KB » Computer » Blauwe schermen (blue screen of death = BSOD)

Blauwe schermen (blue screen of death = BSOD)

    Tweeten

Introductie

SYSTEM_SERVICE_EXCEPTION (0x3b)

Ik probeerde een Kali Linux virtuele machine te starten in Virtual Box (van Oracle), en had meteen een blue screen.

Het blijkt dat er een conflict is met Microsoft virtualisatie-software (Hyper-V), en je moet die Windows-component dus uitschakelen.

VMWare Player handelt dit probleem gelukkig wel goed af, en geeft gewoon een foutmelding.

PAGE_FAULT_IN_NONPAGED_AREA (0x50)

Ik werd door iemand te hulp geroepen wiens PC (HP, oorspronkelijk Windows 7 maar bijgewerkt naar Windows 10) tegen dit blue screen aanliep. Hij startte spontaan opnieuw, maar dan kreeg je weer hetzelfde blue screen.

Het meest voor de hand liggende is te proberen in safe mode te starten, maar hoewel ik vanaf het 1e begin F8 intikte lukte dat niet. Later las ik ergens dat veilige modus sinds Windows 8 standaard uit staat, en dat je het via de Boot Configuration Database weer moet aanzetten.

Ik heb ook nog in het BIOS naar 2 opties gekeken. Ten 1e kan "fast boot" soms problemen veroorzaken, maar ik was even vergeten dat deze PC oorspronkelijk W7 was. Toen bestond dat nog niet.

Ten 2e wilde ik memory caching uitzetten, maar daar was nergens iets over te vinden in het BIOS.

Ik kon wel bij de diagnostische routines van HP komen (door bij het starten onmiddellijk op Esc te drukken). Een battery test, korte disk test en korte memory test leverden niets op. Toen heb ik maar een lange disk test gestart, en die leverde een fail op. Goede kans dus dat er diskproblemen waren.

De volgende stap was booten van een Windows 7 DVD. Je kan dan in elk geval in de command line komen, en ik wilde het commando BCDEDIT /SET {DEFAULT} BOOTMENUPOLICY LEGACY uitvoeren, omdat je dan blijkbaar het F8-menu weer krijgt. Ik vond het overigens wel een beetje riskant om dit vanuit een W7-omgeving op een W10-PC te proberen. Maar je moet toch wat. Ik kreeg de melding:
Het opgegeven type elementgegevens wordt niet herkend of is niet van toepassing op de opgegeven vermelding.

Vervolgens gebruikte ik de command line om een chkdsk te doen, hoewel ik ook dit riskant vond (met de chkdsk van W7 een schijf in een W10-systeem controleren). Ik probeerde eerst zonder opties (read-only modus) en kreeg zoveel fouten dat mijn argwaan nog versterkt werd.

Toen probeerde ik nog maar weer eens gewoon W10 te starten en gebeurde er iets interessants. Waarschijnlijk door mijn gepruts met chkdsk ontdekte W10 nu dat er iets met de schijf niet in de haak was, en werd er automatisch een controle gestart.

Daarna was het systeem in elk geval weer bruikbaar, en heb ik eerst een backup van de hele disk gemaakt, en daarna voor de zekerheid nog een chkdsk /f /r gedraaid. Ik heb daar de resultaten nog niet van kunnen zien, maar de PC functioneert weer zonder problemen. Ik heb nog wel een interessant screen shot van het programma Hard Disk Sentinel gezien: op de dag van de crash is de health van de hard disk van 100% naar 83% gedaald. Bij de disk self test waren er 8 bad sectors geconstateerd.

In de help-informatie van Microsoft geven ze ook aan dat deze bug check door een corrupt NTFS-systeem kan komen (en door talloze andere dingen). Dat lijkt dus te kloppen in dit geval.

KERNEL_DATA_INPAGE_ERROR (0x7a)

Ik zette het scherm van mijn PC (Windows 7) op het werk aan, en had een blauw scherm. De PC staat zodanig ingesteld dat er automatisch een kernel dump gemaakt wordt in geval van een crash, maar in dit geval is er helaas geen dump.

De laatste melding in Logboeken (Event logs) was een iaStorA, 129 event van de dag ervoor. En het was niet de enige. Al ongeveer 20 uur eerder begonnen de meldingen, en om de 30 seconden kwam er 1.

Dit verklaart ook dat er geen dump is. Er waren kennelijk problemen met disk (of met de verbinding van disk met moederbord), en daardoor lukte ook het wegschrijven van de dump niet meer.

Als eerste heb ik natuurlijk een chkdsk gedaan, en de SMART-parameters bekeken. Zo op het oog geen vreemde zaken.

Vervolgens heb ik met Seatools for Windows achtereenvolgens een Drive Self Test, een short generic test en een long generic test gedaan. Ook daar kwamen geen problemen uit.

Veel mensen die met dit probleem bezig zijn geweest hebben het over een instelling die je te zien krijgt als Intel Rapid Storage Technology is geïnstalleerd.

Ik dacht eerst dat dat pakket niet op mijn PC zat, maar dankzij de tool DriverView kwam ik er achter dat het wel zo is. Het programma is niet te zien in de lijst van geïnstalleerde programma's, (via de applet appwiz.cpl), maar als ik in DriverView zoek naar de driver iaStorA, dan zie ik in de kolom Product Name dat deze driver wel degelijk hoort bij Rapid Storage Technology.

Kortom, de oorzaak blijft voorlopig duister, omdat de meldingen na het herstarten niet meer optraden. Overigens zijn er eerder dit jaar (2017) ook al een keer veel van deze meldingen geweest.

Volgende geval

Op 5-12-2017 kreeg ik als Sinterklaascadeautje weer een blue screen, zelfde type, maar nu met een andere driver, Ntfs.sys

In dit geval zijn er opnieuw om de 30 seconden meldingen van iaStorA in de event log te vinden, maar ze beginnen op een moment waarop ik vrij nauwkeurig weet wat er gebeurde.

Vrijdagavond 1-12 werkte ik tot ca. 22:30 door, en ik heb altijd een externe SSD-drive bij me (soort USB-stick, maar dan met veeeeel meer opslagruimte). Ik probeer altijd zo'n drive netjes af te sluiten voor ik hem er uit trek, maar vaak heeft iets hem dan toch weer vast, ook al kan dat in feite niet.

In dit geval was de Sysinternals tool Procmon de boosdoener. Ik had inderdaad met die tool gewerkt, maar hem allang weer afgesloten. Desondanks zei een andere tool van hen, Process Explorer, dat Procmon de disk nog vast had. Ik dacht, niet mekkeren, eruit rukken dat ding :-).

En precies op dat moment beginnen de meldingen. Dat kan ik zien doordat vlak daarvoor 3 Kernel-PnP, 225 meldingen optreden. Dat is mooi, want ik heb dit probleem vaak, dus nu moet ik het met een beetje geluk kunnen reproduceren. Wordt vervolgd.

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (0x7e)

Probleembeschrijving

Dit was de computer van een vriendin, ca. 3 jaar oud, opgewaardeerd van Windows 7 naar 10.

Ze had steeds crashes, na ongeveer 1 uur draaien. Ik heb betrekkelijk weinig info kunnen verzamelen, omdat ik via Teamviewer haar PC op afstand bestuurde.

Verzamelen van informatie

Er was wel een file MEMORY.DMP, maar toen ik die naar mijn eigen PC probeerde over te halen kreeg ik zelf een crash voor mijn kiezen.

Verder kon in Logboeken (Event Viewer) zien dat de bugcheck code 0x0000007e was.

Zij zelf zag bij een crash op het scherm de volgende bestandsnaam: NVLDDMKM.SYS

Bij bestandsnamen die beginnen met 'nv' kan je onmiddellijk aan de grafische kaart denken, die vaak van fabrikant nVidia is. En die trouwens ook best vaak voor crashes zorgen.

Oplossing

Aangezien de meeste mensen nooit de drivers voor dingen als grafische kaarten bijwerken, *en* deze PC ook nog van W7 naar W10 was gegaan, leek een upgrade van de driver mij een goede zaak.

Ik probeerde de driver gewoon te installeren, en koos voor een optie waarbij eerst de oude driver wordt verwijderd. Daarna moet je de PC herstarten.

Het lijkt erop dat daarmee het probleem is opgelost.

DRIVER_POWER_STATE_FAILURE (0x9f)

Probleembeschrijving

Het gaat om een 3 jaar oude Asus laptop, die een upgrade heeft gehad van Windows 8 naar Windows 10.

Het starten van de PC duurde gruwelijk lang, en na ca. 10 minuten kwam de volgende melding:

Your PC ran into a problem and need to restart. We're just collecting some error info, and then we'll restart for you. (0% complete).

Verzamelen van informatie

Kijk ook op mijn algemene pagina over het oplossen van problemen.

De meest logische plek om te beginnen is de verzameling van informatie, waarschuwings- en foutmelding op het systeem: Logboeken.

Logboeken (event log)

Ik zag 4 interessante meldingen:

  1. Over het niet snel kunnen starten van de PC;
  2. Over een driver die niet geladen kon worden;
  3. Over een processor waarvan de snelheid beperkt werd;
  4. Over fouten op de harde schijf.

Voorlopig heeft alleen de 1e melding tot nu toe concreet resultaat opgeleverd.

Snelle start niet mogelijk

Hoewel het lang duurde voor het blauwe scherm verscheen is er maar 1 event in die periode te vinden: Kernel-Boot, 129

Dit betekent: Windows kan niet snel worden opgestart met de foutstatus 0xC0000001

Sinds Windows 8 kan in het Energiebeheer-applet bepaald worden dat Windows sneller kan starten (dit is ook de standaard). Diverse mensen raden aan om dit mechanisme uit te zetten i.v.m. problemen. Dat is dus ook mijn 1e aan te raden oplossing.

Driver wil niet laden

De 1e melding na het blauwe scherm is ook een interessante:
The driver \Driver\WudfRd failed to load for the device ACPI\ACPI0008\2&daba3ff&2
Dit is de Windows Driver Foundation - User-mode Driver Framework Reflector.

Ik zie op Internet verschillende meldingen van anderen die freezes en blue screens hebben in combinatie met deze melding.

Een paar mensen raden aan de service Windows Driver Foundation op Automatic te zetten i.p.v. Manual o.i.d.

De grote vraag is: welk device is ACPI\ACPI0008\2&daba3ff&2. Misschien dat dat het zoeken naar de oorzaak verder zou kunnen helpen.

Gelukkig had een vriend van mij een logische tip waar ik desondanks zelf niet opgekomen was: zoeken in het register. Ik heb op dit moment geen toegang tot de PC van degene met de problemen, maar op mijn eigen Windows PC werkt dat perfect. Daar vind ik inderdaad een apparaat met id ACPI0008, maar ik ga ervan uit dat dat per PC verschilt.

1 dag later zie ik toevallig op het werk in de event log na het starten van de PC zelfs 3 van dit soort meldingen. De bijbehorende apparaten zijn:

Sierra Wireless USB Composite Device Broadcom Usbccid Smartcard Reader (WUDF) Control Vault w/ Fingerprint Swipe Sensor

Het lijkt dus vooral om obscure apparaten te gaan, en ik ga er van uit dat deze melding dus niet samenhangt met het blauwe scherm.

Processorsnelheid beperkt

Ook na het blauwe scherm duurde het starten heel lang, en dat zou te maken kunnen hebben met weer een boeiende melding (waarschuwing) Kernel-Processor-Power, 37 :
De snelheid van processor 3 in groep 0 wordt beperkt door de firmware van de computer. De processor heeft deze lage prestatiestatus gedurende 71 seconden sinds het laatste rapport. (The speed of processor 1 in group 0 is being limited by system firmware. The processor has been in this reduced performance state for 71 seconds since the last report).

Ik ben even door het nogal beperkte BIOS gelopen, maar zie daar geen rare dingen.

De meldingen betekenen vrijwel zeker niets ernstigs. Ze worden veroorzaakt door Intel SpeedStep Technology, en zijn bedoeld om stroom te besparen.

Hier een aantal mogelijke oplossingen als je wilt vermijden dat de processor terugschakelt naar een lagere snelheid (accu dan eerder leeg).

Schijfwaarschuwingen

Nog weer wat verderop zijn er 2 events die niet veel goeds voorspellen voor de disk: disk, 153 (The IO operation at logical block address ... for Disk ... was retried.)

Status van de disk

Traagheid kan altijd veroorzaakt worden door diskproblemen, en ik zag ook 2 waarschuwingen in Logboeken (Event Log).

De SMART-parameters van de disk laten niets vreemds zien.

Memory dump

Het blauwe scherm heeft gelukkig een mooie dump (MEMORY.DMP) opgeleverd.

Het lijkt erop dat ik de dump niet kan lezen op mijn Windows 7 systeem, dus ik moest eerst de WDK (Windows Driver Kit) op mijn nog behoorlijk nieuwe Windows 10 PC installeren. Dit pakket bevat ook WinDbg, nodig om de dump te bekijken.

De bugcheck code, 0x9f, staat voor:
A driver has failed to complete a power IRP within a specific time .

De 1e parameter, 3, staat voor:
A device object has been blocking an Irp for too long a time (Irp staat voor Io Request Packet).

De 'Faulting module' is pci.sys, en de 'Primary problem class' is 0x9F_3_POWER_DOWN_iaStorA_IMAGE_pci.sys

De laatste parameter van de bugcheck is het adres van het IO Request Packet, en als je dat gaat analyseren krijg je dit:

2: kd> !irp ffffe0000ce98c60 Irp is active with 4 stacks 3 is current (= 0xffffe0000ce98dc0) No Mdl: No System Buffer: Thread 00000000: Irp stack trace. Pending has been returned cmd flg cl Device File Completion-Context [IRP_MJ_POWER(16), IRP_MN_WAIT_WAKE(0)] 0 0 ffffe0000c7f1060 00000000 fffff8018e936320-fffff8018e907150 \Driver\pci ACPI!ACPIBuildRegOnRequest Args: 00000000 00000000 00000000 00000002 [IRP_MJ_POWER(16), IRP_MN_WAIT_WAKE(0)] 0 0 ffffe0000c7e5e40 00000000 fffff8018dfc8bd0-00000000 \Driver\ACPI storport!RaidAdapterPowerUpDeviceCompletion Args: 00000000 00000000 00000000 00000002 >[IRP_MJ_POWER(16), IRP_MN_SET_POWER(2)] 0 e1 ffffe0000c88c050 00000000 fffff803323920b8-ffffe000115d9720 Success Error Cancel pending *** ERROR: Module load completed but symbols could not be loaded for iaStorA.sys \Driver\iaStorA nt!PopRequestCompletion Args: 00051100 00000001 00000001 00000002 [N/A(0), N/A(0)] 0 0 00000000 00000000 00000000-ffffe000115d9720 Args: 00000000 00000000 00000000 00000000

Iemand op Internet suggereert dat vanwege de ERROR m.b.t. de driver iaStorA.sys, deze mogelijk niet up-to-date is en vervangen zou moeten worden. Zie deze thread op de site van Microsoft.

Ik laat het debugger commando !devstack los op de 2e parameter van de bugcheck, en krijg dit:

2: kd> !devstack ffffe0000c7f1060 !DevObj !DrvObj !DevExt ObjectName ffffe0000c88c050 \Driver\iaStorA ffffe0000c88c1a0 RaidPort0 ffffe0000c7e5e40 \Driver\ACPI ffffe0000badac70 > ffffe0000c7f1060 \Driver\pci ffffe0000c7f11b0 NTPNP_PCI0011 !DevNode ffffe0000c7f3a50 : DeviceInst is "PCI\VEN_8086&DEV_1E03&SUBSYS_15071043&REV_04\3&11583659&0&FA" ServiceName is "iaStorA"

Op zich zegt mij dit niet erg veel, maar in de op 1 na laatste regel zie ik wel een identificatie van een device. En als ik in de uitvoer van msinfo32 zoek naar dat id, dan kom ik terecht bij de Intel(R) 7 Series Chipset Family SATA AHCI Controller, met als driver iastora.sys.

Op mijn eigen Windows 10 PC (komt ook vanaf Windows 8) heb ik driverversie 13.5.0.1056. Op de PC met het probleem is versie 11.6.0.1030 geïnstalleerd. Misschien is dat terecht, omdat zij een controller uit de 7 series heeft, en ik uit de 9 series. Maar het is toch iets om in gedachten te houden.

Als poging 1 om het probleem op te lossen niet helpt, is wat mij betreft poging 2 het updaten van de drivers van op zijn minst de Intel Chipset.

Oorzaak 1

Het fast startup mechanisme werkt niet goed.

Oplossing 1

Schakel het dus uit.

Bij de PC van mijn vriendin heeft dit gewerkt. De blauwe schermen zijn enkele weken lang al niet meer verschenen. De PC start nog wel steeds heel traag.

Oorzaak 2

De driver iastora.sys is niet up-to-date.

Oplossing 2

Je zou dat evt. kunnen controleren met de Intel Driver Update Utility 2.4

Maar... een nog veiliger route is het halen van de drivers van de fabrikant van je PC/moederbord. Het zou kunnen zijn dat die iets achter lopen bij de meest recente drivers van Intel, maar je weet dan wel zeker dat ze passen bij je PC.

CRITICAL_STRUCTURE_CORRUPTION (0x109)

Op mijn werk was ik nog maar een paar dagen over naar Windows 10 (vanaf W7).

Omdat mijn armen even rust nodig hadden was ik wat berichtjes op Nu.nl aan het lezen, en ineens had ik een crash.

De bugcheck heeft de volgende parameters:
{a3a002e25c48b802, b3b70f68aecb363c, ffffeaa747792adc, c} en is waarschijnlijk veroorzaakt door
win32kbase.sys ( win32kbase!rimLoadImage+0 )

Er is op Internet weinig of geen info te vinden, vooral over de routine rimLoadImage.

Alleen de 4e parameter betekent iets, nl. het type van het gecorrumpeerde gebied. In dit geval is dat Modification of a session function or .pdata
Dat zegt mij niet bar veel.

De belangrijkste oorzaak waar je in dit geval aan zou kunnen denken is een probleem met memory, en ik zal in het weekend dus wat tests laten draaien. Later meer.

    Tweeten
© Henk Dalmolen
Reageer via E-mail (dalmolen@xs4all.nl)

Deze pagina is voor het laatst gewijzigd op: 15-02-23 14:09:07