ノードが Stop サーバーを使用してブルー スクリーニングを行う理由 0x0000009E。 また,9E が発生した場合の処理については,次の Microsoft ビデオ を参照してください。
デバッグの例
例 1
このバグチェックは,アップグレード中にドライバーがハングし,バグチェック D1 NDIS.sys (Microsoft ドライバー) によって発生します。 
この IMAGE_NAME, 障害のあるドライバーが表示されますが,Microsoft ドライバーの場合は置き換えも削除もできません。 
解決方法は,デバイス マネージャーでネットワーク デバイスを無効にして,アップグレードを再試行する方法です。

Microsoft 
https://docs.microsoft.com/ja-jp/windows/client-management/troubleshoot-stop-errors





[Bugcheck Analysis] 1 : nt!KeBugCheckEx 2 : nt!PspCatchCriticalBreak+0xff 3 : nt!PspTerminateAllThreads+0x1134cf 4 : nt!PspTerminateProcess+0xe0 5 : nt!NtTerminateProcess+0xa9 6 : nt!KiSystemServiceCopyEnd+0x13 7 : nt!KiServiceLinkage 8 : nt!KiDispatchException+0x1107fe 9 : nt!KiFastFailDispatch+0xe4 10 : nt!KiRaiseSecurityCheckFailure+0x3d3 11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44 12 : ntdll!_C_specific_handler+0x96 13 : ntdll!RtlpExecuteHandlerForException+0xd 14 : ntdll!RtlDispatchException+0x358 15 : ntdll!KiUserExceptionDispatch+0x2e 16 : ntdll!RtlpHpVsContextFree+0x11e 17 : ntdll!RtlpHpFreeHeap+0x48c 18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda 19 : ntdll!RtlFreeHeap+0x24a 20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2 21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f 22 : mpssvc!FwEdpMonUpdate+0x6c 23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b 24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105 25 : ntdll!RtlpWnfNotificationThread+0x80 26 : ntdll!TppExecuteWaitCallback+0xe1 27 : ntdll!TppWorkerThread+0x8d0 28 : KERNEL32!BaseThreadInitThunk+0x14 29 : ntdll!RtlUserThreadStart+0x21



 
2: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If kernel debugger is available get stack backtrace. Arguments: Arg1: 000000000011092a, memory referenced Arg2: 0000000000000002, IRQL Arg3: 0000000000000001, value 0 = read operation, 1 = write operation Arg4: fffff807aa74f4c4, address which referenced memory Debugging Details: ------------------ KEY_VALUES_STRING: 1 STACKHASH_ANALYSIS: 1 TIMELINE_ANALYSIS: 1 DUMP_CLASS: 1 DUMP_QUALIFIER: 400 SIMULTANEOUS_TELSVC_INSTANCES: 0 SIMULTANEOUS_TELWP_INSTANCES: 0 BUILD_VERSION_STRING: 16299.15.amd64fre.rs3_release.170928-1534 SYSTEM_MANUFACTURER: Alienware SYSTEM_PRODUCT_NAME: Alienware 15 R2 SYSTEM_SKU: Alienware 15 R2 SYSTEM_VERSION: 1.2.8 BIOS_VENDOR: Alienware BIOS_VERSION: 1.2.8 BIOS_DATE: 01/29/2016 BASEBOARD_MANUFACTURER: Alienware BASEBOARD_PRODUCT: Alienware 15 R2 BASEBOARD_VERSION: A00 DUMP_TYPE: 2 BUGCHECK_P1: 11092a BUGCHECK_P2: 2 BUGCHECK_P3: 1 BUGCHECK_P4: fffff807aa74f4c4 WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState Unable to get NonPagedPoolStart Unable to get NonPagedPoolEnd Unable to get PagedPoolStart Unable to get PagedPoolEnd 000000000011092a CURRENT_IRQL: 2 FAULTING_IP: NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708] fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx CPU_COUNT: 8 CPU_MHZ: a20 CPU_VENDOR: GenuineIntel CPU_FAMILY: 6 CPU_MODEL: 5e CPU_STEPPING: 3 CPU_MICROCODE: 6,5e,3,0 (F,M,S,R) SIG: BA'00000000 (cache) BA'00000000 (init) BLACKBOXPNP: 1 (!blackboxpnp) DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT BUGCHECK_STR: AV PROCESS_NAME: System ANALYSIS_SESSION_HOST: SHENDRIX-DEV0 ANALYSIS_SESSION_TIME: 01-17-2019 11:06:05.0653 ANALYSIS_VERSION: 10.0.18248.1001 amd64fre TRAP_FRAME: ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000 rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00 r8=ffffb30e0e99ea30 r9=0000000001d371c1 r10=0000000020000080 r11=0000000000000000 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei ng nz na pe nc NDIS!NdisQueueIoWorkItem+0x4: fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx ds:00000000`0011092a=???????????????? Resetting default scope LAST_CONTROL_TRANSFER: from fffff800603799e9 to fffff8006036e0e0 STACK_TEXT: ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] RETRACER_ANALYSIS_TAG_STATUS: Failed in getting KPCR for core 2 THREAD_SHA1_HASH_MOD_FUNC: 5b59a784f22d4b5cbd5a8452fe39914b8fd7961d THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 5643383f9cae3ca39073f7721b53f0c633bfb948 THREAD_SHA1_HASH_MOD: 20edda059578820e64b723e466deea47f59bd675 FOLLOWUP_IP: NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708] fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx FAULT_INSTR_CODE: 20518948 FAULTING_SOURCE_LINE: minio\ndis\sys\miniport.c FAULTING_SOURCE_FILE: minio\ndis\sys\miniport.c FAULTING_SOURCE_LINE_NUMBER: 9708 FAULTING_SOURCE_CODE: 9704: _In_ _Points_to_data_ PVOID WorkItemContext 9705: ) 9706: { 9707: > 9708: ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine; 9709: ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext; 9710: 9711: IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem, 9712: ndisDispatchIoWorkItem, 9713: CriticalWorkQueue, SYMBOL_STACK_INDEX: 3 SYMBOL_NAME: NDIS!NdisQueueIoWorkItem+4 FOLLOWUP_NAME: ndiscore MODULE_NAME: NDIS IMAGE_NAME: NDIS.SYS DEBUG_FLR_IMAGE_TIMESTAMP: 0 IMAGE_VERSION: 10.0.16299.99 DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR: Hybrid_FALSE DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR: GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active; STACK_COMMAND: .thread ; .cxr ; kb BUCKET_ID_FUNC_OFFSET: 4 FAILURE_BUCKET_ID: AV_NDIS!NdisQueueIoWorkItem BUCKET_ID: AV_NDIS!NdisQueueIoWorkItem PRIMARY_PROBLEM_CLASS: AV_NDIS!NdisQueueIoWorkItem TARGET_TIME: 2017-12-10T14:16:08.000Z OSBUILD: 16299 OSSERVICEPACK: 98 SERVICEPACK_NUMBER: 0 OS_REVISION: 0 SUITE_MASK: 784 PRODUCT_TYPE: 1 OSPLATFORM_TYPE: x64 OSNAME: Windows 10 OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS Personal OS_LOCALE: USER_LCID: 0 OSBUILD_TIMESTAMP: 2017-11-26 03:49:20 BUILDDATESTAMP_STR: 170928-1534 BUILDLAB_STR: rs3_release BUILDOSVER_STR: 10.0.16299.15.amd64fre.rs3_release.170928-1534 ANALYSIS_SESSION_ELAPSED_TIME: 8377 ANALYSIS_SOURCE: KM FAILURE_ID_HASH_STRING: km:av_ndis!ndisqueueioworkitem FAILURE_ID_HASH: {10686423-afa1-4852-ad1b-9324ac44ac96} FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96 Followup: ndiscore --------- 例 2 この例では,Microsoft 以外のドライバーがページエラーを引き起こしたので,このドライバーのシンボルは使用されません。 ただし,問題のIMAGE_NAME,MODULE_NAMEの原因WwanUsbMP.sys示します。 **** デバイスを切断してアップグレードを再試行する方法が考えられます。 1: kd> !analyze -v ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot be protected by try-except. Typically the address is just plain bad or it is pointing at freed memory. Arguments: Arg1: 8ba10000, memory referenced. Arg2: 00000000, value 0 = read operation, 1 = write operation. Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory address. Arg4: 00000000, (reserved) Debugging Details: ------------------ *** WARNING: Unable to verify timestamp for WwanUsbMp.sys *** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys KEY_VALUES_STRING: 1 STACKHASH_ANALYSIS: 1 TIMELINE_ANALYSIS: 1 DUMP_CLASS: 1 DUMP_QUALIFIER: 400 BUILD_VERSION_STRING: 16299.15.x86fre.rs3_release.170928-1534 MARKER_MODULE_NAME: IBM_ibmpmdrv SYSTEM_MANUFACTURER: LENOVO SYSTEM_PRODUCT_NAME: 20AWS07H00 SYSTEM_SKU: LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p SYSTEM_VERSION: ThinkPad T440p BIOS_VENDOR: LENOVO BIOS_VERSION: GLET85WW (2.39 ) BIOS_DATE: 09/29/2016 BASEBOARD_MANUFACTURER: LENOVO BASEBOARD_PRODUCT: 20AWS07H00 BASEBOARD_VERSION: Not Defined DUMP_TYPE: 2 BUGCHECK_P1: ffffffff8ba10000 BUGCHECK_P2: 0 BUGCHECK_P3: ffffffff82154573 BUGCHECK_P4: 0 READ_ADDRESS: 822821d0: Unable to get MiVisibleState 8ba10000 FAULTING_IP: nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213 82154573 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] MM_INTERNAL_CODE: 0 CPU_COUNT: 4 CPU_MHZ: 95a CPU_VENDOR: GenuineIntel CPU_FAMILY: 6 CPU_MODEL: 3c CPU_STEPPING: 3 CPU_MICROCODE: 6,3c,3,0 (F,M,S,R) SIG: 21'00000000 (cache) 21'00000000 (init) BLACKBOXBSD: 1 (!blackboxbsd) BLACKBOXPNP: 1 (!blackboxpnp) DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT BUGCHECK_STR: AV PROCESS_NAME: System CURRENT_IRQL: 2 ANALYSIS_SESSION_HOST: SHENDRIX-DEV0 ANALYSIS_SESSION_TIME: 01-17-2019 10:54:53.0780 ANALYSIS_VERSION: 10.0.18248.1001 amd64fre TRAP_FRAME: 8ba0efa8 -- (.trap 0xffffffff8ba0efa8) ErrCode = 00000000 eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280 eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0 nv up ei pl nz ac pe nc cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010216 nt!memcpy+0x33: 82154573 f3a5 rep movs dword ptr es:[edi],dword ptr [esi] Resetting default scope LOCK_ADDRESS: 8226c6e0 -- (!locks 8226c6e0) Cannot get _ERESOURCE type Resource @ nt!PiEngineLock (0x8226c6e0) Available 1 total locks PNP_TRIAGE_DATA: Lock address : 0x8226c6e0 Thread Count : 0 Thread address: 0x00000000 Thread wait : 0x0 LAST_CONTROL_TRANSFER: from 82076708 to 821507e8 STACK_TEXT: 8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] WARNING: Stack unwind information not available. Following frames may be wrong. 8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f 8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96 8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] RETRACER_ANALYSIS_TAG_STATUS: Failed in getting KPCR for core 1 THREAD_SHA1_HASH_MOD_FUNC: e029276c66aea80ba36903e89947127118d31128 THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 012389f065d31c8eedd6204846a560146a38099b THREAD_SHA1_HASH_MOD: 44dc639eb162a28d47eaeeae4afe6f9eeccced3d FOLLOWUP_IP: WwanUsbMp+1c15f ac50c15f 8bf0 mov esi,eax FAULT_INSTR_CODE: f33bf08b SYMBOL_STACK_INDEX: 8 SYMBOL_NAME: WwanUsbMp+1c15f FOLLOWUP_NAME: MachineOwner MODULE_NAME: WwanUsbMp IMAGE_NAME: WwanUsbMp.sys DEBUG_FLR_IMAGE_TIMESTAMP: 5211bb0c DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR: Hybrid_FALSE DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR: GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post; STACK_COMMAND: .thread ; .cxr ; kb BUCKET_ID_FUNC_OFFSET: 1c15f FAILURE_BUCKET_ID: AV_R_INVALID_WwanUsbMp!unknown_function BUCKET_ID: AV_R_INVALID_WwanUsbMp!unknown_function PRIMARY_PROBLEM_CLASS: AV_R_INVALID_WwanUsbMp!unknown_function TARGET_TIME: 2018-02-12T11:33:51.000Z OSBUILD: 16299 OSSERVICEPACK: 15 SERVICEPACK_NUMBER: 0 OS_REVISION: 0 SUITE_MASK: 272 PRODUCT_TYPE: 1 OSPLATFORM_TYPE: x86 OSNAME: Windows 10 OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS OS_LOCALE: USER_LCID: 0 OSBUILD_TIMESTAMP: 2017-09-28 18:32:28 BUILDDATESTAMP_STR: 170928-1534 BUILDLAB_STR: rs3_release BUILDOSVER_STR: 10.0.16299.15.x86fre.rs3_release.170928-1534 ANALYSIS_SESSION_ELAPSED_TIME: 162bd ANALYSIS_SOURCE: KM FAILURE_ID_HASH_STRING: km:av_r_invalid_wwanusbmp!unknown_function FAILURE_ID_HASH: {31e4d053-0758-e43a-06a7-55f69b072cb3} FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3 Followup: MachineOwner ---------