none
Process Explorer v16.30 / cRASH wINDOWS 7 RRS feed

  • Question

  • Process Explorer v16.30

    eRROR:

    Not able to run on this version of Windows:
    Missing function: winsta!WinStationConnectW

    Not able to run on this version of Windows:
    Missing function: winsta!WinStationShadow

    Not able to run on this version of Windows:
    Missing function: winsta!WinStationGetProcessSid

    THANKS

    Tuesday, September 17, 2019 8:48 PM

Answers

  • What version exactly are you running of Windows 7? is it by any chance a Home version?

    The function you are reporting are generally available on windows 7..

    I'm running a Pro and it works fine..

    Can you give more details?

    Thanks
    -mario

    • Marked as answer by GOXZALO Wednesday, September 18, 2019 12:13 AM
    Tuesday, September 17, 2019 9:17 PM

All replies

  • What version exactly are you running of Windows 7? is it by any chance a Home version?

    The function you are reporting are generally available on windows 7..

    I'm running a Pro and it works fine..

    Can you give more details?

    Thanks
    -mario

    • Marked as answer by GOXZALO Wednesday, September 18, 2019 12:13 AM
    Tuesday, September 17, 2019 9:17 PM
  • Is Win 7 profesional

    The version 16.26 work fine

    but the last version no

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Crear proceso
    ID del hilo       : 2420
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 00000000`77120000
    Nombre de archivo : C:\Windows\SYSTEM32\ntdll.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 00000000`76f00000
    Nombre de archivo : C:\Windows\system32\kernel32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd1c0000
    Nombre de archivo : C:\Windows\system32\KERNELBASE.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd740000
    Nombre de archivo : C:\Windows\system32\SHLWAPI.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd6d0000
    Nombre de archivo : C:\Windows\system32\GDI32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 00000000`77020000
    Nombre de archivo : C:\Windows\system32\USER32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`feaf0000
    Nombre de archivo : C:\Windows\system32\LPK.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fe580000
    Nombre de archivo : C:\Windows\system32\USP10.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd630000
    Nombre de archivo : C:\Windows\system32\msvcrt.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`faf60000
    Nombre de archivo : C:\Windows\system32\IPHLPAPI.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fe9d0000
    Nombre de archivo : C:\Windows\system32\NSI.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fb040000
    Nombre de archivo : C:\Windows\system32\WINNSI.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd460000
    Nombre de archivo : C:\Windows\system32\RPCRT4.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`ff3e0000
    Nombre de archivo : C:\Windows\system32\WS2_32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f9040000
    Nombre de archivo : C:\Windows\system32\MPR.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fb920000
    Nombre de archivo : C:\Windows\WinSxS\amd64_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.17514_none_fa396087175ac9ac\COMCTL32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fc1d0000
    Nombre de archivo : C:\Windows\system32\VERSION.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`facd0000
    Nombre de archivo : C:\Windows\system32\credui.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fef70000
    Nombre de archivo : C:\Windows\system32\SETUPAPI.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd230000
    Nombre de archivo : C:\Windows\system32\CFGMGR32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`feb00000
    Nombre de archivo : C:\Windows\system32\ADVAPI32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd440000
    Nombre de archivo : C:\Windows\SYSTEM32\sechost.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fee90000
    Nombre de archivo : C:\Windows\system32\OLEAUT32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`ff1b0000
    Nombre de archivo : C:\Windows\system32\ole32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd270000
    Nombre de archivo : C:\Windows\system32\DEVOBJ.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd290000
    Nombre de archivo : C:\Windows\system32\CRYPT32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd110000
    Nombre de archivo : C:\Windows\system32\MSASN1.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f7610000
    Nombre de archivo : C:\Windows\system32\ACLUI.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd7f0000
    Nombre de archivo : C:\Windows\system32\SHELL32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f9590000
    Nombre de archivo : C:\Windows\system32\NTDSAPI.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fc0f0000
    Nombre de archivo : C:\Windows\system32\POWRPROF.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fae40000
    Nombre de archivo : C:\Windows\system32\WTSAPI32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fb870000
    Nombre de archivo : C:\Windows\system32\UxTheme.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd590000
    Nombre de archivo : C:\Windows\system32\COMDLG32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f9f60000
    Nombre de archivo : C:\Windows\system32\WINHTTP.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f9cf0000
    Nombre de archivo : C:\Windows\system32\webio.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 00000000`772f0000
    Nombre de archivo : C:\Windows\system32\PSAPI.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd7c0000
    Nombre de archivo : C:\Windows\system32\IMM32.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fe9e0000
    Nombre de archivo : C:\Windows\system32\MSCTF.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f7600000
    Nombre de archivo : C:\Windows\system32\api-ms-win-core-synch-l1-2-0.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fb490000
    Nombre de archivo : C:\Windows\system32\ntmarta.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`ff150000
    Nombre de archivo : C:\Windows\system32\WLDAP32.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fcfa0000
    Nombre de archivo : C:\Windows\system32\CRYPTBASE.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Crear hilo
    ID del hilo       : 4788
    Direccion de memoria: 00000000`77217ec0
    Nombre de archivo : 
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:00.000
    Tipo de evento    : Cerrar hilo
    ID del hilo       : 4788
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de salida: 0x00000000
    ==================================================

    ==================================================
    Hora del evento   : 00:00:08.379
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6ed0000
    Nombre de archivo : C:\Windows\system32\dbghelp.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:08.386
    Tipo de evento    : Crear hilo
    ID del hilo       : 4860
    Direccion de memoria: 00000000`7713aec0
    Nombre de archivo : 
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.040
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6c10000
    Nombre de archivo : C:\Windows\system32\mscoree.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.042
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6b70000
    Nombre de archivo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscoreei.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.049
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6b40000
    Nombre de archivo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.050
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f2960000
    Nombre de archivo : C:\Windows\system32\MSVCR120_CLR0400.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.052
    Tipo de evento    : Crear hilo
    ID del hilo       : 1264
    Direccion de memoria: 000007fe`f6b4beb0
    Nombre de archivo : 
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.067
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6b30000
    Nombre de archivo : C:\Windows\system32\netfxperf.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.074
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6ae0000
    Nombre de archivo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\perfcounter.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.076
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f6a40000
    Nombre de archivo : C:\Windows\system32\pdh.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.076
    Tipo de evento    : Excepcion
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd1ca49d
    Nombre de archivo : 
    Mas informacion   : Codigo de excepcion: 0x000006ba
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.183
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fe930000
    Nombre de archivo : C:\Windows\system32\CLBCatQ.DLL
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.185
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fa110000
    Nombre de archivo : C:\Windows\system32\taskschd.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.186
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fcf10000
    Nombre de archivo : C:\Windows\system32\SspiCli.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.187
    Tipo de evento    : Excepcion
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd1ca49d
    Nombre de archivo : 
    Mas informacion   : Codigo de excepcion: 0x000006d9
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.189
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`f9d60000
    Nombre de archivo : C:\Windows\System32\mstask.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.191
    Tipo de evento    : Carga DLL
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fc650000
    Nombre de archivo : C:\Windows\system32\WINSTA.dll
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.194
    Tipo de evento    : Excepcion
    ID del hilo       : 2420
    Direccion de memoria: 000007fe`fd1ca49d
    Nombre de archivo : 
    Mas informacion   : Codigo de excepcion: 0x000006ba
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.268
    Tipo de evento    : Crear hilo
    ID del hilo       : 1412
    Direccion de memoria: 00000001`3f9ec8d4
    Nombre de archivo : 
    Mas informacion   : 
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.269
    Tipo de evento    : Excepcion
    ID del hilo       : 2420
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de excepcion: 0xc0000005, Parametros: , 0x00000008, 0x00000000
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.269
    Tipo de evento    : Excepcion
    ID del hilo       : 2420
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de excepcion: 0xc000041d
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.269
    Tipo de evento    : Cerrar hilo
    ID del hilo       : 2420
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de salida: 0xc000041d
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.269
    Tipo de evento    : Cerrar hilo
    ID del hilo       : 1264
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de salida: 0xc000041d
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.271
    Tipo de evento    : Cerrar hilo
    ID del hilo       : 4860
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de salida: 0xc000041d
    ==================================================

    ==================================================
    Hora del evento   : 00:00:09.271
    Tipo de evento    : Cerrar proceso
    ID del hilo       : 1412
    Direccion de memoria: 
    Nombre de archivo : 
    Mas informacion   : Codigo de salida: 0xc000041d
    ==================================================

    • Edited by GOXZALO Wednesday, September 18, 2019 12:20 AM
    Wednesday, September 18, 2019 12:13 AM
  • you are getting an Access Denied on something..

    Codigo de excepcion: 0xc0000005, Parametros: , 0x00000008, 0x00000000

    Also the exit code is really strange:

    err 0xc000041d
    # for hex 0xc000041d / decimal -1073740771
      STATUS_FATAL_USER_CALLBACK_EXCEPTION                           ntstatus.h
    # An unhandled exception was encountered during a user
    # callback.

    Get a ProcMon trace while loading Process Explorer and share it

    Thanks
    -mario


    • Edited by mariora_ Wednesday, September 18, 2019 6:56 AM update
    Wednesday, September 18, 2019 6:54 AM
  • Hmmm I just tried it on the same Windows version and it worked fine for me. Sounds like it might be environmental.

    In addition to other suggestions, could you tell me...

    1)  When are you seeing this - is it on startup or sometime afterwards?

    2) Is there an application crash error (Event ID 1000) in the event log to indicate a crash? And if so was a memory dump created?

    3). Was this running with admin privileges?

    MarkC(MSFT)

    Wednesday, September 18, 2019 9:41 AM
  • I have the same problem with Process Explorer 16.30 on Windows 7x86 Pro, Windows 7x64 Pro, Windows Server 2008x64 R2. All these systems are VM on VMWare Workstation 15.5.0.

    1)  When are you seeing this - is it on startup or sometime afterwards?

    Just run procexp.exe as usual application

    2) Is there an application crash error (Event ID 1000) in the event log to indicate a crash? And if so was a memory dump created?

    Log Name:      Application
    Source:        Application Error
    Date:          10/8/2019 4:58:56 AM
    Event ID:      1000
    Task Category: (100)
    Level:         Error
    Keywords:      Classic
    User:          N/A
    Computer:      WIN-6BUE73Q8QMT
    Description:
    Faulting application name: procexp.exe, version: 16.30.0.0, time stamp: 0x5d70cb8a
    Faulting module name: unknown, version: 0.0.0.0, time stamp: 0x00000000
    Exception code: 0xc0000005
    Fault offset: 0x00000000
    Faulting process id: 0xe88
    Faulting application start time: 0x01d57dcfc05e14ae
    Faulting application path: C:\mal\procexp.exe
    Faulting module path: unknown
    Report Id: 00a35bf3-e9c3-11e9-8077-000c2980ceb5
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Application Error" />
        <EventID Qualifiers="0">1000</EventID>
        <Level>2</Level>
        <Task>100</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2019-10-08T11:58:56.000000000Z" />
        <EventRecordID>791</EventRecordID>
        <Channel>Application</Channel>
        <Computer>WIN-6BUE73Q8QMT</Computer>
        <Security />
      </System>
      <EventData>
        <Data>procexp.exe</Data>
        <Data>16.30.0.0</Data>
        <Data>5d70cb8a</Data>
        <Data>unknown</Data>
        <Data>0.0.0.0</Data>
        <Data>00000000</Data>
        <Data>c0000005</Data>
        <Data>00000000</Data>
        <Data>e88</Data>
        <Data>01d57dcfc05e14ae</Data>
        <Data>C:\mal\procexp.exe</Data>
        <Data>unknown</Data>
        <Data>00a35bf3-e9c3-11e9-8077-000c2980ceb5</Data>
      </EventData>
    </Event>

    Memory dump was not created.

    3) Was this running with admin privileges?

    Yes.

    Tuesday, October 8, 2019 12:38 PM
  • Get a ProcMon trace while loading Process Explorer and share it

    Here is zip-file with ProcMon trace:

    https://1drv.ms/u/s!Av2PwUF5V4iIaQHubtJtGAQsVls

    • Edited by rusl_ Tuesday, October 8, 2019 12:42 PM
    Tuesday, October 8, 2019 12:39 PM
  • looks like it goes in exception after calling AddLocalAlternateComputerNameW..

    wer can generate a dump if properly cofigured.

    Actually it wrote the report under:
    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_procexp.exe_1b2b625c3275e0b57e67dd990b7ac9116689e51_084d8d50\Report.wer

    Add these registry keys to collect a dump after a crash:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps

    DumpFolder REG_EXPAND_SZ  %LOCALAPPDATA%\CrashDumps

    DumpCount  REG_DWORD  10

    DumpType  REG_DWORD  2

    Repro again and share the dump + the .wer file

    Thanks
    -mario

    Tuesday, October 8, 2019 2:43 PM
  • looks like it goes in exception after calling AddLocalAlternateComputerNameW..

    wer can generate a dump if properly cofigured.

    Actually it wrote the report under:
    C:\ProgramData\Microsoft\Windows\WER\ReportArchive\AppCrash_procexp.exe_1b2b625c3275e0b57e67dd990b7ac9116689e51_084d8d50\Report.wer

    Add these registry keys to collect a dump after a crash:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps

    DumpFolder REG_EXPAND_SZ  %LOCALAPPDATA%\CrashDumps

    DumpCount  REG_DWORD  10

    DumpType  REG_DWORD  2

    Repro again and share the dump + the .wer file

    Thanks
    -mario

    Here is dmp and wer files for procexp.exe:

    https://1drv.ms/u/s!Av2PwUF5V4iIbBGo_ZfARIlGYV4

    Tuesday, October 8, 2019 3:33 PM
  • We need help from MarkC here, because without symbols I'm a little bit lost..

    The exception is an Access Violation

    CONTEXT:  (.ecxr)
    eax=04e90db8 ebx=002cde28 ecx=002cb690 edx=002cdc28 esi=002cda28 edi=00000100
    eip=00000000 esp=002cb43c ebp=002cbe94 iopl=0         nv up ei pl nz na pe nc
    cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010206
    00000000 ??              ???
    Resetting default scope

    FAULTING_IP: 
    +0
    00000000 ??              ???

    EXCEPTION_RECORD:  (.exr -1)
    ExceptionAddress: 00000000
       ExceptionCode: c0000005 (Access violation)
      ExceptionFlags: 00000000
    NumberParameters: 2
       Parameter[0]: 00000008
       Parameter[1]: 00000000
    Attempt to execute non-executable address 00000000

    DEFAULT_BUCKET_ID:  SOFTWARE_NX_FAULT

    And these are the thread executing..

    0:000> !us
    1 thread [stats]: 0
        77bc70b4 ntdll!KiFastSystemCallRet
        77bc6a04 ntdll!NtWaitForMultipleObjects+0xc
        75e369dc KERNELBASE!WaitForMultipleObjectsEx+0x100
        7794bc8e kernel32!WaitForMultipleObjectsExImplementation+0xe0
        7794bcfc kernel32!WaitForMultipleObjects+0x18
        7795f165 kernel32!WerpReportFaultInternal+0x186
        7795f202 kernel32!WerpReportFault+0x70
        7795ef30 kernel32!BasepReportFault+0x20
        7795eeaa kernel32!UnhandledExceptionFilter+0x1af
        77bf7f1a ntdll!__RtlUserThreadStart+0x62
        77b9e304 ntdll!_EH4_CallFilterFunc+0x12
        77b9e18c ntdll!_except_handler4+0x8e
        77bc71b9 ntdll!ExecuteHandler2+0x26
        77bc718b ntdll!ExecuteHandler+0x24
        77b9f96f ntdll!RtlDispatchException+0x127
        77bc7017 ntdll!KiUserExceptionDispatcher+0xf
        00000000 0x0
        00af977f procexp+0x8977f
        00afde6f procexp+0x8de6f
        00ad3f9d procexp+0x63f9d
        00ab673f procexp+0x4673f
        00adc628 procexp+0x6c628
        7779c4e7 user32!InternalCallWinProc+0x23
        77795f9f user32!UserCallWinProcCheckWow+0xe0
        77794f0e user32!DispatchClientMessage+0xda
        7778e98a user32!__fnINLPCREATESTRUCT+0x8b
        77bc6fee ntdll!KiUserCallbackDispatcher+0x2e
        7778eb94 user32!NtUserCreateWindowEx+0xc
        7778eb28 user32!VerNtUserCreateWindowEx+0x1a3
        7778ec54 user32!_CreateWindowEx+0x201
        7778ecaf user32!CreateWindowExW+0x33
        00ab8324 procexp+0x48324
        00b0427e procexp+0x9427e
        00b07851 procexp+0x97851
        77953c45 kernel32!BaseThreadInitThunk+0xe
        77be37f5 ntdll!__RtlUserThreadStart+0x70
        77be37c8 ntdll!_RtlUserThreadStart+0x1b

    1 thread [stats]: 1
        77bc70b4 ntdll!KiFastSystemCallRet
        77bc6a04 ntdll!NtWaitForMultipleObjects+0xc
        77bafe3b ntdll!TppWaiterpThread+0x33d
        77953c45 kernel32!BaseThreadInitThunk+0xe
        77be37f5 ntdll!__RtlUserThreadStart+0x70
        77be37c8 ntdll!_RtlUserThreadStart+0x1b

    1 thread [stats]: 2
        77bc70b4 ntdll!KiFastSystemCallRet
        77bc6a04 ntdll!NtWaitForMultipleObjects+0xc
        75e369dc KERNELBASE!WaitForMultipleObjectsEx+0x100
        7794bc8e kernel32!WaitForMultipleObjectsExImplementation+0xe0
        7794bcfc kernel32!WaitForMultipleObjects+0x18
        6fae1c7b CorperfmonExt!HandlerAuxThreadProc+0x55
        77953c45 kernel32!BaseThreadInitThunk+0xe
        77be37f5 ntdll!__RtlUserThreadStart+0x70
        77be37c8 ntdll!_RtlUserThreadStart+0x1b

    1 thread [stats]: 3
        77bc70b4 ntdll!KiFastSystemCallRet
        77bc6a24 ntdll!ZwWaitForSingleObject+0xc
        75e3179c KERNELBASE!WaitForSingleObjectEx+0x98
        7794baf3 kernel32!WaitForSingleObjectExImplementation+0x75
        7794baa2 kernel32!WaitForSingleObject+0x12
        00adf6b9 procexp+0x6f6b9
        00b17885 procexp+0xa7885
        77953c45 kernel32!BaseThreadInitThunk+0xe
        77be37f5 ntdll!__RtlUserThreadStart+0x70
        77be37c8 ntdll!_RtlUserThreadStart+0x1b

    1 thread [stats]: 4
        77bc70b4 ntdll!KiFastSystemCallRet
        77bc57d4 ntdll!NtDelayExecution+0xc
        75e31876 KERNELBASE!SleepEx+0x65
        75e31818 KERNELBASE!Sleep+0xf
        7797e72d kernel32!WerpReportFault+0x3f
        7795ef30 kernel32!BasepReportFault+0x20
        7795eeaa kernel32!UnhandledExceptionFilter+0x1af
        77bf7f1a ntdll!__RtlUserThreadStart+0x62
        77b9e304 ntdll!_EH4_CallFilterFunc+0x12
        77b9e18c ntdll!_except_handler4+0x8e
        77bc71b9 ntdll!ExecuteHandler2+0x26
        77bc718b ntdll!ExecuteHandler+0x24
        77b9f96f ntdll!RtlDispatchException+0x127
        77bc7017 ntdll!KiUserExceptionDispatcher+0xf
        00000000 0x0
        00a9df39 procexp+0x2df39
        00a775c1 procexp+0x75c1
        00a74850 procexp+0x4850
        00a832a3 procexp+0x132a3
        00a82ce8 procexp+0x12ce8
        00a7d263 procexp+0xd263
        00a75146 procexp+0x5146
        77953c45 kernel32!BaseThreadInitThunk+0xe
        77be37f5 ntdll!__RtlUserThreadStart+0x70
        77be37c8 ntdll!_RtlUserThreadStart+0x1b

    5 stack(s) with 5 threads displayed (5 Total threads)

    The interesting thing is the Software_NX_Fault.. On a machine with Data Execution Prevention (DEP) enabled, an attempt by software to execute non-executable code will cause it to crash.

    Do you have DEP enabled on your machine?? Procexp should not crash ion any case, but just to "mitigate" the problem now you can try disabling DEP..

    Other possible cause is corrupted memory.. one of your memory stick is corrupted and should be changed.. If you have some spare stick to try you can change them and see what happens..

    Let's see if MarkC can shed some more light on this..

    HTH
    -mario

    Wednesday, October 9, 2019 7:12 AM
  • Do you have DEP enabled on your machine?? Procexp should not crash ion any case, but just to "mitigate" the problem now you can try disabling DEP..

    Yes, DEP was enabled. I tried to run Procexp with DEP completely disabled (bcdedit), Result is the same - Procexp crashes.

    Other possible cause is corrupted memory.. one of your memory stick is corrupted and should be changed.. If you have some spare stick to try you can change them and see what happens..

    OS is running on VM. Problem exists only on Windows 7x86 Pro, Windows 7x64 Pro and Windows Server 2008x64 R2 in my set of OS Windows versions on VM. Other my OS Windows versions are higher (8.1, 10, server 2012, server 2016), and Procexp works fine there.

    So, I don't think this is the memory corrupted error.

    We need help from MarkC here, because without symbols I'm a little bit lost..

    Yes, I've tried to analyse dump too. But it's pretty difficult to understand the problem place without symbols.

    Wednesday, October 9, 2019 8:51 AM
  • Tried to run Procexp 16.30 on real (not VM) Win7x86 Pro on laptop. Procexp works fine...

    I use VMware® Workstation 15 Pro 15.5.0 build-14665864

    Found Process Explorer 15.3 and 16.22, run each on VM - each works fine.

    So, it seems the problem exists on VM only (possible Windows 7x86 Pro, Windows 7x64 Pro and Windows Server 2008x64 R2 only) and with the newest Process Explorer 16.30 only.

    Wednesday, October 9, 2019 9:23 AM
  • Is it possible that you enabled dynamic memory in VMWARE for the machines?

    Maybe that is interfering..

    -mario

    Wednesday, October 9, 2019 9:34 AM
  • Is it possible that you enabled dynamic memory in VMWARE for the machines?

    "Allow some virtual machine memory to be swapped" was enabled.

    Now I've changed that option to "Fit all virtual machine memory into reserved host RAM". Host can use 13560 Mb for all VM, VM with Win7x86 can use 2048Mb.

    Then I restarted VM, but Procexp 16.30 crashes anyway.

    Wednesday, October 9, 2019 9:56 AM
  • Hi Mario

    Thanks as always for your help on this. I will take a look at the dump file for you.

    MarkC(MSFT)

    Thursday, October 17, 2019 3:09 PM
  • You are welcome, Mark.

    Ciao
    _mario

    Thursday, October 17, 2019 3:22 PM
  • After some experiments, i figured out ProcExp requires KB2758857 update now (after installing it, it works again).
    It's shameful that ProcExp doesn't work on fresh Windows 7 anymore.

    Hoping Microsoft will fix this issue, because it really hurts virtual machines (installing the fresh OS is a very common use scenario for them).



    • Edited by Code1234Z Wednesday, October 30, 2019 8:50 PM minor grammar fixes
    • Proposed as answer by mariora_ Thursday, October 31, 2019 7:32 AM
    Wednesday, October 30, 2019 8:48 PM
  • Apologies for the delay in responding but I've been out on vacation.

    From the dump file I can see that this is caused by a NULL function pointer. To mitigate DLL side loading exploits we recently moved to using LoadLibraryEx with LOAD_LIBRARY_SEARCH_SYSTEM32. As described in https://docs.microsoft.com/en-us/windows/win32/api/libloaderapi/nf-libloaderapi-loadlibraryexa, this value requires KB2533623 to be installed. 

    Glad you were able to sort it out yourself though and apologies again for the delay.

    MarkC(MSFT)

    • Proposed as answer by rusl_ Thursday, November 7, 2019 2:15 PM
    Wednesday, November 6, 2019 3:48 PM