Zitat:

Zitat von Warlord711

Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.

Heute Abend wieder ein Bluescreen, nachdem der Bildschirm beim Anschaun eines Videos auf Youtube mit Google Chrome browserr komplett eingefroren war, und auch kein Mauszeiger mehr ging.

Die Bluescreenmeldung (Original als Screenshot im Anhang)...

Code: Alles auswählenAufklappen

ATTFilter

Kernel_Stack_Inpage_Error
Stop: 0x00000077 (0xC0000056, 0xC0000056, 0x00000000, 0x29CAA000)
         

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Zitat:

Zitat von Warlord711

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Der Report von WhoCrashedSetup lautet wie folgt:

Code: Alles auswählenAufklappen

ATTFilter

System Information (local)
--------------------------------------------------------------------------------

computer name: ****
windows version: Windows Vista Service Pack 2, 6.0, build: 6002
windows dir: C:\Windows
Hardware: Studio 1555, Dell Inc., 0C234M
CPU: GenuineIntel Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz Intel586, level: 6
2 logical processors, active mask: 3
RAM: 3183407104 total

--------------------------------------------------------------------------------
Crash Dump Analysis
--------------------------------------------------------------------------------
Crash dump directory: C:\Windows\Minidump

Crash dumps are enabled on your computer.

No valid crash dumps have been found on your computer

--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------
Crash dumps are enabled but no valid crash dumps have been found. In case you are experiencing system crashes, it may be that crash dumps are prevented from being written out. Check out the following article for possible causes: If crash dumps are not written out - hxxp://www.resplendence.com/whocrashed_dumpnotwritten .
         

In meiner Einstellung solltte aber eine Dump-Datei geschrieben (siehe screenshot "Starten und Wiederherstellen") in das Verzeichnis:
%SystemRoot%\MEMORY.DMP

Wie kann memory.dmp ausgelesen werden ?

Ich hab mal nachgeschaut, was die Ereignissprotokolle zum Zeitpunkt des BlueScreens anzeigen, siehe Screenshot vom 27.09.2014 im Anhang.. Es gab wohl eine Vielzahl von DistributedCOM-Fehlermeldungen

Code: Alles auswählenAufklappen

ATTFilter

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Startberechtigung (Lokal) für die COM-Serveranwendung mit CLSID 
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.
         

Auch beim Systemstart heute morgen gg. 11:00 Uhr gibt es eine Menge und gleichlautende DistributedCOM-Fehlermeldungen... siehe Übersicht der Systemprotokolle im 2ten Screenshot

Code: Alles auswählenAufklappen

ATTFilter

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Startberechtigung (Lokal) für die COM-Serveranwendung mit CLSID 
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
 gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.
         

Would it make sense to do another RootKit Scan, e.g. wit RootPeal ? ( hxxp://www.dslreports.com/faq/16564 )

Zitat:

Zitat von Warlord711

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Ich habe mit FileCommander die gesamte Festplatte durchsuchen lassen. Es gibt kein MEMORY.DMP-File.

Wird kein Dump file geschrieben, weil ich eine zu geringe pagefile.sys-Grösse habe (4,7 GB), und nicht genügend freiem HardDisc space (zwischen 5-7 GB) ?

Zitat:

Zitat von Warlord711

Versuch erstmal mit WhoCrashed zu ermitteln, welcher Treiber für den Bluescreen verantwortlich ist.

Hab nun mal mit diesem Programm den Dumb test durchgeführt und einen "Crash", d.h. einen BlueScreen provoziert (Screenshot siehe Anlage). Zuvor hatte ich noch 20 GB auf eine externe Festplatte ausgelagert habe, um das Platzproblem auszuschliessen.

WhoCrashed liest die Dump-Test-Datei wohl auch richtig aus... mit folgendem Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

System Information (local)
--------------------------------------------------------------------------------

computer name: EUFLETZ-MOBILE
windows version: Windows Vista Service Pack 2, 6.0, build: 6002
windows dir: C:\Windows
Hardware: Studio 1555, Dell Inc., 0C234M
CPU: GenuineIntel Intel(R) Core(TM)2 Duo CPU P8600 @ 2.40GHz Intel586, level: 6
2 logical processors, active mask: 3
RAM: 3183407104 total

--------------------------------------------------------------------------------
Crash Dump Analysis
--------------------------------------------------------------------------------

Crash dump directory: C:\Windows\Minidump

Crash dumps are enabled on your computer.

On Mon 29.09.2014 15:44:09 GMT your computer crashed
crash dump file: C:\Windows\Minidump\Mini092914-01.dmp
This was probably caused by the following module: rspcrash32.sys (rspCrash32+0x10B2) 
Bugcheck code: 0xDEADDEAD (0x0, 0x0, 0x18FB394D, 0x3C2A58ED)
Error: MANUALLY_INITIATED_CRASH1
file path: C:\Windows\system32\drivers\rspcrash32.sys
product: WhoCrashed
company: Resplendence Software Projects Sp.
description: Resplendence WhoCrashed Crash Dump Test
Bug check description: This indicates that the user deliberately initiated a crash dump from either the kernel debugger or the keyboard.
This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out. 

On Mon 29.09.2014 15:44:09 GMT your computer crashed
crash dump file: C:\Windows\memory.dmp

This was probably caused by the following module: rspcrash32.sys (rspCrash32+0x10B2) 
Bugcheck code: 0xDEADDEAD (0x0, 0x0, 0x18FB394D, 0x3C2A58ED)
Error: MANUALLY_INITIATED_CRASH1
file path: C:\Windows\system32\drivers\rspcrash32.sys
product: WhoCrashed
company: Resplendence Software Projects Sp.
description: Resplendence WhoCrashed Crash Dump Test
Bug check description: This indicates that the user deliberately initiated a crash dump from either the kernel debugger or the keyboard.
This bug check belongs to the crash dump test that you have performed with WhoCrashed or other software. It means that a crash dump file was properly written out. 

--------------------------------------------------------------------------------
Conclusion
--------------------------------------------------------------------------------

2 crash dumps have been found and analyzed. No offending third party drivers have been found. Connsider using WhoCrashed Professional which offers more detailed analysis using symbol resolution. Also configuring your system to produce a full memory dump may help you. 


Read the topic general suggestions for troubleshooting system crashes for more information. 

Note that it's not always possible to state with certainty whether a reported driver is responsible for crashing your system or that the root cause is in another module. Nonetheless it's suggested you look for updates for the products that these drivers belong to and regularly visit Windows update or enable automatic updates for Windows. In case a piece of malfunctioning hardware is causing trouble, a search with Google on the bug check errors together with the model name and brand of your computer may help you investigate this further.
         

Mit dem BlueScreen-Test taucht nach dem Systemneustart und Login erstmalig eine Windowsmeldung auf, siehe Screenshot. Die gab es zuvor nie.

Das MS-Protokoll bestätigt wohl, dass eine DMP-Datei angelegt wurde im SystemRootVerzeichnis ( C:\Windows\Minidump\ ):

Code: Alles auswählenAufklappen

ATTFilter

Problemsignatur:
  Problemereignisname:	BlueScreen
  Betriebsystemversion:	6.0.6002.2.2.0.768.3
  Gebietsschema-ID:	1031

Zusatzinformationen zum Problem:
  BCCode:	deaddead
  BCP1:	00000000
  BCP2:	00000000
  BCP3:	18FB394D
  BCP4:	3C2A58ED
  OS Version:	6_0_6002
  Service Pack:	2_0
  Product:	768_1

Dateien, die bei der Beschreibung des Problems hilfreich sind:
  C:\Windows\Minidump\Mini092914-01.dmp
  C:\Users\Tech-Admin\AppData\Local\temp\WER-279600-0.sysdata.xml
  C:\Users\Tech-Admin\AppData\Local\temp\WERC9D3.tmp.version.txt

Lesen Sie unsere Datenschutzrichtlinie:
  hxxp://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407
         

---

P.S.: Ich werde den Rechner nochmals ordentlich belasten mit Youtube video streaming in Chrome und schaun, ob das BlueScreen-Problem wieder auftaucht, und diesmal eine Dump-Datei generiert wird.

"Product Messaging Application funktioniert nicht mehr"

Ich hatte den Rechner die ganze Nacht am Laufen, wurde ein Datenbackup von 80 GB auf eine externe Festplatte mit dem File-Manager-Programm FreeComannder + TeraCopy durchgeführt. Dieser Datentransfer ist auch vollständig abgeschlossen worden.

Diese Meldung hatte ich heute morgen auf dem Bildschirm (Original siehe Screenshot im Anhang):
"Product Messaging Application funktioniert nicht mehr"

Hat das etwas mit unserem Problem zu tun ? - Oder ist hier einfach Avira abgeschmiert ? ( siehe hxxp://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1197 )

Kann damit zu tun haben, das die AdWare Komponenten von Avira nicht mehr richtig funktionieren. Ist halt doof wenn man als angeblichen Antivirenhersteller gerade auf AdWare setzt um sein Produkt "zu pushen".

Welche "Technik" Avira einsetzt, um Produktinformationen von "Vertriebspartner" zu erhalten, weiss ich nicht.

Ich vermute, das die Meldung mit Säuberung von AdWare zu tun hat, die von Avira auch genutzt wird.

Ich würds ignorieren wenn es nicht nochmal auftaucht, ansonsten Avira runterschmeissen oder zumind. komplett deinstallieren und neu installieren.

Die Free Version hat nunmal AdWare an Bord und der "tolle" Surfschutz basiert darauf, unsere Tools löschen AdWare. Da ist der Konflikt.

Hallo, Timo ! am letzten Samstag wieder ein Bluescreen, auch ohne Abspielen eines Youtube videos (siehe letzte BlueScreen Doku v. 29.09.2014 - hxxp://goo.gl/MWxIr9 )

Die Bluescreenmeldung (Original als Screenshot im Anhang)...

Code: Alles auswählenAufklappen

ATTFilter

Kernel_Data_Inpage_Error
Stop: 0x0000007A (0xC0600910, 0xC0000056, 0x2C7FE884, 0xC0122000)
         

Leider wurde keine Dump-Datei erstellt werden; im letzten Abschnitt des Screenshots ist zu lesen:

Code: Alles auswählenAufklappen

ATTFilter

Collecting Data for crash dump...
Initializing disk for crash dump...
Physical memory dump FAILED wih status 0xC0000010.
         

(Anm.: Ich hatte ja bereits mit meinem 2ten posting am 29.09.2014 ( http://www.trojaner-board.de/158818-...ml#post1365802 ) darauf hingewiesen, dass bis dato keine Dump-Datei geschrieben wurden.)

Kannst du bitte schauen unter

• Systemsteuerung
• System und Sicherheit
• System
• Erweiterte Systemeinstellungen
• Erweitert
• Leistung

in der Einstellung

• Erweitert
• Virtueller Arbeitsspeicher
  die Option Auslagerungsdateigröße für alle Laufwerke automatisch verwalten aktiviert ist ? Falls nicht, bitte einschalten

Bootet das System nach nem Bluescreen wieder "sauber" oder gibts da noch Meldungen a la Laufwerk nicht gefunden oder ähnlichem ?

Zitat:

Zitat von Warlord711

Kannst du bitte schauen unter

• Virtueller Arbeitsspeicher
  die Option Auslagerungsdateigröße für alle Laufwerke automatisch verwalten aktiviert ist ? Falls nicht, bitte einschalten

Hallo, Timo !

... danke für die schnelle Rückantwort. Ich hattte einen "virtuellen Arbeitsspeichers" mit fester Grösse zugewiesen, siehe Screenshot.

Soll ich das ändern in "Grösse wird vom System verwaltet" ? - Mit der automatischen Configuration werden nach rebooten 3,3 GB vergeben (siehe 2ter Screenshot), anstatt der manuell eingestellten 4,59 GB.

Zitat:

Zitat von Warlord711

Bootet das System nach nem Bluescreen wieder "sauber" oder gibts da noch Meldungen a la Laufwerk nicht gefunden oder ähnlichem ?

Das booten selbst nach all den BlueScreens war bisher kein Problem. Manchmal taucht eine Fehlermeldung auf Laufwerk F: nicht gefunden, wenn ich mich recht entsinne... hat wohl was damit zu tun, dass die USB-Verbindung zum Smartphone beim Systemabsturz "nicht sicher entfernt" wurde. Werde mal beim nächsten BlueScreen und rebooten die Kamera mitlaufen lassen und schaun, was die Protokollierung der Laufwerksprüfung anzeigt.

Ok, ja bitte aktivieren wie beschrieben.

Kannst du einen Bluescreen "reproduzieren" ?
Falls ja, bitte machen und schauen ob ein Dump geschrieben wird.

Zitat:

Zitat von Warlord711

Ok, ja bitte aktivieren wie beschrieben.

Kannst du einen Bluescreen "reproduzieren" ?
Falls ja, bitte machen und schauen ob ein Dump geschrieben wird.

Ich habe einen Bluescreen provoziert mit dem Tool "StartBlueScreen" ( hxxp://www.nirsoft.net/utils/start_blue_screen.html )

... unter Verwendung folgenden BugCheck Codes:

Code: Alles auswählenAufklappen

ATTFilter

StartBlueScreen.exe 0x10 0x1111 0x2222 0x3333 0x4444
         

Das Ergebnis des BlueScreens (siehe vollständiger Screenshot im Anhang):

Code: Alles auswählenAufklappen

ATTFilter

SPIN_LOCK_NOT_OWNED
Stop: 0x000000010 (0x00001111, 0x00002222, 0x00003333, 0x00004444)
         

...und

Code: Alles auswählenAufklappen

ATTFilter

Collecting data for crash dump...
Initializing disk for crash dump...
Beginning dump off pyshical memory.
Dumping physical memory to disk: 100
Physical memory dump complete.
         

In dem Systemverzeichnis C:\Windows\Minidump wurden auch zwei Dateien geschrieben:

- MEMORY.dmp mit ca. 348 MB
- Mini100614-01.dmp mit 141 kb (siehe gezippt im Anhang)

Beide Dateien werden in WhoCrashed erkannt (siehe 2ter Screenshot). Die File können aber mit der "home edition" Version nicht ausgelesen werden.

Mit Re-Booten nach diesem erzwungenen BlueScreen wurde angezeigt (siehe 3ter Screenshot):

Code: Alles auswählenAufklappen

ATTFilter

Dateisystem auf D: wird überprüft.
Das Volume ist fehlerfrei.

Dateisystem auf C: wird überprüft.
das Volume ist fehlerfrei.
Die datenträgerüberprüfung ist abgeschlossen.
         

Ok, das sind dann aber provozierte Bluescreens.

Gibt es eine Möglichkeit den eingangs erähnten Bluescreen zu erzeugen ?

Zitat:

Zitat von Warlord711

Gibt es eine Möglichkeit den eingangs erähnten Bluescreen zu erzeugen ?

Ich wüsste nicht wie, Timo ?????? - Die Bluescreens sind ja sehr unregelmässig erschienen... mal 2 an einem Tag, mal lief das System 2-3 Tage.

Ich denke, ich kann momentan den Rechner nur so weiter nutzen, wie bisher. Meistens fürs Surfen mit Google Chrome, Youtube videos etc. ... und dann beim nächsten auftretenden Bluescreen das Ergebnis posten.

Oder gibts eine andere Möglichkeit ?

Zitat:

Zitat von ITSecurity14

... und dann beim nächsten auftretenden Bluescreen das Ergebnis posten.

Schneller passiert als erwartet... hatte nur MS Word Text-Programm und Google Chrome browser geöffnet... und schon wieder war der BS da (siehe Screenshot).

Code: Alles auswählenAufklappen

ATTFilter

Kernel_Stack_Inpage_Error
Stop: 0x00000077 (0xC0000056, 0x00000056, 0x00000000, 0x28060000)
         

Leider kommt dabei die Fehlermeldung:

Code: Alles auswählenAufklappen

ATTFilter

Collecting data for crash dump...
Initializing disk for crash dump...
Physical memory DUMP Failed with status 0xC0000010 .
         

... so wurde also "wieder" keine Dump-Datei generiert ???? - Was nun ????

P.S.: Zu 0xC0000010 hab ich folgendes gefunden (Quelle in sevenforums.com : hxxp://goo.gl/Kf5DVH )

... here are some possibilities for dump not working. The error code 0XC0000010 means (STATUS_INVALID_DEVICE_REQUEST) is caused when windows cannot dump the files to the storage device and usually the storage controller driver is corrupted in such cases..

Now you need to update the chipset drivers as well as the SSD firmware to resolve this...