Dump-Auswertung

[lebron]

Hallo zusammen,

hab einen Windows 2003 Server ohne Service Pack , der von Zeit zu Zeit mit folgender
Fehlermeldung abstürzt:
Ereigniskennung: 1003 Fehlercode 00000024, 1. Parameter 00190329, 2. Parameter f88e6ab4, 3. Parameter f88e6704, 4. Parameter f82d517f.

Jetzt hab ich mit windbg und dem Befehl !analyze -v den zugehörigen Dump ausgelesen:

1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

NTFS_FILE_SYSTEM (24)
If you see NtfsExceptionFilter on the stack then the 2nd and 3rd
parameters are the exception record and context record. Do a .cxr
on the 3rd parameter and then kb to obtain a more informative stack
trace.
Arguments:
Arg1: 00190329
Arg2: f88e6ab4
Arg3: f88e6704
Arg4: f82d517f

Debugging Details:
------------------


EXCEPTION_RECORD: f88e6ab4 -- (.exr fffffffff88e6ab4)
ExceptionAddress: f82d517f (Ntfs!NtfsDeleteFcb+0x000001d4)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000001
Parameter[1]: 06c00000
Attempt to write to address 06c00000

CONTEXT: f88e6704 -- (.cxr fffffffff88e6704)
eax=06c00000 ebx=81d01ca8 ecx=e1380930 edx=18150001 esi=f88e6bbc edi=804e9820
eip=f82d517f esp=f88e6b7c ebp=f88e6b94 iopl=0 nv up ei pl nz na po nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010206
Ntfs!NtfsDeleteFcb+0x1d4:
f82d517f c60001 mov byte ptr [eax],0x1 ds:0023:06c00000=??
Resetting default scope

DEFAULT_BUCKET_ID: DRIVER_FAULT

CURRENT_IRQL: 0

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

WRITE_ADDRESS: 06c00000

BUGCHECK_STR: 0x24

LAST_CONTROL_TRANSFER: from f828bf98 to f82d517f

STACK_TEXT:
f88e6b94 f828bf98 81d01ca8 f88e6bbc f88e6bc7 Ntfs!NtfsDeleteFcb+0x1d4
f88e6be0 f82b6b29 81d01ca8 82283100 e1380930 Ntfs!NtfsTeardownFromLcb+0x1fc
f88e6c38 f828c080 81d01ca8 e13809f8 e1380b80 Ntfs!NtfsTeardownStructures+0x125
f88e6c64 f82ac5d1 81d01ca8 e13809f8 e1380b80 Ntfs!NtfsDecrementCloseCounts+0xa7
f88e6cec f82aee5d 81d01ca8 e13809f8 e1380930 Ntfs!NtfsCommonClose+0x39b
f88e6d80 804eeabb 00000000 00000000 822aeb20 Ntfs!NtfsFspClose+0xe3
f88e6dac 80596ffe 00000000 00000000 00000000 nt!ExpWorkerThread+0xe9
f88e6ddc 805008c6 804ee9f0 00000000 00000000 nt!PspSystemThreadStartup+0x2e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


FOLLOWUP_IP:
Ntfs!NtfsDeleteFcb+1d4
f82d517f c60001 mov byte ptr [eax],0x1

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: Ntfs!NtfsDeleteFcb+1d4

MODULE_NAME: Ntfs

IMAGE_NAME: Ntfs.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 3e8007d5

STACK_COMMAND: .cxr fffffffff88e6704 ; kb

FAILURE_BUCKET_ID: 0x24_Ntfs!NtfsDeleteFcb+1d4

BUCKET_ID: 0x24_Ntfs!NtfsDeleteFcb+1d4

Followup: MachineOwner
---------
Leider kann ich damit jetzt nichts anfangen (fehlendes Fachwissen). Scheit aber irgendwas mit der ntfs.sys zu tun zu haben.
Kennt sich hier jemand mit solchen Dumpauswertungen besser aus und kann mir sagen
was diese Anzeigen bedeuten bzw.was die nächsten Schritte wären, die ich durchführen sollte?

Vielen Dank schon mal und Gruß

Lebron

[zahni]

http://support.microsoft.com/default...b;en-us;228888

Mal chkdsk /r laufen lassen.

Kann auch ein defekter Treiber sein, der en nonpaged Pool dicht macht -> Poolmon aus dem Resource-Kit ( oder Support tools ).

Ein Servicepack und aktuelle Treiber aollten nicht schaden.

-zahni