Analyse eines Bluescreens
Gültig für: Windows 2000 | Windows XP | Server 2003 | Windows Vista | Server 2008 | Windows 7 | Windows 8 | Windows 10
Durch fehlerhafte Treiber oder defekte Hardware kann unter Windows der "Bluescreen of Death" (BSOD) auftreten. Hier soll kurz erklärt werden, wie man diesem Fehler etwas auf die Spur kommen kann.
Einstellungen für Systemfehler
In der "Systemsteuerung" -> "System" finden Sie unter dem Tabreiter "Erweitert" im Bereich "Starten und Wiederherstellen" den Button "Einstellungen". Öffnen Sie über diesen Button das neu Fenster "Starten und Wiederherstellen".
Unterhalb von "Systemfehler":
Automatisch Neustart durchführen:
Hier sollten Sie den Haken entfernen (außer es handelt sich um einen Server, der wieder neu hochfahren soll, und wenn Sie Glück haben, dann auch weiter läuft). Ansonsten sollte man den Fehler lieber in Ruhe lassen. Einen Neustart kann man dann auch händisch durchführen.
Alle anderen Felder in diesen Bereich sollten Sie angekreuzt lassen.
Unterhalb von "Debuginformationen speichern" finden Sie folgende Einstellungen:
Art des Speicherabbildes:
Hier reicht für die meisten Anwender völlig die Einstellung "Kleines Speicherabbild" aus, da man mit den restlichen Informationen in den meisten Fällen sowieso nichts anfangen kann.
Verzeichnis für kleines Speicherabbild:
Hier wird das Verzeichnis festgelegt, wo das Speicherabbild abgelegt werden soll. Der Standardeintrag ist hier "%SystemRoot%\Minidump". Das Verzeichnis "Minidump" wird automatisch angelegt, sobald ein Speicherabbild erzeugt wird.
Bildschirmeldung
Hier finden Sie oft schon Informationen zum Fehler, die weiterhelfen können. Diese Meldung enthält immer eine Zeile die mit "*** STOP" und einer achtstelligen Hexadezimalzahl beginnt. Diese Nummer liefert einen ersten Hinweis auf die Art des Fehlers, welche aber nicht leicht zu interpretieren ist (siehe dazu Tipp: Fehlermeldungen: IRQL_not_less_or_equal).
In der Nähe befindet sich oft eine kurze Beschreibung des Fehlers, welche oftmals mit IRQL_NOT_LESS_OR_EQUALoder INACCESSIBLE_BOOT_DEVICE beginnt, und damit zumindest ein gutes Stichwort für eine Internetsuche bietet.
Wird noch ein Dateiname angegeben (meist mit der Dateiendung .sys), haben Sie damit auch gleich noch eine verdächtige Datei, leider muss diese Datei aber nicht immer der Übeltäter sein.
Weitere Analyse mit der DUMP-Datei
Zum Öffnen der DUMP-Datei benötigen Sie ein entsprechendes Debugging-Tool, welches Sie sich von Microsoft herunterladen können:
Download (11,3 MB): http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.4.7.2.exe
Nachdem Sie das Programm installiert haben, können Sie den Debugger über "Start" -> "Programme" -> "Debugging Tools für Windows" -> "WinDbg" starten.
Damit Sie mit dem Debugger wirklich sinnvoll Arbeiten können, werden auch noch die sog. Symboldateien benötigt. Da die aber vollständig mit ca. 170 MByte zu Buch schlagen, sie aber sicherlich nicht täglich solche Dumpdateien auswerten wollen, sollten Sie lieber einstellen, dass WinDbg sich selber die benötigten Dateien aus dem Internet holt.
Stellen Sie dafür Folgendes ein:
Im Menü "File" -> "Sybol File Path" tragen Sie in die Eingabebox ein:
"SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols".
Anschließend öffnen Sie mit dem Programm die Dumpdatei aus dem Verzeichnis "%SystemRoot%\Minidump" über "File" -> "Open Crash Dump"
Jetzt wird die Datei geladen und die Informationen dazu angezeigt. Dabei werden zwei Fenster geöffnet "Command" und "Disassembly". Das Fenster "Disassembly" können Sie ruhig wieder schließen, da deren Auswertung doch schon erhebliche Programmierkenntnisse voraussetzt.
Das "Command"-Fenster enthält dagegen meist schon durchaus wertvolle Informationen. Die interessanten Informationen finden Sie im Abschnitt:
***************************
* Bugcheck Analysis *
***************************
Hier finden z.B.: hinter "BugCheck" einen Fehlercode. Diesen Fehlercode können Sie anschließend auch für die Suche in der Microsoft Knowledge Base (http://support.microsoft.com/search/) verwenden. Ist der Fehlercode bekannt, finden Sie hier meist genauere Angaben dazu, welcher Treiber diesen Fehler verursacht hat und oft auch entsprechende Lösungsansätze.
Sie können aber auch im Debugger schon mehr über diesen Fehlercode ermitteln. Geben Sie dafür im Command-Fenster den Befehl "!analyze -v" ein.
Anschließend werden eine Menge von Informationen ausgegeben; hier ist in den ersten Zeilen das in Grossbuchstaben geschriebene Wort, welches die Art des Fehlers wiedergibt.
Wenn Sie darüber hinaus noch weitere Informationen aus der Hilfe benötigen, geben Sie im Command-Fenster ".hh [Das Word in Großbuchstaben]" ein.
Weiterhin finden Sie hier auch die Zeile "Probably caused by" (= Fehler verursacht von:). Hier wird angegeben, welche Datei vermutlich den Fehler verursacht hat. Mit dieser Datei kann man auch wieder eine entsprechende Suche im Internet starten.
Hat man einen Dateinamen, kann man sich auch im Command-Fenster weitere Informationen dazu anzeigen lassen. Mit dem Befehl "lm v m[Dateiname]" bekommen Sie weitere Infos. Dabei muss der Dateiname ohne Dateiendung eingegeben werden. Der Dateiname wird direkt, gleich hinter dem Parameter m (ohne Leerzeichen) eingegeben.
Über den Befehl "!devnode 0 1" können Sie sich noch eine Liste aller geladenen Treiber ausgeben lassen.
Kommen Sie damit nicht weiter, können Sie sich über den Befehl "!thread" im Command-Fenster, weitere Informationen anzeigen lassen. Finden Sie in der Ausgabe die Zeile "IRP List", dann sollten Sie sich weitere Informationen über die Adressen ausgeben lassen. Dazu rufen Sie den Befehl "!irp [Addresse]" auf. In der Auflistung finden Sie wieder Treibernamen, die am Fehler beteiligt waren.
Informationen zu Fehlern und dem Debugging finden Sie unter:
Wenn Sie selber nicht weiterkommen und entsprechende Anfragen in Foren usw. stellen wollen, sollten Sie immer alles aus dem Abschnitt "Bugcheck Analysis" als Informationen weitergeben.
Treiber über das Tool "verifier" überwachen
Dafür starten Sie das Tool über "Start" -> "Ausführen" und geben hier "verifier" ein. Anschließend öffnet sich (ab Windows XP) ein Wizard. Dieses Tool überwacht die Treiber, und wenn ein Treiber sich nicht an die Microsoft-Vorgaben hält, wird ein entsprechender Bluescreen mit Debugausgabe erzeugt. Diese Ausgabe kann dann wieder entsprechend ausgewertet werden.
Mit diesem Tool sollten sie aber auch vorsichtig umgehen. Da die Überwachung Zeit kostet, sollte es nur für die Fehlersuche verwendet werden. Weiterhin kann das Tool auch dazu führen, dass der Rechner überhaupt nicht mehr hochfährt, so dass eine entsprechende Sicherung von Windows vorhanden sein sollte.
Für die Fehlersuche sind im Wizard folgende Einstellungen sinnvoll:
- Benutzerdefinierte Einstellungen erstellen (für Entwickler)
-> Button „Weiter“ - Vordefinierte Einstellungen aktivieren:
Standardeinstellungen -> aktivieren
Simulierung geringer Ressourcen -> aktivieren
-> Button „Weiter“ - Nicht signierte Treiber automatisch wählen“
-> Button „Weiter“
Info: Hier kann es auch sinnvoll sein, wenn man einen Verdacht hat, über „Treiber aus einer Liste wählen“ nur einen entsprechenden Treiber zu überwachen - Klicken Sie auf „Fertig stellen“
Nach einem Neustart werden die Treiber von Windows überwacht.
Links
Gastbeitrag (PC Professionell): "Windows XP - Bluescreen-Analyse":
http://www.microsoft.com/downloads/details.aspx?FamilyID=46f72ffa-8a82-499a-a459-50cffcca5d1b&displaylang=de
Problem Behandlung bei "STOP" Fehlermeldungen: http://www.jasik.de/shutdown/stop_fehler.htm
Fehlermeldungen: IRQL_not_less_or_equal
Übersicht der Fehlercodes für 95/98 und ME:
http://support.microsoft.com/default.aspx?scid=kb;en-us;q150314
WinFAQ: Startseite | WinFAQ: HTMLMenü | WinFAQ: Java Version
Der Tipp enthält einen Fehler oder Sie haben noch eine Ergänzung dafür? Schreiben Sie uns über die Feedback-Seite an: Feedback-Formular
URL: http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1999.htm
WinFAQ ® Version 9.01 Copyright © 1996/2016 by Frank Ullrich