Symbol search path is: Invalid

[Prologen 10]

hallo Com,

 

auf einem Win2k Client habe ich seit ein paar Tagen folgendes Problem:

 

Im laufenden System wird der Rechner spontan abgestellt und er bootet sich neu.

Durch den Fehler wird ein Dump File erstellt welcher nach dem auslesen folgenden Inhalt hat:

 

Microsoft ® Windows Debugger Version 6.11.0001.402 X86

Copyright © Microsoft Corporation. All rights reserved.

 

 

Loading Dump File [D:\WINNT\Minidump\Mini022509-03.dmp]

Mini Kernel Dump File: Only registers and stack trace are available

 

Symbol search path is: *** Invalid ***

****************************************************************************

* Symbol loading may be unreliable without a symbol search path. *

* Use .symfix to have the debugger choose a symbol path. *

* After setting your symbol path, use .reload to refresh symbol locations. *

****************************************************************************

Executable search path is:

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

Unable to load image ntoskrnl.exe, Win32 error 0n2

*** WARNING: Unable to verify timestamp for ntoskrnl.exe

*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe

Windows 2000 Kernel Version 2195 (Service Pack 4) UP Free x86 compatible

Machine Name:

Kernel base = 0x80400000 PsLoadedModuleList = 0x80481580

Debug session time: Wed Feb 25 14:05:24.966 2009 (GMT+1)

System Uptime: not available

*********************************************************************

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

*********************************************************************

WaitForEvent failed

 

 

das Symbol Packages von Microsoft habe ich bereits herunter geladen. Leider weis ich nicht wie ich den Pfad angleichen kann damit der Fehler bereinigt wird.

 

Wäre super wenn mit hier jemand helfen könnte.

[Prologen 10]

::push::

 

keiner hier der mir diesbezüglich helfen kann ?

[Sunny61 773]

Deaktivier den automatischen Neustart und warte auf den Bluescreen. Automatischen Neustart deaktivieren

[Prologen 10]

Hatte ich heute schon mal umgestellt .

 

beim jetzigem BlueScreen bekam ich aber auch keine bessere Lösung.

 

Wird die komplette Meldung vom BlueScreen auch im DMP gespeichert? oder wird hier eine extra Datei angelegt?

[Gabriel70 10]

keiner hier der mir diesbezüglich helfen kann ?

 

Hallo!

 

Es scheint wohl ein Problem mit den entsprechenden Umgebungsvariablen zu geben. Evtl. ist der Pfad falsch.

 

* Symbols can not be loaded because symbol path is not initialized. *

* *

* The Symbol Path can be set by: *

* using the _NT_SYMBOL_PATH environment variable. *

* using the -y <symbol_path> argument when starting the debugger. *

* using .sympath and .sympath+ *

 

 

Überprüfe das mal.

 

 

Gruß

[marka 584]

Ansonsten kannst Du über [strg]+ über das GUI den Pfad zu den Symboldaten setzen.

Diese müssen entpackt auf der Festplatte oder in einem Netzlaufwerk liegen.

[Prologen 10]

@ Gabriel70

 

das habe ich laut dem DMP auch schon mitbekommen *G*

 

leider weiß ich nicht wie ich die Variablen über die Script Befehle anpassen kann bzw.wie ich mit den Srcipt Befehlen " .sympath und .sympath+ " arbeiten muss

 

@ marka

 

ich habe soeben in der WinDbg Console über STRG+S den Pfad an den lokalen entpackten Ordner angepasst.

 

Nach Bestätigung mit ENTER verschwand das Fenster ohne Meldung.

 

Kann man irgendwie nachprüfen ob Windows den Pfad jetzt wieder "lesen" kann ?

 

 

Wodurch wird so ein gravierender Fehler eigentlich ausgelöst ?

[marka 584]

Gib in dem Debugger, nachdem Du ein Dumpfile geladen hast, in die Kommandoleiste unten mal "!analyze -v" (Ohne Anführungszeichen!) ein.

Dann startet erst die "richtige" Analyse und er sagt Dir, welche Komponente vermutlich den Fehler ausgelöst hat. Du erkennst das an der Zeile "Problem probably caused by:"

 

Was letztendlich den STOP-Fehler auslöst, kannst Du nur durch eine entsprechende Analyse im Debugger feststellen, s.o.

 

Meiner Erfahrung nach werden STOP-Fehler zu 95% durch nicht signierte Treiber ausgelöst. Ganz selten verursachen auch signierte Treiber einen STOP.

 

Einmal habe ich es erlebt, dass der ntfs.sys (NTFS Filesystemtreiber) einen STOP verursacht hat.

 

HTH

 

Markus

 

Nachtrag:

kleine Randinfo zu den Symboldateien. Diese werden passend zu dem OS benötigt, auf dem der zu analysierende Dump erstellt wurde. So erst kann der Debugger wissen, um welches OS mit welchem SP es sich handelt.

[Prologen 10]

hi Marka,

 

vielen Dank für deinen Script Befehl.

 

Hier mal der LOG aus der richtigen Analyse:

 

 

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

KMODE_EXCEPTION_NOT_HANDLED (1e)

This is a very common bugcheck. Usually the exception address pinpoints

the driver/function that caused the problem. Always note this address

as well as the link date of the driver/image that contains this address.

Arguments:

Arg1: c0000005, The exception code that was not handled

Arg2: a000b5a7, The address that the exception occurred at

Arg3: 00000000, Parameter 0 of the exception

Arg4: 0000ad49, Parameter 1 of the exception

 

Debugging Details:

------------------

 

 

EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

 

FAULTING_IP:

win32k!xxxBeginPaint+78

a000b5a7 ?? ???

 

EXCEPTION_PARAMETER1: 00000000

 

EXCEPTION_PARAMETER2: 0000ad49

 

READ_ADDRESS: unable to read from 80481518

unable to read from 804811c8

unable to read from 804810a8

unable to read from 80472de0

unable to read from 804810c0

unable to read from 804811c4

unable to read from 80472de4

unable to read from 80481284

unable to read from 804814b8

0000ad49

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

BUGCHECK_STR: 0x1E

 

PROCESS_NAME: firefox.exe

 

EXCEPTION_RECORD: c0000005 -- (.exr 0xffffffffc0000005)

Cannot read Exception record @ c0000005

 

LAST_CONTROL_TRANSFER: from 00000000 to 8042eee8

 

STACK_TEXT:

bcc500d0 00000000 c0000005 a000b5a7 00000000 nt!KiDispatchException+0x31c

 

 

STACK_COMMAND: .bugcheck ; kb

 

FOLLOWUP_IP:

win32k!xxxBeginPaint+78

a000b5a7 ?? ???

 

SYMBOL_NAME: win32k!xxxBeginPaint+78

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: win32k

 

IMAGE_NAME: win32k.sys

 

DEBUG_FLR_IMAGE_TIMESTAMP: 48cdeeff

 

FAILURE_BUCKET_ID: 0x1E_win32k!xxxBeginPaint+78

 

BUCKET_ID: 0x1E_win32k!xxxBeginPaint+78

 

Followup: MachineOwner

---------

 

 

 

Firefox wird zwar ab und an selbst beendet aber dabei friert mir das System nicht ein oder wird heruntergefahren. Die Crash passieren völlig abrupt.

Manchmal habe ich FF überhaupt nicht geöffnet.

 

Kannst du aus dem LOG noch etwas entnehmen?

[Prologen 10]

hier mal noch ein neuer Report vom Crash vor 5 Minuten

 

 

kd> !analyze -v

*******************************************************************************

* *

* Bugcheck Analysis *

* *

*******************************************************************************

 

UNEXPECTED_KERNEL_MODE_TRAP (7f)

This means a trap occurred in kernel mode, and it's a trap of a kind

that the kernel isn't allowed to have/catch (bound trap) or that

is always instant death (double fault). The first number in the

bugcheck params is the number of the trap (8 = double fault, etc)

Consult an Intel x86 family manual to learn more about what these

traps are. Here is a *portion* of those codes:

If kv shows a taskGate

use .tss on the part before the colon, then kv.

Else if kv shows a trapframe

use .trap on that value

Else

.trap on the appropriate frame will show where the trap was taken

(on x86, this will be the ebp that goes with the procedure KiTrap)

Endif

kb will then show the corrected stack.

Arguments:

Arg1: 0000000d, EXCEPTION_GP_FAULT

Arg2: 00000000

Arg3: 00000000

Arg4: 00000000

 

Debugging Details:

------------------

 

 

BUGCHECK_STR: 0x7f_d

 

CUSTOMER_CRASH_COUNT: 1

 

DEFAULT_BUCKET_ID: DRIVER_FAULT

 

PROCESS_NAME: Gw.exe

 

LAST_CONTROL_TRANSFER: from 00000000 to 8046850a

 

STACK_TEXT:

be2cd8c8 00000000 0000000d 00000000 00000000 nt!Ki386VdmReflectException_A+0x12

 

 

STACK_COMMAND: kb

 

FOLLOWUP_IP:

nt!Ki386VdmReflectException_A+12

8046850a ?? ???

 

SYMBOL_STACK_INDEX: 0

 

SYMBOL_NAME: nt!Ki386VdmReflectException_A+12

 

FOLLOWUP_NAME: MachineOwner

 

MODULE_NAME: nt

 

IMAGE_NAME: ntoskrnl.exe

 

DEBUG_FLR_IMAGE_TIMESTAMP: 45ec3c8f

 

FAILURE_BUCKET_ID: 0x7f_d_nt!Ki386VdmReflectException_A+12

 

BUCKET_ID: 0x7f_d_nt!Ki386VdmReflectException_A+12

 

Followup: MachineOwner

 

 

Komischerweise wird wieder ein Programm genannt ( Gw.exe ) was definitiv in Ordnung ist.

 

Kann es auch sein das die HD Sektor Fehler oder dergleichen aufweißt ??

Ich habe heute schon einmal mit HD Tune einen Error Check durchlaufen lassen aber es wird mir kein Fehler angezeigt.

Komischerweise werden immer Programme genannt,die während des Crashes aktiv waren. Sie waren aber sicherlich nicht der Ausgangspunkt für den Crash.

[marka 584]

Ich tippe mal auf den Arbeitsspeicher.

Dazu würde ich mir ein vernünftiges Bootmedium schnappen und damit einen RAM-Test fahren.

[Prologen 10]

hab mit MEM Test 86 eine Boot CD erstellt und mit dieser gebootet.

 

den Test habe ich 2h laufen lassen mit dem Ergebnis " No Error "

 

Wie bist du denn auf einen eventuellen RAM Fehler gekommen ? Ich hatte eher den Verdacht das es ein HDD Fehler ist.

 

Ich konnte das bisher aber auch nur mit HD Tune testen. CHKDSK erbringt mir aber auch keine Fehlermeldungen.

Mit welchem Tool könnte ich eventuell noch testen ob die HDD eine Hardwarefehler hat ?

[Gabriel70 10]

Komischerweise wird wieder ein Programm genannt ( Gw.exe ) was definitiv in Ordnung ist.

 

 

Hallo!

 

Eine solch spezifische Meldung lässt IMHO nicht auf einen HDD-Fehler schliessen. Bist du dir denn so sicher, daß die genannte Anwendung nicht doch den Fehler verursacht? Werden von dieser Anwendung Treiber geladen?

 

Gruß

[Prologen 10]

Hallo Gabriel70,

 

Eine solch spezifische Meldung lässt IMHO nicht auf einen HDD-Fehler schliessen[/qoute]

könntest du mit da bitte sagen woran du das genau erkennst ?

 

 

Bei der GW.exe handelt es sich um ein Spiel was zum Zeitpunkt des letzen Crash's lief.Dieses ist definitiv in Ordnung und wurde am Tag des letzten Crash's erst neu auf einen anderen Partition installiert. Ich dachte vorher auch das es eventuell daran liegt aber dem ist nicht so.

 

Wenn es daran liegen sollte , müsste so wie geschrieben habe, die Error Meldung immer die GW.exe beinhalten. Was allerdings nicht ist. Im LOG steht immer die Anwendung die gerade beim Crash lief.

[Gabriel70 10]

könntest du mit da bitte sagen woran du das genau erkennst ?

 

Hallo!

 

Da, wie von dir gepostet, immer wieder andere Anwendung während des Crashes laufen, ist es unwahrscheinlich, daß es an der HDD liegt; zumal du sie ja schon mal getestet hast. Besorge dir mal ein HDD-Tool des Herstellers deiner Platte und mach mal einen Obeflächen-Test. Ich könnte mir aber auch, wie es Marka bereits vermutete, einen RAM-Fehler vorstellen. Hast du Module zum Austauschen? Auch mal die Bänke wechseln.

 

Gruß