Problem
Ein Client-Notebook erhält einen Blue Screen of Death mit dem Code 0000002c. Dies geschieht, wenn der Windows XP-Bootvorgang abgeschlossen ist und versucht wird, die Willkommensoberfläche zu laden.
Was ich bisher getan habe
- Es handelt sich nicht um ein Hardwareproblem, da ich HD (Victoria Scan, HD-Diagnosetool des Herstellers (Samsung)), RAM (Memtest86+ 24 Std.) und CPU (Stresstest) bereits ohne Fehler getestet habe.
- Abgesicherter Modus: BSOD 2c
- Windows-Reparatur: BSOD 2c (während der Treiberinstallation)
- Habe die Festplatte in einem ganz anderen Notebook (anderer Chipsatz) verwendet, sogar in einer virtuellen Umgebung: BSOD 2c.
- Alle logonui.exe und ntkrpamp.exe durch das Original ersetzt.
Diagnostik
- Wenn ich das Notebook mit einem Windows PE (Hirens Boot CD 15.1) boote und sehen möchte, welche Programme und Treiber beim Start geladen werden (autorun.exe von Sysinternals), erhalte ich in der PE-Umgebung denselben BSOD 2c.
Auf Anfrage kann ich die *.dmp-Datei des neuesten Minidumps hochladen.
Minidump
z:\TOOLS\windbg_6.12.0002.633_x86\debugger_x86>kd -y srv*c:\symbols*http://msdl.
microsoft.com/download/symbols -ic:\windows\i386 -zz:\TMP\User\Mini052512-07.
dmp
Microsoft (R) Windows Debugger Version 6.12.0002.633 X86
Copyright (c) Microsoft Corporation. Alle Rechte vorbehalten.
Dump-Datei wird geladen [z:\TMP\User\Mini052512-07.dmp]
Mini Kernel Dump File: Nur Register und Stacktrace sind verfügbar
Der Symbolsuchpfad lautet: srv*c:\symbols*http://msdl.microsoft.com/download/symbols
Der Suchpfad für ausführbare Dateien lautet: c:\windows\i386
Windows XP Kernel Version 2600 (Service Pack 3) MP (4 procs) Kostenlos x86 kompatibel
Produkt: WinNt, Suite: TerminalServer SingleUserTS Personal
Erstellt von: 2600.xpsp.080413-2111
Computername:
Kernel-Basis = 0x804d7000 PsLoadedModuleList = 0x8055d720
Zeit der Debug-Sitzung: Freitag, 25. Mai 2012, 18:48:44.218 (UTC + 2:00)
Systemverfügbarkeit: 0 Tage 0:19:39.765
Laden von Kernelsymbolen
.................................................................
.................................................
Laden von Benutzersymbolen
Liste der nicht geladenen Module wird geladen
...................
*******************************************************************************
* *
* Bugcheck-Analyse *
* *
*******************************************************************************
Verwenden Sie !analyze -v, um ausführliche Debuginformationen zu erhalten.
BugCheck C2, {43, c68a4000, 0, 0}
Wahrscheinlich verursacht durch: ntkrpamp.exe ( nt!CmpFree+17 )
Folgebeitrag: MachineOwner
---------
0: kd> !analysieren -v
*******************************************************************************
* *
* Bugcheck-Analyse *
* *
*******************************************************************************
BAD_POOL_CALLER (c2)
Der aktuelle Thread stellt eine fehlerhafte Pool-Anforderung. Normalerweise liegt dies an einem fehlerhaften IRQ
L-Ebene oder doppelte Freigabe derselben Zuordnung usw.
Argumente:
Arg1: 00000043, Versuch, eine virtuelle Adresse freizugeben, die sich nie in einem Pool befand
Arg2: c68a4000, Adresse wird freigegeben.
Arg3: 00000000, 0
Arg4: 00000000, 0
Debugging-Details:
------------------
FEHLERHAFTE_IP:
nt!CmpFrei+17
8063 Rindfleisch 5d Pop EBP
BUGCHECK_STR: 0xc2_43
Anzahl der Kundenabstürze: 7
DEFAULT_BUCKET_ID: COMMON_SYSTEM_FAULT
PROZESSNAME: setup.exe
LAST_CONTROL_TRANSFER: von 80548c2d nach 804f9f33
STACK_TEXT:
ba2979e4 80548c2d 000000c2 00000043 c68a4000 nt!KeBugCheckEx+0x1b
ba297a24 8054b49a c68a4000 e1cc3640 e1c97000 nt!MiFreePoolPages+0x8b
ba297a64 8063beef c68a4000 00000000 ba297ad0 nt!ExFreePoolWithTag+0x1ba
ba297a74 8063eaf6 c68a4000 00001000 00000000 nt!CmpFree+0x17
ba297ad0 8063eedb 9d308b60 00000000 00000000 nt!HvpRecoverData+0x3ec
ba297b1c 80630854 9d308b60 00000000 00000001 nt!HvMapHive+0x133
ba297b34 8063837f 9d308c01 00000005 00000000 nt!HvInitializeHive+0x416
ba297ba0 80625bcf ba297bdc 00000005 00000000 nt!CmpInitializeHive+0x26d
ba297bf8 8062ad61 ba297d04 00000000 ba297c64 nt!CmpInitHiveFromFile+0xa3
ba297c20 80631efa ba297ccc ba297c6c ba297c5c nt!CmpCmdHiveOpen+0x21
ba297cac 8062578a ba297ce4 ba297ccc 00000000 nt!CmLoadKey+0x90
ba297d40 80625994 0641a62c 0641a614 00000000 nt!NtLoadKey2+0x1fc
ba297d54 8054161c 0641a62c 0641a614 0641a658 nt!NtLoadKey+0x12
ba297d54 7c91e4f4 0641a62c 0641a614 0641a658 nt!KiFastCallEntry+0xfc
ACHTUNG: Frame-IP in keinem bekannten Modul. Nachfolgende Frames können falsch sein.
0641a658 00000000 00000000 00000000 00000000 0x7c91e4f4
STACK_COMMAND: kb
FOLLOWUP_IP:
nt!CmpFrei+17
8063 Rindfleisch 5d Pop EBP
SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: nt!CmpFree+17
FOLLOWUP_NAME: Maschinenbesitzer
MODULNAME: nt
BILDNAME: ntkrpamp.exe
DEBUG_FLR_IMAGE_TIMESTAMP: 4802516a
FAILURE_BUCKET_ID: 0xc2_43_nt!CmpFree+17
BUCKET_ID: 0xc2_43_nt!CmpFree+17
Folgebeitrag: MachineOwner
---------
0: kd>
Also, was genau verursacht den BSOD?
Antwort1
Aufruf HvpRecoverDatadeutet auf beschädigte Registry hin. Fehler beim Wiederherstellungsprozess deutet auf beschädigten Hive hinProtokollDatei (laut Windows Research Kernel-Quellen). Als ich dieses Problem hatte, C:\Documents and Settings\<USERNAME>\NTUSER.DAT.LOGhalf das Löschen aller Dateien. In meinem Fall gingen dabei keine Benutzerdaten oder Einstellungen verloren.