Çözüldü 2 aylık sistemde mavi ekran hatası

Bu konu çözüldü olarak işaretlenmiştir. Çözülmediğini düşünüyorsanız konuyu rapor edebilirsiniz.
İşletim sistemi
Windows 11
W

Weunder

Kilopat
Katılım
9 Haziran 2017
Mesajlar
11
Daha fazla  
Cinsiyet
Erkek
İşletim sistemi: Windows 11.
Ekran kartı: ASUS 4080 ROG STRIX 16 GB.
Anakart: ASUS Prime X670/P/CSM
RAM: 32,0 GB.
SSD: 990Pro 2TB / 980Pro 2TB.
HDD: WD 2TB.
İşlemci: AMD Ryzen 9 7950x3D 16-Core Processor 4.20 GHz.
PSU: ASUS TUF GAMİNG/750B

Merhaba, 2 ayda 5 kere mavi ekran hatası aldım. Tasarım ve edit işleri ile uğraşıyorum, mavi ekranın tüm uğraşımı çöpe atma ihtimali var.
Memtest yaptım, iki buçuk saat sürdü ve hiç hata bulunamadı. Güç kaynağından olma ihtimali var mıdır? Yardımcı olursanız sevinirim, teşekkürler.

minidumps - Google Drive
 
Çözüm
181951
Öncelik olarak RAM testi isteme sebebim, 1 bitlik bir bellek bozulması hatasını halihazırda almış olman.
Rich (BB code): 
MODULE_NAME: hardware

IMAGE_NAME: memory_corruption

STACK_COMMAND: .cxr; .ecxr ; kb

FAILURE_BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT

Diğer dosyalara da bakarsak:

Rich (BB code): 
MEMORY_MANAGEMENT (1a)
 # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000041791, The subtype of the BugCheck. << herhangi bir karşılığı yok.
Arg2: ffffeb0011b24bf0
Arg3: ffffe25119b70248
Arg4: 00000000000100a9

Hatayı veren afd sürücüsü, yani Windows Ancillary Function Driver for Winsock Türkçe adıyla yardımcı işlev sürücüsü, sistemin Ağ Arabirim Kartı (NIC) ile ilişkili bir sürücüdür. Sistem açıldığında başlar ve Winsock TCP/IP ağ protokolünden sorumlu olarak devam eder. Buradan anladığımız kadarıyla, sistemin ağ/internet kısmında bir sıkıntı var. Çağrılara bakılırsa Afd sürücüsü bir sevkiyat/taşıma sırasında çekirdek temizliğine girişiyor. Halihazırda NT! IofCallDriver ile çağrıldığı için belirli bir irp değeri içim G/Ç kontrolü yapıyor. Sistem de bu noktada bir aygıt objesi atıyor. Bizim buradaki amacımız onu bulmak.
Rich (BB code): 
26: kd> k
 # Child-SP RetAddr Call Site
00 ffffc986`f00dee88 fffff805`06c15cd6 nt!KeBugCheckEx
01 ffffc986`f00dee90 fffff805`06c14d0f nt!MmUnlockPages+0x656
02 ffffc986`f00def30 fffff805`06c14867 nt!IopfCompleteRequest+0x48f
03 ffffc986`f00df010 fffff805`0b97d180 nt!IofCompleteRequest+0x17
04 ffffc986`f00df040 fffff805`0b97d08d afd!AfdCompleteIrpListEx+0xc4
05 ffffc986`f00df070 fffff805`0b97cab3 afd!AfdCompleteIrpList+0x5d
06 ffffc986`f00df0d0 fffff805`0b97c669 afd!AfdCleanupCore+0x437
07 ffffc986`f00df1c0 fffff805`0b97af3c afd!AfdCleanup+0x3d
08 ffffc986`f00df200 fffff805`06cebef5 afd!AfdDispatch+0xbc
09 ffffc986`f00df240 fffff805`070f998f nt!IofCallDriver+0x55
0a ffffc986`f00df280 fffff805`07143843 nt!IopCloseFile+0x18f
0b ffffc986`f00df310 fffff805`071403a9 nt!ObpCloseHandle+0x313
0c ffffc986`f00df430 fffff805`06e2bbe8 nt!NtClose+0x39
0d ffffc986`f00df460 00007ffd`eebef554 nt!KiSystemServiceCopyEnd+0x28
0e 00000027`603fe848 00000000`00000000 0x00007ffd`eebef554

Ayrıca, hatalı sürücü sistemde şu an geçersiz bir durumda. Bu da geçersiz bir bellek erişimi sonrası mavi ekran ihtimali olabileceğini düşündürüyor.
Rich (BB code): 
26: kd> !pte ffffe25119b70248
 VA ffffa2336e049000
PXE at FFFFE271389C4A20 PPE at FFFFE27138944668 PDE at FFFFE271288CDB80 PTE at FFFFE25119B70248
contains 0000000000000000
contains 0000000000000000
not valid

Devam edip ilgili aygıta bakarsak, Realtek internet sürücüsü olduğunu görürüz.
Rich (BB code): 
11: kd> !devobj
Device object (ffffcd0d07e7c030) is for:
 InfoMask field not found for _OBJECT_HEADER at ffffcd0d07e7c000
 \Driver\rt25cx21x64 DriverObject ffffcd0d04372a60

Sürücüsünü güncelle, eski bir sürücü.
Rich (BB code): 
26: kd> lmDvmrt25cx21x64
Browse full module list
start end module name
fffff805`608f0000 fffff805`60990000 rt25cx21x64 (deferred)
 Image path: rt25cx21x64.sys
 Image name: rt25cx21x64.sys
 Browse all global symbols functions data
 Timestamp: Tue Jun 14 12:23:24 2022 (62A8538C)
 CheckSum: 000A9783
 ImageSize: 000A0000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:


Rich (BB code): 
SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the BugCheck
Arg2: fffff8041ecf3d80, Address of the instruction which caused the BugCheck
Arg3: ffffcf8725dcdb30, Address of the context record for the exception that caused the BugCheck
Arg4: 0000000000000000, zero.
Bu mavi ekrana sebep olan komut adresinin sayfa girdilerine bakarsak bir large page olduğunu görüyoruz.

bu tür large Page'lerin kendine ait sayfa girdileri olmadığı için pde kısmına ya da havuzdaki iş parçacıklarının çağrı yığınlarına bakmamız gerekiyor:
Rich (BB code): 
18: kd> !pte fffff8041ecf3d80
 VA fffff8041ecf3d80
PXE at FFFFD2E974BA5F80 PPE at FFFFD2E974BF0080 PDE at FFFFD2E97E0107B0 PTE at FFFFD2FC020F6798
contains 000000085DE0B063 contains 000000085DE0C063 contains 0A000001240001A1 contains 0000000000000000
pfn 85de0b ---DA--KWEV pfn 85de0c ---DA--KWEV pfn 124000 -GL-A--KREV LARGE PAGE pfn 1240f3

Kaspersky'ı kaldırman gerekiyor.
Rich (BB code): 
18: kd> k
 *** Stack trace for last set context - .thread/.cxr resets it
 # Child-SP RetAddr Call Site
00 ffffcf87`25dce550 fffff804`1f15c7b9 nt!SeSecurityAttributePresent+0x40
01 ffffcf87`25dce580 fffff804`1f15c75c nt!PsQueryProcessAttributesByToken+0x29
02 ffffcf87`25dce5b0 fffff804`1f0aa307 nt!PsQueryProcessAttributes+0x38
03 ffffcf87`25dce5e0 fffff804`1f0df4fa nt!ExpGetProcessInformation+0x757
04 ffffcf87`25dcebf0 fffff804`1f0de72d nt!ExpQuerySystemInformation+0xd6a
Unable to load image klflt.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for klflt.sys
05 ffffcf87`25dcf420 fffff804`1ee2bce8 nt!NtQuerySystemInformation+0x5d
06 ffffcf87`25dcf460 00007ffa`e3d4fa34 nt!KiSystemServiceCopyEnd+0x28
07 00000079`320fd8a8 00000000`00000000 0x00007ffa`e3d4fa34

Aynı şekilde 3.argümandaki context adresine bakarsak
Rich (BB code): 
CONTEXT: ffffcf8725dcdb30 -- (.cxr 0xffffcf8725dcdb30)
rax=ffffbe8213dd8080 rbx=fffe92007d12e0d0 rcx=fffe92007d12e0a0
rdx=fffff8041f476a01 rsi=fffe92007d12e0a0 rdi=fffe92007d12e001
rip=fffff8041ecf3d80 rsp=ffffcf8725dce550 rbp=fffff8041f476a98
 r8=0000000000000000 r9=7ffffffffffffffc r10=00000000000001e9
r11=0000000000000000 r12=ffffbe820d840080 r13=0000000000000000
r14=000001d41fc12b98 r15=000001d41fc12d08
iopl=0 nv up ei ng nz ac po cy
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00050297
nt!SeSecurityAttributePresent+0x40:
fffff804`1ecf3d80 488b0b mov rcx,qword ptr [rbx] ds:002b:fffe9200`7d12e0d0=????????????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

Buradaki referans adresinin Windows tarafından kullanılmayan bir adres alanına erişimi sonucu bir pagefault yarattığı görünüyor. O yüzden dosyada güvenlik açığı üzerine oluşmuş.
Rich (BB code): 
18: kd> !pte fffe9200`7d12e0d0
 VA fffe92007d12e0d0
PXE at FFFFD2E974BA5920 PPE at FFFFD2E974B24008 PDE at FFFFD2E964801F40 PTE at FFFFD2C9003E8970
Unable to get PXE FFFFD2E974BA5920
WARNING: noncanonical VA, accesses will fault !

Aynı şekilde kanonik olmayan bir kısım da var.
Rich (BB code): 
18: kd> .formats fffe9200`7d12e0d0
Evaluate expression:
 Hex: fffe9200`7d12e0d0
 Decimal: -402419157376816
 Octal: 1777764440017504560320
 Binary: 11111111 11111110 10010010 00000000 01111101 00010010 11100000 11010000
 Chars: ....}...
 Time: ***** Invalid FILETIME
 Float: low 1.22022e+037 high -1.#QNAN
 Double: -1.#QNAN

Tabii oluşan dosyadaki argümanlarda her şey geçersiz adreslerden oluştuğu için daha fazla devam edemedim. Kaspersky'ı kaldır.

Bir de ek olarak.

Rich (BB code): 
18: kd> u
nt!SeSecurityAttributePresent+0x40:
fffff804`1ecf3d80 488b0b mov rcx,qword ptr [rbx]
fffff804`1ecf3d83 e82864f7ff call  nt!ExAcquireResourceSharedLite (fffff804`1ec6a1b0)
fffff804`1ecf3d88 488b8e08030000 mov rcx,qword ptr [rsi+308h]
fffff804`1ecf3d8f 488bd5 mov rdx,rbp
fffff804`1ecf3d92 e85963f8ff call nt!AuthzBasepFindSecurityAttribute (fffff804`1ec7a0f0)
fffff804`1ecf3d97 4885c0 test rax,rax
fffff804`1ecf3d9a 400f95c6 setne sil
fffff804`1ecf3d9e 4084ff test dil,dil

Rich (BB code): 
0xffffcf8725dce3c0 : 0x0000000000040246 : Trap @ ffffcf8725dce3c0
0xffffcf8725dce400 : 0xfffff8041f476a01 : nt!NlsDirectoryName+0x69
0xffffcf8725dce440 : 0x00740073006f0068 : !du "host.exeVolume3\Windows\System32"
0xffffcf8725dce508 : 0xfffff8041ecedf2c : nt!ExAcquirePushLockSharedEx+0x11c

Buradaki mesele, sistem çekirdeğine kadar kaymış. Risk oranını bilemiyorum ama o da bir detay olarak kalsın.

Rich (BB code): 
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: ffffb4800d0b5278, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, bitfield :
 bit 0 : value 0 = read operation, 1 = write operation
 bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff80324453b99, address which referenced memory

21: kd> ln fffff80324453b99
Browse module
Set bu breakpoint

(fffff803`244537f0) nt!MiDecommitPages+0x3a9 | (fffff803`244546d0) nt!MiDeletePteWsleCluster

fffff803`244546d0 4053 push rbx
fffff803`244546d2 55 push rbp
fffff803`244546d3 56 push rsi
fffff803`244546d4 57 push rdi
fffff803`244546d5 4881ec08010000 sub rsp,108h
fffff803`244546dc 488b05ad869b00 mov rax,qword ptr [nt!_security_cookie (fffff803`24e0cd90)]
fffff803`244546e3 4833c4 xor rax,rsp
fffff803`244546e6 48898424f0000000 mov qword ptr [rsp+0F0h],rax

21: kd> !pte ffffb4800d0b5278
 VA ffffb4800d0b5278
PXE at FFFFD4EA753A9B48 PPE at FFFFD4EA75369000 PDE at FFFFD4EA6D200340 PTE at FFFFD4DA400685A8
contains 0000000000000000
contains 0000000000000000
not valid
Burada geçersiz bellek erişimi ve güvenlik ihlali sebebiyle bir pagefault var. Grafik alt biriminde olmuş. Dosya yeni değil o yüzden sürücü kısmında yanılıyor olabilirim.

Hem AMD, hem NVIDIA ekran kartı sürücülerini güncelle. Klasik bir ekran kartı/bellek erişimi olayı.
21: kd> kV
# Child-SP RetAddr : Args to Child : Call Site
00 ffffbb06`c53910f8 fffff803`2462c4e9 : 00000000`0000000a ffffb480`0d0b5278 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
01 ffffbb06`c5391100 fffff803`24627a34 : fffff803`24e6b0c0 00000000`006ffdbb 000001eb`3ae00000 00000000`00000000 : nt!KiBugCheckDispatch+0x69
02 ffffbb06`c5391240 fffff803`24453b99 : ffffbe0c`4fbbb740 00000000`00000000 00000000`00000002 ffffd4ea`407aceb8 : nt!KiPageFault+0x474 (TrapFrame @ ffffbb06`c5391240)
03 ffffbb06`c53913d0 fffff803`249084d0 : ffffbe0c`4c9b3b60 ffffbe0c`4fbbb588 00000000`00000000 fffff803`244a540c : nt!MiDecommitPages+0x3a9
04 ffffbb06`c5391e20 fffff803`249092ab : 00000000`00000000 00000000`00000000 ffffbb06`c5391f10 00000000`00000000 : nt!MiDecommitRegion+0x80
05 ffffbb06`c5391ed0 fffff803`24908f75 : fffff803`24200000 ffffaa00`1aa2f210 ffffaa00`1aa2f220 ffffaa00`1aa2f220 : nt!MmFreeVirtualMemory+0x2fb
06 ffffbb06`c5392010 fffff803`2462bbe8 : ffffbe0c`473e9040 00000000`00000000 00000000`00000000 ffffaa0f`2e000000 : nt!NtFreeVirtualMemory+0x95
07 ffffbb06`c5392070 fffff803`2461c4d0 : fffff803`95287f95 00000000`00000000 fffff803`9528a57f ffffaa00`1b73ac88 : nt!KiSystemServiceCopyEnd+0x28 (TrapFrame @ ffffbb06`c5392070)
08 ffffbb06`c5392208 fffff803`95287f95 : 00000000`00000000 fffff803`9528a57f ffffaa00`1b73ac88 fffff803`9529a63a : nt!KiServiceLinkage
09 ffffbb06`c5392210 fffff803`952872f3 : 00000000`00400000 ffffbe0c`493e2ed8 ffffbe0c`493e28c0 ffffbe0c`493e28c0 : dxgmms2!VIDMM_RECYCLE_RANGE::DebouncedDecommit+0x155
0a ffffbb06`c5392260 fffff803`95287028 : ffffbe0c`493e28c0 ffffbe0c`493e28c0 ffffbb06`c5392480 00000000`00000000 : dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x213
0b ffffbb06`c53922d0 fffff803`24434f85 : ffffbe0c`2eb31cf0 ffffbe0c`473e9000 ffffbe0c`00000000 fffff803`00000000 : dxgmms2!VidMmRangeCurationThread+0x88
0c ffffbb06`c5392380 fffff803`24507167 : ffffbe0c`473e9040 00000000`000000a8 ffffbe0c`473e9040 fffff803`24434e30 : nt!ExpWorkerThread+0x155
0d ffffbb06`c5392570 fffff803`2461bb94 : ffffe500`9af98180 ffffbe0c`473e9040 fffff803`24507110 00000000`00000246 : nt!PspSystemThreadStartup+0x57
0e ffffbb06`c53925c0 00000000`00000000 : ffffbb06`c5393000 ffffbb06`c538c000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34
21: kd> ub
dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x1eb:
fffff803`952872cb ebeb jmp dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x1d8 (fffff803`952872b8)
fffff803`952872cd 488b3f mov rdi,qword ptr [rdi]
fffff803`952872d0 498bd6 mov rdx,r14
fffff803`952872d3 e838320000 call dxgmms2!VIDMM_RECYCLE_HEAP_MGR::RemoveFromDebounce (fffff803`9528a510)
fffff803`952872d8 488d942488000000 lea rdx,[rsp+88h]
fffff803`952872e0 c784248800000000000000 mov dword ptr [rsp+88h],0
fffff803`952872eb 498bce mov rcx,r14
fffff803`952872ee e84d0b0000 call dxgmms2!VIDMM_RECYCLE_RANGE::DebouncedDecommit (fffff803`95287e40)
Rich (BB code): 
21: kd> lmDvmamdkmdag
Browse full module list
start end module name
fffff803`95360000 fffff803`9b931000 amdkmdag (deferred)
 Image path: amdkmdag.sys
 Image name: amdkmdag.sys
 Browse all global symbols functions data
 Timestamp: Wed Oct 25 17:46:53 2023 (65392A5D)
 CheckSum: 06586471
 ImageSize: 065D1000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:
21: kd> lmDvmnvlddmkm
Browse full module list
start end module name
fffff803`7a680000 fffff803`7df9d000 nvlddmkm (deferred)
 Image path: nvlddmkm.sys
 Image name: nvlddmkm.sys
 Browse all global symbols functions data
 Timestamp: Wed Dec 6 21:23:29 2023 (6570BC21)
 CheckSum: 038052EB
 ImageSize: 0391D000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:

Bakmadığım 1 dosya daha var ama ona da istersen sonra bakarız. RAM bilgilerine dosyalardan erişemiyorum maalesef ama XMP/EXPO/DOCP ayarını kapatıp sistemi öyle kullan yukarıdakilere ek olarak.
Tarihe göre sırala Puana göre sırala
Weunder dedi:
İşletim sistemi: Windows 11.
Ekran kartı: ASUS 4080 ROG STRIX 16 GB.
Anakart: ASUS Prime X670/P/CSM
RAM: 32,0 GB.
SSD: 990Pro 2TB / 980Pro 2TB.
HDD: WD 2TB.
İşlemci: AMD Ryzen 9 7950x3D 16-Core Processor 4.20 GHz.
PSU: ASUS TUF GAMİNG/750B

Merhaba, 2 ayda 5 kere mavi ekran hatası aldım. Tasarım ve edit işleri ile uğraşıyorum, mavi ekranın tüm uğraşımı çöpe atma ihtimali var.
Memtest yaptım, iki buçuk saat sürdü ve hiç hata bulunamadı. Güç kaynağından olma ihtimali var mıdır? Yardımcı olursanız sevinirim, teşekkürler.

minidumps - Google Drive
Genişletmek için tıkla...
OCCT ile sırasıyla işlemci ekran kartı ram ve power testi yapın.
 
Artı 0 Eksi
RAM'leri test edip sonucu bildirir misin?

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.
 
Artı 0 Eksi

Dosya Ekleri

  • IMG-20240305-WA0004.jpg
    IMG-20240305-WA0004.jpg
    132,1 KB · Görüntüleme: 14
  • IMG-20240305-WA0003.jpg
    IMG-20240305-WA0003.jpg
    89,3 KB · Görüntüleme: 6
  • IMG-20240305-WA0002.jpg
    IMG-20240305-WA0002.jpg
    145,1 KB · Görüntüleme: 15
  • IMG-20240305-WA0001.jpg
    IMG-20240305-WA0001.jpg
    197,3 KB · Görüntüleme: 7
Artı 0 Eksi
Weunder dedi:
Teşekkürler deneyince sonuçları yazacağım.


Buyurun.
Genişletmek için tıkla...
OCCT testlerini yap 30'ar dakikadan. Hatta işlemciyi 2 kere test et. Önce hiçbir ayarı değiştirmeden 15 30 dakika falan test et başında bekle sıcaklıklarını falan kontrol et. Hata çıkarsa o yazı olan kısımda yazar. Bitince işlemci kısmında yine CPU configuration kısmında data set'i small yapıp yine test et. Yine sorun, hata yoksa Ram ve ekran kartı test et. Sırasıyla memory, 3d standart, adaptive ve vram. En son power.
 
Artı 0 Eksi
Öncelik olarak RAM testi isteme sebebim, 1 bitlik bir bellek bozulması hatasını halihazırda almış olman.
Rich (BB code): 
MODULE_NAME: hardware

IMAGE_NAME: memory_corruption

STACK_COMMAND: .cxr; .ecxr ; kb

FAILURE_BUCKET_ID: MEMORY_CORRUPTION_ONE_BIT

Diğer dosyalara da bakarsak:

Rich (BB code): 
MEMORY_MANAGEMENT (1a)
 # Any other values for parameter 1 must be individually examined.
Arguments:
Arg1: 0000000000041791, The subtype of the BugCheck. << herhangi bir karşılığı yok.
Arg2: ffffeb0011b24bf0
Arg3: ffffe25119b70248
Arg4: 00000000000100a9

Hatayı veren afd sürücüsü, yani Windows Ancillary Function Driver for Winsock Türkçe adıyla yardımcı işlev sürücüsü, sistemin Ağ Arabirim Kartı (NIC) ile ilişkili bir sürücüdür. Sistem açıldığında başlar ve Winsock TCP/IP ağ protokolünden sorumlu olarak devam eder. Buradan anladığımız kadarıyla, sistemin ağ/internet kısmında bir sıkıntı var. Çağrılara bakılırsa Afd sürücüsü bir sevkiyat/taşıma sırasında çekirdek temizliğine girişiyor. Halihazırda NT! IofCallDriver ile çağrıldığı için belirli bir irp değeri içim G/Ç kontrolü yapıyor. Sistem de bu noktada bir aygıt objesi atıyor. Bizim buradaki amacımız onu bulmak.
Rich (BB code): 
26: kd> k
 # Child-SP RetAddr Call Site
00 ffffc986`f00dee88 fffff805`06c15cd6 nt!KeBugCheckEx
01 ffffc986`f00dee90 fffff805`06c14d0f nt!MmUnlockPages+0x656
02 ffffc986`f00def30 fffff805`06c14867 nt!IopfCompleteRequest+0x48f
03 ffffc986`f00df010 fffff805`0b97d180 nt!IofCompleteRequest+0x17
04 ffffc986`f00df040 fffff805`0b97d08d afd!AfdCompleteIrpListEx+0xc4
05 ffffc986`f00df070 fffff805`0b97cab3 afd!AfdCompleteIrpList+0x5d
06 ffffc986`f00df0d0 fffff805`0b97c669 afd!AfdCleanupCore+0x437
07 ffffc986`f00df1c0 fffff805`0b97af3c afd!AfdCleanup+0x3d
08 ffffc986`f00df200 fffff805`06cebef5 afd!AfdDispatch+0xbc
09 ffffc986`f00df240 fffff805`070f998f nt!IofCallDriver+0x55
0a ffffc986`f00df280 fffff805`07143843 nt!IopCloseFile+0x18f
0b ffffc986`f00df310 fffff805`071403a9 nt!ObpCloseHandle+0x313
0c ffffc986`f00df430 fffff805`06e2bbe8 nt!NtClose+0x39
0d ffffc986`f00df460 00007ffd`eebef554 nt!KiSystemServiceCopyEnd+0x28
0e 00000027`603fe848 00000000`00000000 0x00007ffd`eebef554

Ayrıca, hatalı sürücü sistemde şu an geçersiz bir durumda. Bu da geçersiz bir bellek erişimi sonrası mavi ekran ihtimali olabileceğini düşündürüyor.
Rich (BB code): 
26: kd> !pte ffffe25119b70248
 VA ffffa2336e049000
PXE at FFFFE271389C4A20 PPE at FFFFE27138944668 PDE at FFFFE271288CDB80 PTE at FFFFE25119B70248
contains 0000000000000000
contains 0000000000000000
not valid

Devam edip ilgili aygıta bakarsak, Realtek internet sürücüsü olduğunu görürüz.
Rich (BB code): 
11: kd> !devobj
Device object (ffffcd0d07e7c030) is for:
 InfoMask field not found for _OBJECT_HEADER at ffffcd0d07e7c000
 \Driver\rt25cx21x64 DriverObject ffffcd0d04372a60

Sürücüsünü güncelle, eski bir sürücü.
Rich (BB code): 
26: kd> lmDvmrt25cx21x64
Browse full module list
start end module name
fffff805`608f0000 fffff805`60990000 rt25cx21x64 (deferred)
 Image path: rt25cx21x64.sys
 Image name: rt25cx21x64.sys
 Browse all global symbols functions data
 Timestamp: Tue Jun 14 12:23:24 2022 (62A8538C)
 CheckSum: 000A9783
 ImageSize: 000A0000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:


Rich (BB code): 
SYSTEM_SERVICE_EXCEPTION (3b)
An exception happened while executing a system service routine.
Arguments:
Arg1: 00000000c0000005, Exception code that caused the BugCheck
Arg2: fffff8041ecf3d80, Address of the instruction which caused the BugCheck
Arg3: ffffcf8725dcdb30, Address of the context record for the exception that caused the BugCheck
Arg4: 0000000000000000, zero.
Bu mavi ekrana sebep olan komut adresinin sayfa girdilerine bakarsak bir large page olduğunu görüyoruz.

bu tür large Page'lerin kendine ait sayfa girdileri olmadığı için pde kısmına ya da havuzdaki iş parçacıklarının çağrı yığınlarına bakmamız gerekiyor:
Rich (BB code): 
18: kd> !pte fffff8041ecf3d80
 VA fffff8041ecf3d80
PXE at FFFFD2E974BA5F80 PPE at FFFFD2E974BF0080 PDE at FFFFD2E97E0107B0 PTE at FFFFD2FC020F6798
contains 000000085DE0B063 contains 000000085DE0C063 contains 0A000001240001A1 contains 0000000000000000
pfn 85de0b ---DA--KWEV pfn 85de0c ---DA--KWEV pfn 124000 -GL-A--KREV LARGE PAGE pfn 1240f3

Kaspersky'ı kaldırman gerekiyor.
Rich (BB code): 
18: kd> k
 *** Stack trace for last set context - .thread/.cxr resets it
 # Child-SP RetAddr Call Site
00 ffffcf87`25dce550 fffff804`1f15c7b9 nt!SeSecurityAttributePresent+0x40
01 ffffcf87`25dce580 fffff804`1f15c75c nt!PsQueryProcessAttributesByToken+0x29
02 ffffcf87`25dce5b0 fffff804`1f0aa307 nt!PsQueryProcessAttributes+0x38
03 ffffcf87`25dce5e0 fffff804`1f0df4fa nt!ExpGetProcessInformation+0x757
04 ffffcf87`25dcebf0 fffff804`1f0de72d nt!ExpQuerySystemInformation+0xd6a
Unable to load image klflt.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for klflt.sys
05 ffffcf87`25dcf420 fffff804`1ee2bce8 nt!NtQuerySystemInformation+0x5d
06 ffffcf87`25dcf460 00007ffa`e3d4fa34 nt!KiSystemServiceCopyEnd+0x28
07 00000079`320fd8a8 00000000`00000000 0x00007ffa`e3d4fa34

Aynı şekilde 3.argümandaki context adresine bakarsak
Rich (BB code): 
CONTEXT: ffffcf8725dcdb30 -- (.cxr 0xffffcf8725dcdb30)
rax=ffffbe8213dd8080 rbx=fffe92007d12e0d0 rcx=fffe92007d12e0a0
rdx=fffff8041f476a01 rsi=fffe92007d12e0a0 rdi=fffe92007d12e001
rip=fffff8041ecf3d80 rsp=ffffcf8725dce550 rbp=fffff8041f476a98
 r8=0000000000000000 r9=7ffffffffffffffc r10=00000000000001e9
r11=0000000000000000 r12=ffffbe820d840080 r13=0000000000000000
r14=000001d41fc12b98 r15=000001d41fc12d08
iopl=0 nv up ei ng nz ac po cy
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00050297
nt!SeSecurityAttributePresent+0x40:
fffff804`1ecf3d80 488b0b mov rcx,qword ptr [rbx] ds:002b:fffe9200`7d12e0d0=????????????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

Buradaki referans adresinin Windows tarafından kullanılmayan bir adres alanına erişimi sonucu bir pagefault yarattığı görünüyor. O yüzden dosyada güvenlik açığı üzerine oluşmuş.
Rich (BB code): 
18: kd> !pte fffe9200`7d12e0d0
 VA fffe92007d12e0d0
PXE at FFFFD2E974BA5920 PPE at FFFFD2E974B24008 PDE at FFFFD2E964801F40 PTE at FFFFD2C9003E8970
Unable to get PXE FFFFD2E974BA5920
WARNING: noncanonical VA, accesses will fault !

Aynı şekilde kanonik olmayan bir kısım da var.
Rich (BB code): 
18: kd> .formats fffe9200`7d12e0d0
Evaluate expression:
 Hex: fffe9200`7d12e0d0
 Decimal: -402419157376816
 Octal: 1777764440017504560320
 Binary: 11111111 11111110 10010010 00000000 01111101 00010010 11100000 11010000
 Chars: ....}...
 Time: ***** Invalid FILETIME
 Float: low 1.22022e+037 high -1.#QNAN
 Double: -1.#QNAN

Tabii oluşan dosyadaki argümanlarda her şey geçersiz adreslerden oluştuğu için daha fazla devam edemedim. Kaspersky'ı kaldır.

Bir de ek olarak.

Rich (BB code): 
18: kd> u
nt!SeSecurityAttributePresent+0x40:
fffff804`1ecf3d80 488b0b mov rcx,qword ptr [rbx]
fffff804`1ecf3d83 e82864f7ff call  nt!ExAcquireResourceSharedLite (fffff804`1ec6a1b0)
fffff804`1ecf3d88 488b8e08030000 mov rcx,qword ptr [rsi+308h]
fffff804`1ecf3d8f 488bd5 mov rdx,rbp
fffff804`1ecf3d92 e85963f8ff call nt!AuthzBasepFindSecurityAttribute (fffff804`1ec7a0f0)
fffff804`1ecf3d97 4885c0 test rax,rax
fffff804`1ecf3d9a 400f95c6 setne sil
fffff804`1ecf3d9e 4084ff test dil,dil

Rich (BB code): 
0xffffcf8725dce3c0 : 0x0000000000040246 : Trap @ ffffcf8725dce3c0
0xffffcf8725dce400 : 0xfffff8041f476a01 : nt!NlsDirectoryName+0x69
0xffffcf8725dce440 : 0x00740073006f0068 : !du "host.exeVolume3\Windows\System32"
0xffffcf8725dce508 : 0xfffff8041ecedf2c : nt!ExAcquirePushLockSharedEx+0x11c

Buradaki mesele, sistem çekirdeğine kadar kaymış. Risk oranını bilemiyorum ama o da bir detay olarak kalsın.

Rich (BB code): 
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: ffffb4800d0b5278, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000000, bitfield :
 bit 0 : value 0 = read operation, 1 = write operation
 bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: fffff80324453b99, address which referenced memory

21: kd> ln fffff80324453b99
Browse module
Set bu breakpoint

(fffff803`244537f0) nt!MiDecommitPages+0x3a9 | (fffff803`244546d0) nt!MiDeletePteWsleCluster

fffff803`244546d0 4053 push rbx
fffff803`244546d2 55 push rbp
fffff803`244546d3 56 push rsi
fffff803`244546d4 57 push rdi
fffff803`244546d5 4881ec08010000 sub rsp,108h
fffff803`244546dc 488b05ad869b00 mov rax,qword ptr [nt!_security_cookie (fffff803`24e0cd90)]
fffff803`244546e3 4833c4 xor rax,rsp
fffff803`244546e6 48898424f0000000 mov qword ptr [rsp+0F0h],rax

21: kd> !pte ffffb4800d0b5278
 VA ffffb4800d0b5278
PXE at FFFFD4EA753A9B48 PPE at FFFFD4EA75369000 PDE at FFFFD4EA6D200340 PTE at FFFFD4DA400685A8
contains 0000000000000000
contains 0000000000000000
not valid
Burada geçersiz bellek erişimi ve güvenlik ihlali sebebiyle bir pagefault var. Grafik alt biriminde olmuş. Dosya yeni değil o yüzden sürücü kısmında yanılıyor olabilirim.

Hem AMD, hem NVIDIA ekran kartı sürücülerini güncelle. Klasik bir ekran kartı/bellek erişimi olayı.
21: kd> kV
# Child-SP RetAddr : Args to Child : Call Site
00 ffffbb06`c53910f8 fffff803`2462c4e9 : 00000000`0000000a ffffb480`0d0b5278 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
01 ffffbb06`c5391100 fffff803`24627a34 : fffff803`24e6b0c0 00000000`006ffdbb 000001eb`3ae00000 00000000`00000000 : nt!KiBugCheckDispatch+0x69
02 ffffbb06`c5391240 fffff803`24453b99 : ffffbe0c`4fbbb740 00000000`00000000 00000000`00000002 ffffd4ea`407aceb8 : nt!KiPageFault+0x474 (TrapFrame @ ffffbb06`c5391240)
03 ffffbb06`c53913d0 fffff803`249084d0 : ffffbe0c`4c9b3b60 ffffbe0c`4fbbb588 00000000`00000000 fffff803`244a540c : nt!MiDecommitPages+0x3a9
04 ffffbb06`c5391e20 fffff803`249092ab : 00000000`00000000 00000000`00000000 ffffbb06`c5391f10 00000000`00000000 : nt!MiDecommitRegion+0x80
05 ffffbb06`c5391ed0 fffff803`24908f75 : fffff803`24200000 ffffaa00`1aa2f210 ffffaa00`1aa2f220 ffffaa00`1aa2f220 : nt!MmFreeVirtualMemory+0x2fb
06 ffffbb06`c5392010 fffff803`2462bbe8 : ffffbe0c`473e9040 00000000`00000000 00000000`00000000 ffffaa0f`2e000000 : nt!NtFreeVirtualMemory+0x95
07 ffffbb06`c5392070 fffff803`2461c4d0 : fffff803`95287f95 00000000`00000000 fffff803`9528a57f ffffaa00`1b73ac88 : nt!KiSystemServiceCopyEnd+0x28 (TrapFrame @ ffffbb06`c5392070)
08 ffffbb06`c5392208 fffff803`95287f95 : 00000000`00000000 fffff803`9528a57f ffffaa00`1b73ac88 fffff803`9529a63a : nt!KiServiceLinkage
09 ffffbb06`c5392210 fffff803`952872f3 : 00000000`00400000 ffffbe0c`493e2ed8 ffffbe0c`493e28c0 ffffbe0c`493e28c0 : dxgmms2!VIDMM_RECYCLE_RANGE::DebouncedDecommit+0x155
0a ffffbb06`c5392260 fffff803`95287028 : ffffbe0c`493e28c0 ffffbe0c`493e28c0 ffffbb06`c5392480 00000000`00000000 : dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x213
0b ffffbb06`c53922d0 fffff803`24434f85 : ffffbe0c`2eb31cf0 ffffbe0c`473e9000 ffffbe0c`00000000 fffff803`00000000 : dxgmms2!VidMmRangeCurationThread+0x88
0c ffffbb06`c5392380 fffff803`24507167 : ffffbe0c`473e9040 00000000`000000a8 ffffbe0c`473e9040 fffff803`24434e30 : nt!ExpWorkerThread+0x155
0d ffffbb06`c5392570 fffff803`2461bb94 : ffffe500`9af98180 ffffbe0c`473e9040 fffff803`24507110 00000000`00000246 : nt!PspSystemThreadStartup+0x57
0e ffffbb06`c53925c0 00000000`00000000 : ffffbb06`c5393000 ffffbb06`c538c000 00000000`00000000 00000000`00000000 : nt!KiStartSystemThread+0x34
21: kd> ub
dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x1eb:
fffff803`952872cb ebeb jmp dxgmms2!VIDMM_RECYCLE_HEAP_MGR::processDebounceList+0x1d8 (fffff803`952872b8)
fffff803`952872cd 488b3f mov rdi,qword ptr [rdi]
fffff803`952872d0 498bd6 mov rdx,r14
fffff803`952872d3 e838320000 call dxgmms2!VIDMM_RECYCLE_HEAP_MGR::RemoveFromDebounce (fffff803`9528a510)
fffff803`952872d8 488d942488000000 lea rdx,[rsp+88h]
fffff803`952872e0 c784248800000000000000 mov dword ptr [rsp+88h],0
fffff803`952872eb 498bce mov rcx,r14
fffff803`952872ee e84d0b0000 call dxgmms2!VIDMM_RECYCLE_RANGE::DebouncedDecommit (fffff803`95287e40)
Rich (BB code): 
21: kd> lmDvmamdkmdag
Browse full module list
start end module name
fffff803`95360000 fffff803`9b931000 amdkmdag (deferred)
 Image path: amdkmdag.sys
 Image name: amdkmdag.sys
 Browse all global symbols functions data
 Timestamp: Wed Oct 25 17:46:53 2023 (65392A5D)
 CheckSum: 06586471
 ImageSize: 065D1000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:
21: kd> lmDvmnvlddmkm
Browse full module list
start end module name
fffff803`7a680000 fffff803`7df9d000 nvlddmkm (deferred)
 Image path: nvlddmkm.sys
 Image name: nvlddmkm.sys
 Browse all global symbols functions data
 Timestamp: Wed Dec 6 21:23:29 2023 (6570BC21)
 CheckSum: 038052EB
 ImageSize: 0391D000
 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
 Information from resource tables:

Bakmadığım 1 dosya daha var ama ona da istersen sonra bakarız. RAM bilgilerine dosyalardan erişemiyorum maalesef ama XMP/EXPO/DOCP ayarını kapatıp sistemi öyle kullan yukarıdakilere ek olarak.
 
Artı 1 Eksi
Çözüm
Anlayabildiğim kadarıyla detaylıca okudum, bu uğraşı verdiğin için nasıl teşekkür edeceğimi bilemiyorum. Bu kadar bilgili olman ve topluluk için uğraşman beni çok imrendirdi, çok teşekkürler. Bir süre test edip tekrar cevaplarım, tekrardan teşekkür ederim🙏🙏.
 
Artı 0 Eksi

Benzer konular

K
  • Soru
2 aylık sistemde "WHEA_UNCORRECTABLE_ERROR" mavi ekran hatası
Mesaj
4
Görüntüleme
160
Kayraflix
K
ARSL4N
  • Çözüldü
Çözüldü  1 aylık sistemde mavi ekran hatası
2
Mesaj
13
Görüntüleme
739
ARSL4N
ARSL4N
M
  • Soru
2 aylık ASUS Dual 4060 sistemde mavi ekran hataları
Mesaj
8
Görüntüleme
252
Mustafaklyc
M
M
  • Soru
2200G sistemde mavi ekran hatası
Mesaj
2
Görüntüleme
250
Muharrem.34
M
Erja
  • Çözüldü
Çözüldü  Sistemde mavi ekran hatası
Mesaj
3
Görüntüleme
168
181951
181951

Yeni konular

Yeni mesajlar

Geri
Yukarı