BSOD Crash Analyse

Problemen en vragen met betrekking tot een Blauw Scherm (Blue screen of death), systeemcrashes en opstartproblemen.
Gebruikersavatar
Maxstar
Administrator
Administrator
Berichten: 41939
Lid geworden op: 27 sep 2008 10:18
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Anti-Malware
Gegeven likes: 4
Ontvangen likes: 6
Contacteer:

#1

07 mar 2013 12:20

Iedere Windows gebruiker heeft wel eens te maken gehad met het gevreesde "blauwe sherm", "Blue Screen Of Dead" of ook wel afgekort BSOD genoemd. Maar wat is nu de oorzaak van zo'n vastloper of systeemcrash waarbij er een BSOD wordt getoond? En belangrijker: wat kunt u er tegen doen? In dit artikel gaan we daar dieper op in.

Hulp en ondersteuning
De informatie op de blauwe schermen zijn helaas niet altijd even makkelijk te interpreteren, maar aan de hand van de juiste gegevens kan in sommige gevallen direct de oorzaak worden herleid. Behoort het bestand bijvoorbeeld tot de drivers van de grafische kaart dan kan het updaten van de drivers (of juist het de-installeren van recent geïnstalleerde drivers) een oplossing bieden. Is er niet direct duidelijk waar de BSOD, systeemcrashes en of vastlopers vandaan komen kunt u op het forum terecht voor hulp en advies.
  1. Geef als eerste een zo goed mogelijke omschrijving van uw probleem inclusief, fout & stopcodes die u op de BSOD kunt nalezen.
  2. Vertel eventueel wat u zelf al heeft geprobeerd om het probleem te kunnen oplossen.
  3. Voer vervolgens BlueScreenView uit, en plaats dit bestand als bijlage in uw bericht.
Computercrashes
Op Windowssystemen worden vastlopers en crashes vergezeld van een zogenaamde BSOD "Blue Screen Of Dead", in dit scherm verschijnen meldingen zoals "PAGE_FAULT_IN_NONPAGED_AREA" of "STOP: 0x000000F4 (0x0000000000000003, 0xFFFFFA8007F82B30, 0xFFFFFA8007F82B1E10, 0X0FFFFF80002FDB240)" en voor de gemiddelde gebruiker is dit natuurlijk abracadabra en zegt het vrijwel niemand iets.
In de meeste gevallen zal men ook direct een herstart van het systeem uitvoeren, als Windows dit niet al reeds automatisch heeft gedaan bij het verschijnen van een BSOD. Dit laatste kunt u echter voorkomen door het automatisch opstarten bij het verschijnen van een BSOD uit te schakelen.

Bij de "opstart- en herstelinstellingen" kunt u instellen dat de computer BSOD c.q. crash niet automatisch opnieuw opstart zodat u de tijd heeft om de informatie van het BSOD-scherm te noteren en of te analyseren.
  • Klik met de rechtermuisknop op "Deze Computer" en kies de optie "Eigenschappen"
  • Klik rechts in dit venster op de optie "geavanceerde systeeminstellingen"
  • Selecteer het tabblad geavanceerd en klik op de knop "Instellingen" onder "opstart- en herstelinstellingen".
  • Verwijder hier het vinkje bij de optie "De computer automatisch opnieuw opstarten" en klik op "OK"
    Afbeelding
Windows logboeken
Wanneer u met regelmaat last heeft van BSOD's is het zeker aan te raden om deze informatie eens nader te bekijken zodat u de mogelijke oorzaak kunt achterhalen en op deze manier tot een oplossing kunt komen.
Alle informatie van "crashes" zoals stuurprogramma's die vastlopen en zowel de informatie van de BSOD's worden opgeslagen in de logboeken van Windows.
  • De "Logboeken" van Windows kunt u inzien door bij start > uitvoeren of in het zoekvenster van het startmenu het commando Logboeken of eventvwr te typen gevolgd door enter.
  • In Windows zijn de logboeken onderverdeeld in vijf categorieën.
    • Toepassing.
    • Beveiliging.
    • Setup.
    • Systeem.
    • Doorgestuurde gebeurtenissen.
  • Van deze vijf categorieën is "Toepassing" het meest belangrijke onderdeel aangezien hier alle vastlopers en crashes van het besturingssysteem worden geregistreerd.
Windows logboeken filteren "Huidig logboek filteren"
  • Wanneer u de logboeken van Windows hebt geopend kunt u in het rechter gedeelte van het venster kiezen voor de optie "Huidig logboek filteren...".
  • In Windows worden crashes altijd geplaatst onder de bronnaam "Windows Error Reporting".
  • Type bij "Bronnen van gebeurtenis" de regel "Windows Error Reporting" en klik op OK Zoals op onderstaande afbeelding.
    Afbeelding
  • Alle logboek-vermeldingen die te maken hebben met vastlopers en crashes zijn nu geordend.
  • Iedere applicatie die is gecrasht krijgt de vermelding APPCRASH in de logboeken.
    Afbeelding
  • In dit voorbeeld ziet u dat de applicatie Zoek.com de oorzaak is van de applicatiecrash, de zogenaamde handtekeningen van deze vermelding zijn onderverdeeld in P1 t/m P10.
  • P1 toont altijd de naam van het betreffende programma, uitvoerbare bestanden en of applicatie.
  • P2 toont het versienummer van het betreffende programma.
  • De overige foutcodes kunnen het achterhalen van het probleem vergemakkelijken, wanneer u hierbij hulp wenst vermeld dan altijd deze gegevens.
Oorzaken van een BSOD en systeemcrashes
De oorzaak van vastlopers en systeencrashes in Windows kan je eigenlijk in drie categorieën indelen namelijk, "Problemen met drivers", "Soft- en hardware problemen" en "Hardware defecten". Wanneer er een vastloper of een computer crash onstaat met aanvullend een BSOD wordt vaak direct verweten aan het besturingssysteem. Maar niets is minder waar want vaak ligt de oorzaak gewoon bij drivers en of de gebruikte software op het systeem. Hieronder lichten we de drie meest voorkomende oorzaken verder toe.

1. Problemen met drivers
De meest voorkomende oorzaak in deze categorie is het crashen van drivers voor onder andere de schijfcontroller, de grafische kaart, chipset en USB-apparatuur. Vooral een driver behorende tot de schijfcontroller die crasht kan verstrekkende gevolgen hebben aangezien hierdoor de gegevens op de harde schijf corrupt kunnen raken. Middels de gevreesde BSOD behoed Windows eigenlijk het systeem voor verdere problemen en of gegevensverlies of ontoegankelijkheid van de opgeslagen gegevens.
Met regelmaat zie je dan ook wel dat deze problemen ontstaan na bijvoorbeeld het updaten van de drivers of het gebruik van tools die automatisch de drivers updaten op het systeem.
Niet alleen de drivers die de hardware aansturen kunnen een BSOD veroorzaken, maar ook kernel-mode drivers behorende tot beveiligingssoftware of CD / DVD emulatie software staan hier eigenlijk wel bekend om.

2. Soft- en hardware problemen
In deze categorie is een "Unhandled Exception" oftewel een niet-afgehandelde uitzondering vaak te wijten aan programma's en of drivers die hardware aansturen. In de basis kan de oorzaak hiervan een fout in de programmeercode zijn die niet geheel netjes zijn taak vervult en blijft hangen op een instructie waarvan de gebruiker geen foutmelding krijgt maar alleen een vastgelopen programma heeft. Je ziet dan ook vaak dat dit probleem gepaard gaat met melding zoals "Programma X reageert niet". In de meeste gevallen kan het geforceerd afsluiten en herstarten van het programma de oplossing zijn.

3. Hardware defecten
Hardwareonderdelen met een fysiek defect zoals het internet geheugen en de harde schijf en het moederbord kunnen de oorzaak zijn van een BSOD en of vastlopers en systeemcrashes. Wanneer bijvoorbeeld het geheugen niet op de juiste wijze de instructies kan verwerken en daarbij foutieve en of corrupte informatie terugstuurt kan dit resulteren in een BSOD met een eerder genoemde foutmelding zoals "PAGE_FAULT_IN_NONPAGED_AREA". Ook de harde schijf is een veel voorkomend problemen betreffende vastlopers en of onverklaarbare crashes van het systeem, de oorzaken daarvan kunnen te maken hebben met beschadigde clusters en sectoren of een fysiek defect waarbij de aansturing van de harde schijf zelf niet meer naar behoren functioneert.

Systeemcrashes analyseren
Het analyseren van "systeemcrashes" kan op veel manieren worden uitgevoerd, via de eerder vermelde logboeken van Windows kunt u veel informatie achterhalen over de eventuele oorzaak van het probleem. Vaak zijn de logboeken op het eerste oog erg onoverzichtelijk maar met de uitgebreide mogelijkheden tot het filteren van de informatie kunt u echter wel gemakkelijk de juiste informatie ordenen en oproepen.
De gegevens omtrent een BSOD die worden opgeslagen in de logboeken van Windows zijn echter wel beperkt, maar wanneer er een BSOD plaatsvindt zal informatie hiervan worden opgeslagen in een zogenaamd DUMP bestand (%SystemRoot%\MEMORY.DMP).
Telkens wanneer er een BSOD verschijnt zullen de gegevens hieromtrent worden weggeschreven naar het betreffende bestand, op lange termijn kan dit bestand wel honderden MB's groot worden en dat maakt het analyseren van zo'n bestand er echter niet gemakkelijker op.
Om toch redelijk snel zo'n bestand te kunnen analyseren heeft Microsoft de zogenaamde "Debugging Tools" ontwikkelt en , wat een onderdeel is van de Windows Software Developement Kit.
Wanneer u de "Windows Software Developement Kit" installeer dan alleen de "Debugging tools voor Windows", en vink de overige opties en onderdelen allemaal uit want deze hebt u immers niet nodig.
Afbeelding
Wanneer "Debugging tools voor Windows" in geinstalleerd vind u deze terug in het startmenu bij Alle Programma's > Windows Kits > Denugging Tools op x64 systemen is er zowel een 32 als 64 bit versie aanwezig.
  • Wanneer u WinDbg hebt gestart, dient er eerst een koppeling met de servers van Microsoft te worden gemaakt waarmee de zogenaamde symbool-bestanden worden opgehaald.
  • Klik met de rechtermuisknop op "Deze Computer" en kies de optie "Eigenschappen"
  • Klik rechts in dit venster op de optie "geavanceerde systeeminstellingen"
  • Klik hier op de knop "Omgevingsvariabelen" en klik onder in dit venster bij "systeemvariabelen" op de knop nieuw.
  • Geef bij naam van de variabelen het volgende vetgedrukte op _NT_SYMBOL_PATH.
  • Bij waarde van de variabele geeft u het volgende op SRV*C:\SYMBOLS*HTTP://MSDL.MICROSOFT.COM/DOWNLOADS/SYMBOLS
    Afbeelding
  • Klik vervolgens op "OK", de symbool-bestanden worden nu automatisch gedownload bij het gebruik van WinDbg en opgeslagen in de cachemap C:\SYMBOLS.
  • Vervolgens kunt u het bestand %SystemRoot%\MEMORY.DMP openen in WinDbg middels de toetscombinatie CTRL + D
  • Wanneer dit bestand niet aanwezig is dan zal uw computer wellicht nooit zijn vastgelopen met aanvullend een getoonde BSOD.
  • Wanneer het dump bestand is geopend kan je klikken op het commando !analyze -v zie onderstaande afbeelding.
    Afbeelding
  • Het dump bestand wordt vervolgens gecontroleerd op crashes en BSOD's en daaruit verkrijgt u de volgende informatie.

    Code: Selecteer alles

    BAD_POOL_HEADER (19)
    The pool is already corrupt at the time of the current request.
    This may or may not be due to the caller.
    The internal pool links must be walked to figure out a possible cause of
    the problem, and then special pool applied to the suspect tags or the driver
    verifier to a suspect driver.
    Arguments:
    Arg1: 00000020, a pool block header size is corrupt.
    Arg2: 85073460, The pool entry we were looking for within the page.
    Arg3: 85073788, The next pool entry.
    Arg4: 08650005, (reserved)

    Code: Selecteer alles

    FOLLOWUP_IP: 
    Driver+b157
    887c1157 397dcc          cmp     dword ptr [ebp-34h],edi
    SYMBOL_STACK_INDEX:  1
    SYMBOL_NAME:  Driver+b157
    FOLLOWUP_NAME:  MachineOwner
    MODULE_NAME: Driver
    IMAGE_NAME:  Driver.sys
    DEBUG_FLR_IMAGE_TIMESTAMP:  506ae5bb
    FAILURE_BUCKET_ID:  0x19_20_Driver+b157
    BUCKET_ID:  0x19_20_Driver+b157
    Followup: MachineOwner
    
  • Met behulp van deze informatie kan je dieper ingaan op de oorzaak van de crash en of BSOD.
  • De eerste regel met de vermelding "PAGE_FAULT_IN_NONPAGED_AREA", "BAD_POOL_HEADER" of "DRIVER_IRQ_NOT_LESS_OR_EQUAL" met aanvullende informatie ziet u vaak de oorzaak van het probleem terug.
  • Op basis hiervan kunt u op het internet zoeken naar een mogelijk oplossing, op de MSDN-Website Bug Check Code Reference (Windows Debuggers) kunt u veel informatie vinden over de verschillende crash fouten en gegevens die in een BSOD staan vermeld.
Plaats reactie

Terug naar “Blauw Scherm (BSOD), Systeemcrashes & Opstartproblemen”