none
Малый дамп памяти, помогите расшифровать RRS feed

  • Общие обсуждения

  • Добрый день! Помогите пожалуйста разобраться с причиной дампа. Есть Windows 2003 SE SP1 x64+TermServ. На прошлой неделе неожиданно удаленные пользователи отвалились в разгар рабочего дня.после ручного ребута обнаружил файл дампа. в последний месяц никаких аппаратных и прогамных изминений в машину вроде не вносил. вот ссылка на файл дампа. letitbit.net/download/0210.d0d68d6551a606403fa120ea9/Mini021910_01.dmp.html


     заранее спасибо

    23 февраля 2010 г. 6:45

Все ответы

  • Почитайте здесь http://support.microsoft.com/kb/315263

    23 февраля 2010 г. 7:22
    Отвечающий
  • Я собственно никогда файлы дампа не расшифровывал. Windows Debugger вот что показывает:

    Microsoft (R) Windows Debugger Version 6.11.0001.404 AMD64
    Copyright (c) Microsoft Corporation. All rights reserved.
    
    
    Loading Dump File [C:\WINDOWS\Minidump\Mini021910-01.dmp]
    Mini Kernel Dump File: Only registers and stack trace are available
    
    Symbol search path is: SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
    Executable search path is: 
    
    "nt" was not found in the image list.
    Debugger will attempt to load "nt" at given base 00000000`00000000.
    
    Please provide the full image name, including the extension (i.e. kernel32.dll)
    for more reliable results.Base address and size overrides can be given as
    .reload <image.ext>=<base>,<size>.
    Unable to load image nt, Win32 error 0n2
    Unable to add module at 00000000`00000000
    Debugger can not determine kernel base address
    Windows Server 2003 Kernel Version 3790 (Service Pack 1) MP (8 procs) Free x64
    Product: Server, suite: TerminalServer
    Machine Name:
    Kernel base = 0xfffff800`01000000 PsLoadedModuleList = 0xfffff800`011ad0c0
    Debug session time: Fri Feb 19 11:20:02.661 2010 (GMT+8)
    System Uptime: 1 days 13:36:17.265
    
    "nt" was not found in the image list.
    Debugger will attempt to load "nt" at given base 00000000`00000000.
    
    Please provide the full image name, including the extension (i.e. kernel32.dll)
    for more reliable results.Base address and size overrides can be given as
    .reload <image.ext>=<base>,<size>.
    Unable to load image nt, Win32 error 0n2
    Unable to add module at 00000000`00000000
    Debugger can not determine kernel base address
    Loading Kernel Symbols
    
    Loading User Symbols
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    Use !analyze -v to get detailed debugging information.
    
    BugCheck 1E, {ffffffffc0000005, fffff97fff13b648, 0, 18}
    
    ***** Debugger could not find nt in module list, module list might be corrupt, error 0x80070057.
    
    Probably caused by : Unknown_Image ( ANALYSIS_INCONCLUSIVE )
    
    Followup: MachineOwner
    ---------
    
    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************
    
    KMODE_EXCEPTION_NOT_HANDLED (1e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Arguments:
    Arg1: ffffffffc0000005, The exception code that was not handled
    Arg2: fffff97fff13b648, The address that the exception occurred at
    Arg3: 0000000000000000, Parameter 0 of the exception
    Arg4: 0000000000000018, Parameter 1 of the exception
    
    Debugging Details:
    ------------------
    
    ***** Debugger could not find nt in module list, module list might be corrupt, error 0x80070057.
    
    
    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".
    
    FAULTING_IP: 
    +0
    fffff97f`ff13b648 ??              ???
    
    EXCEPTION_PARAMETER1:  0000000000000000
    
    EXCEPTION_PARAMETER2:  0000000000000018
    
    READ_ADDRESS: unable to get nt!MmSpecialPoolStart
    unable to get nt!MmSpecialPoolEnd
    unable to get nt!MmPoolCodeStart
    unable to get nt!MmPoolCodeEnd
     0000000000000018 
    
    CUSTOMER_CRASH_COUNT:  1
    
    DEFAULT_BUCKET_ID:  DRIVER_FAULT_SERVER_MINIDUMP
    
    BUGCHECK_STR:  0x1E
    
    CURRENT_IRQL:  0
    
    LAST_CONTROL_TRANSFER:  from fffffadf2965f759 to fffffadf2965fb42
    
    STACK_TEXT:  
    fffff800`00069d68 fffffadf`2965f759 : 00000000`00000010 00000000`00000246 fffff800`00069d90 fffffadf`3574dbd0 : 0xfffffadf`2965fb42
    fffff800`00069d70 00000000`00000010 : 00000000`00000246 fffff800`00069d90 fffffadf`3574dbd0 fffff800`0118b450 : 0xfffffadf`2965f759
    fffff800`00069d78 00000000`00000246 : fffff800`00069d90 fffffadf`3574dbd0 fffff800`0118b450 fffff800`010576f6 : 0x10
    fffff800`00069d80 fffff800`00069d90 : fffffadf`3574dbd0 fffff800`0118b450 fffff800`010576f6 fffff800`0118b450 : 0x246
    fffff800`00069d88 fffffadf`3574dbd0 : fffff800`0118b450 fffff800`010576f6 fffff800`0118b450 fffff800`0118d940 : 0xfffff800`00069d90
    fffff800`00069d90 fffff800`0118b450 : fffff800`010576f6 fffff800`0118b450 fffff800`0118d940 fffffadf`3574dbd0 : 0xfffffadf`3574dbd0
    fffff800`00069d98 fffff800`010576f6 : fffff800`0118b450 fffff800`0118d940 fffffadf`3574dbd0 fffff800`0118ddc0 : 0xfffff800`0118b450
    fffff800`00069da0 fffff800`0118b450 : fffff800`0118d940 fffffadf`3574dbd0 fffff800`0118ddc0 fffffadf`3574dbd0 : 0xfffff800`010576f6
    fffff800`00069da8 fffff800`0118d940 : fffffadf`3574dbd0 fffff800`0118ddc0 fffffadf`3574dbd0 fffff800`0107191e : 0xfffff800`0118b450
    fffff800`00069db0 fffffadf`3574dbd0 : fffff800`0118ddc0 fffffadf`3574dbd0 fffff800`0107191e fffff800`01189180 : 0xfffff800`0118d940
    fffff800`00069db8 fffff800`0118ddc0 : fffffadf`3574dbd0 fffff800`0107191e fffff800`01189180 fffff800`01189180 : 0xfffffadf`3574dbd0
    fffff800`00069dc0 fffffadf`3574dbd0 : fffff800`0107191e fffff800`01189180 fffff800`01189180 fffff800`0118d500 : 0xfffff800`0118ddc0
    fffff800`00069dc8 fffff800`0107191e : fffff800`01189180 fffff800`01189180 fffff800`0118d500 fffffadf`3574dbd0 : 0xfffffadf`3574dbd0
    fffff800`00069dd0 fffff800`01189180 : fffff800`01189180 fffff800`0118d500 fffffadf`3574dbd0 00000000`00000086 : 0xfffff800`0107191e
    fffff800`00069dd8 fffff800`01189180 : fffff800`0118d500 fffffadf`3574dbd0 00000000`00000086 fffff800`013fc1d1 : 0xfffff800`01189180
    fffff800`00069de0 fffff800`0118d500 : fffffadf`3574dbd0 00000000`00000086 fffff800`013fc1d1 00000000`00000000 : 0xfffff800`01189180
    fffff800`00069de8 fffffadf`3574dbd0 : 00000000`00000086 fffff800`013fc1d1 00000000`00000000 00000000`00000000 : 0xfffff800`0118d500
    fffff800`00069df0 00000000`00000086 : fffff800`013fc1d1 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffffadf`3574dbd0
    fffff800`00069df8 fffff800`013fc1d1 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x86
    fffff800`00069e00 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffff800`013fc1d1
    
    
    STACK_COMMAND:  kb
    
    SYMBOL_NAME:  ANALYSIS_INCONCLUSIVE
    
    FOLLOWUP_NAME:  MachineOwner
    
    MODULE_NAME: Unknown_Module
    
    IMAGE_NAME:  Unknown_Image
    
    DEBUG_FLR_IMAGE_TIMESTAMP:  0
    
    BUCKET_ID:  CORRUPT_MODULELIST
    
    Followup: MachineOwner
    ---------
    
    
    Только вот расшифровывать я это не умею (опыта нет)
    23 февраля 2010 г. 7:49
  • Попробуйте во этим. Очень простой инструмент, просто укажите путь к файлу минидампа и программа Вам покажет возможных виновников.

    http://www.nirsoft.net/utils/blue_screen_view.html

    сила в справедливости
    23 февраля 2010 г. 16:07
  • Спасибо за ссылку, очень удобно. Анализируя старый дамп эта штука показала причинный драйвер, а вот у этого дампа к сожалению нет.

    23 февраля 2010 г. 16:55
  • И не покажет к сожалению. Файл дампа создался не полностью. Измените в настройках этих клиентов создание дампа с мини на полный дамп и при очередном BSOD проанализируйте его. А вообще, подозреваю, что проблема в банальном перегреве - был в моей практике аналогичный случай.
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    25 февраля 2010 г. 9:30
    Модератор