[weblord]

Hi,

hab mit dem Debugger rausbekommen, dass die NTFS.sys bei mir nen Bluescreen verursacht hat.

Für was ist die? Die steht ja im i386-Verzeichnis..

Dieser Beitrag wurde von weblord bearbeitet: 22. Juni 2005 - 04:48

[DK2000]

Wie der Name schon sagt: Ist der Treiber für das NTFS Datei System.

Zufällig Bug Check 0x00000024: NTFS_FILE_SYSTEM ?

Falls ja, dann:

Deutet auf einen Fehler mit dem Dateisystem hin. Entweder ist es direkt beschädigt, die Festplatte (def. Sektoren)/Kabel hat ein Problem oder es liegt ein Problem mit dem IDE Controller und/oder dessen Treiber. In eingen Fällen auch Probleme mit dem Speicher.

Falls nicht, welchen Fehlercode kam?

Dieser Beitrag wurde von DK2000 bearbeitet: 21. Juni 2005 - 20:36

[weblord]

Also ich krige das hier.

Wenn mir jemand helfen kann? Bin da ratlos.

**************************************************
*****************************
* *
* Bugcheck Analysis *
* *
**************************************************
*****************************

NTFS_FILE_SYSTEM (24)
If you see NtfsExceptionFilter on the stack then the 2nd and 3rd
parameters are the exception record and context record. Do a .cxr
on the 3rd parameter and then kb to obtain a more informative stack
trace.
Arguments:
Arg1: 001902fe
Arg2: f7cae644
Arg3: f7cae340
Arg4: f765b7b6

Debugging Details:
------------------

*** ERROR: Module load completed but symbols could not be loaded for interceptor.sys

EXCEPTION_RECORD: f7cae644 -- (.exr fffffffff7cae644)
ExceptionAddress: f765b7b6 (Ntfs!NtfsDecodeFileObject+0x00000037)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000000
Parameter[1]: 00000004
Attempt to read from address 00000004

CONTEXT: f7cae340 -- (.cxr fffffffff7cae340)
eax=00000000 ebx=f7cae7fc ecx=00004000 edx=f7cae748 esi=f7cae758 edi=f7caeae6
eip=f765b7b6 esp=f7cae70c ebp=f7cae710 iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
Ntfs!NtfsDecodeFileObject+0x37:
f765b7b6 8b4804 mov ecx,[eax+0x4] ds:0023:00000004=?
Resetting default scope

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x24

LAST_CONTROL_TRANSFER: from f7682d60 to f765b7b6

STACK_TEXT:
f7cae710 f7682d60 f7cae7fc 85e3a688 f7cae74c Ntfs!NtfsDecodeFileObject+0x37
f7cae784 f76814b4 f7cae7fc 85b09e70 864b6020 Ntfs!NtfsCommonQueryInformation+0x56
f7cae7e8 f76814ed f7cae7fc 85b09e70 00000001 Ntfs!NtfsFsdDispatchSwitch+0x12a
f7cae90c 804e13d9 864b6020 85b09e70 85b09e70 Ntfs!NtfsFsdDispatchWait+0x1c
f7cae91c f770e52d 86766c80 f7caeae6 f7caead4 nt!IopfCallDriver+0x31
f7cae948 f770882c 864b6020 85e3a688 f7caeae6 sr!SrQueryInformationFile+0x99
f7cae974 f770919a 0000002e 85e3a688 f7caead4 sr!SrpGetFileName+0x32
f7caebe8 f770c3b5 86766c80 000001d8 00000014 sr!SrpExpandDestPath+0xcc
f7caecfc f770cf0e 86766c80 864a1008 864a1190 sr!SrpSetRenameInfo+0x135
f7caed18 804e13d9 86766c80 864a1008 864a11b4 sr!SrSetInformation+0x142
f7caed28 b7230c9b 85a3db74 85a3db58 8631ce58 nt!IopfCallDriver+0x31
WARNING: Stack unwind information not available. Following frames may be wrong.
f7caed3c b722b513 864a1008 00000001 86283f78 interceptor+0x8c9b
f7caed68 b7229c61 00a3db5c b7229c51 85a3db5c interceptor+0x3513
f7caedac 80574128 85a3db5c 00000000 00000000 interceptor+0x1c61
f7caeddc 804efc81 804e22f1 00000001 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


FOLLOWUP_IP:
Ntfs!NtfsDecodeFileObject+37
f765b7b6 8b4804 mov ecx,[eax+0x4]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

SYMBOL_NAME: Ntfs!NtfsDecodeFileObject+37

MODULE_NAME: Ntfs

IMAGE_NAME: Ntfs.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 41107eea

STACK_COMMAND: .cxr fffffffff7cae340 ; kb

FAILURE_BUCKET_ID: 0x24_Ntfs!NtfsDecodeFileObject+37

BUCKET_ID: 0x24_Ntfs!NtfsDecodeFileObject+37

Followup: MachineOwner
---------

[DK2000]

Sieht mir fast so aus, als ob die interceptor.sys irgendwas auf der Platte vorhatte.
Die ntfs.sys hat jedenfalls eine Access violation verursacht.

Für was ist diese interceptor.sys gut? Mit Google finde ich da keine verünftige Antwort, nur das die Datei offensichtlich öfters mal Probleme macht. EDIT: Scheint wohl zum Antivirenkit zu gehören die Datei.

Dieser Beitrag wurde von DK2000 bearbeitet: 21. Juni 2005 - 23:08

[weblord]

Für was die gut ist weiß ich auch nicht so genau. Hab mal auf die Datei und Eigenschaften geklickt, steht aber keinerlei Info über den Hersteller oder sonstiges drin, nur die VErsionnummer.

Also Virenscanner hab ich den Antivirenkit 2005 und Firewall ist Outpost Pro 2.7.485.

Hilfe

[sylenza]

Zitat (weblord: 22.06.2005, 08:19)

Für was die gut ist weiß ich auch nicht so genau. Hab mal auf die Datei und Eigenschaften geklickt, steht aber keinerlei Info über den Hersteller oder sonstiges drin, nur die VErsionnummer.

Also Virenscanner hab ich den Antivirenkit 2005 und Firewall ist Outpost Pro 2.7.485.

Hilfe
<{POST_SNAPBACK}>

Ich hatte die gleichen Programme auf'm Rechner installiert. Nachdem mir auch einige BlueScreens beschert wurden kam ich bei meinem Rechner letztendlich auf Outpost als Übeltäter obwohl lt. Debugger erst einmal der NIC-Treiber den BlueScreen ausgelöst hatte.

Naja, Outpost deinstalliert und nun läuft es wieder.

s.

[linksta]

vllt. verträgt sich outpost mit dem antivirenkit 2005 ja nicht

[weblord]

Meint ihr echt es könnt an Outpost liegen?

Würd mir ja gar net passen, da ich die Soft gekauft hab.

Möcht auf die Firewall aus obigem Grund nicht verzichten. Geht es dann wenn ich z.B. beim Zocken die Firewall beende (komplett, auch aus dem Speicher) oder MUSS sie deinstalliert werden?

[sylenza]

Probiere es einfach aus. Ich habe sie erst mal deinstalliert und warte schon seit ner Woche auf eine Antwort vom Agnitum-Support. Und das, obwohl zahlende Kunden angeblich "bevorzugt" behandelt werden. Wer weiß, wie lange User der Testversion warten müssen....

Vielleicht liegt es ja auch gar nicht an Outpost bei dir. Ich würde die Soft einfach mal deinstallieren (die Konfiguration kannst du ja behalten für eine spätere Neuinstallation) und sehen, ob das Problem immer noch besteht.

s.

Dieser Beitrag wurde von sylenza bearbeitet: 22. Juni 2005 - 09:36

[DK2000]

Weiß zwar nicht, was ihr jetzt alle mit Outpost habt, aber lt. dem Bugcheck Analysis weiter oben ist der Treiber interceptor.sys in irgendeiner Form mit von der Partie gewesen. Ausserdem hat die Systemwiederherstellung auch etwas damit zu tun.

Von Outpost sehe ich da überhaupt nichts.

[puppet]

Ja die interceptor.sys kommt von Treiber GDInterceptor der zum AVK gehört.
Alleine läuft das ohne Probleme, allerdings ist es keine Seltenheit, dass durch Installation weiterer Filtersoftware neben AVK der GDInterceptor gerne mal ein paar Probleme verursacht. Nun hast du die Wahl: AVK runter oder Outpost. Wobei ich eher Outpost runter werfen würde, du kannst ja falls du unbedingt eine PFW haben willst dir eine alternative Software suchen.
Evtl solltest du auch mal abchecken ob du von beiden Programmen die aktuelle Version installiert hast.
Alternativ könntest du probieren den GDInterceptor zu deaktivieren (entweder per sc.exe oder über den Geräte-Manager), allerdings weiss ich nicht (ich bezweifle dies auch) ob dann AVK noch ordnungsgemäß seinen Dienst tut.

Dieser Beitrag wurde von puppet bearbeitet: 22. Juni 2005 - 10:52

[weblord]

Zitat (puppet: 22.06.2005, 11:51)

Ja die interceptor.sys kommt von Treiber GDInterceptor der zum AVK gehört.
Alleine läuft das ohne Probleme, allerdings ist es keine Seltenheit, dass durch Installation weiterer Filtersoftware neben AVK der GDInterceptor gerne mal ein paar Probleme verursacht. Nun hast du die Wahl: AVK runter oder Outpost. Wobei ich eher Outpost runter werfen würde, du kannst ja falls du unbedingt eine PFW haben willst dir eine alternative Software suchen.
Evtl solltest du auch mal abchecken ob du von beiden Programmen die aktuelle Version installiert hast.
Alternativ könntest du probieren den GDInterceptor zu deaktivieren (entweder per sc.exe oder über den Geräte-Manager), allerdings weiss ich nicht (ich bezweifle dies auch) ob dann AVK noch ordnungsgemäß seinen Dienst tut.
<{POST_SNAPBACK}>

Werd deinen Vorschlag mal probieren in den deaktivieren. Für was ist der Filter gut?
Das dumme ist, ich hab beide Programme gekauft. Würd ungern eins "umsonst" gekauft haben:-(

[DK2000]

Was mich interessieren würde, kommt der Fehler häufiger?

Ansonsten kann es auch sein, dass es nur eine Verkettung ungünstiger Umstände war.

Oder das Dateisystem innerhalb des Ordners System Volume Information, auf den die Systemwiederherstellung zugreifen wollte, defekt ist oder dort ungültige Informationen gespeichert sind. Hardwarefehler ist auch nicht ganz ausgeschlossen.

Hast Du mal im Debugger

.cxr fffffffff7cae340
kb

eingegeben, um so eventuell einen ausführlicheren Stack Text zu erhalten? So ist momentan nur zu erkennen (Ablauf in der Reihenfolge):

GDinterceptor -> Filtertreiber für Systemwiederherstellung -> Treiber für NTFS Dateisystem -> Zugriffsverletzung im Speicher

Das lässt so nicht wirklich auf das eigentliche Problem schließen.

Dieser Beitrag wurde von DK2000 bearbeitet: 22. Juni 2005 - 12:15

[weblord]

Zitat (DK2000: 22.06.2005, 13:14)

Was mich interessieren würde, kommt der Fehler häufiger?

Ansonsten kann es auch sein, dass es nur eine Verkettung ungünstiger Umstände war.

Oder das Dateisystem innerhalb des Ordners System Volume Information, auf den die Systemwiederherstellung zugreifen wollte, defekt ist oder dort ungültige Informationen gespeichert sind. Hardwarefehler ist auch nicht ganz ausgeschlossen.

Hast Du mal im Debugger

.cxr fffffffff7cae340
kb

eingegeben, um so eventuell einen ausführlicheren Stack Text zu erhalten? So ist momentan nur zu erkennen (Ablauf in der Reihenfolge):

GDinterceptor -> Filtertreiber für Systemwiederherstellung -> Treiber für NTFS Dateisystem -> Zugriffsverletzung im Speicher

Das lässt so nicht wirklich auf das eigentliche Problem schließen.
<{POST_SNAPBACK}>

Der Fehler tritt unregelmäßig auf, vor allem gern wenn ich am Zocken bin:-(

Jetzt wirds für mich nur noch spanisch:

0: kd> .cxr fffffffff7cae340
eax=00000000 ebx=f7cae7fc ecx=00004000 edx=f7cae748 esi=f7cae758 edi=f7caeae6
eip=f765b7b6 esp=f7cae70c ebp=f7cae710 iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010202
Ntfs!NtfsDecodeFileObject+0x37:
f765b7b6 8b4804 mov ecx,[eax+0x4] ds:0023:00000004=?
0: kd> kb
*** Stack trace for last set context - .thread/.cxr resets it
ChildEBP RetAddr Args to Child
f7cae710 f7682d60 f7cae7fc 85e3a688 f7cae74c Ntfs!NtfsDecodeFileObject+0x37
f7cae784 f76814b4 f7cae7fc 85b09e70 864b6020 Ntfs!NtfsCommonQueryInformation+0x56
f7cae7e8 f76814ed f7cae7fc 85b09e70 00000001 Ntfs!NtfsFsdDispatchSwitch+0x12a
f7cae90c 804e13d9 864b6020 85b09e70 85b09e70 Ntfs!NtfsFsdDispatchWait+0x1c
f7cae91c f770e52d 86766c80 f7caeae6 f7caead4 nt!IopfCallDriver+0x31
f7cae948 f770882c 864b6020 85e3a688 f7caeae6 sr!SrQueryInformationFile+0x99
f7cae974 f770919a 0000002e 85e3a688 f7caead4 sr!SrpGetFileName+0x32
f7caebe8 f770c3b5 86766c80 000001d8 00000014 sr!SrpExpandDestPath+0xcc
f7caecfc f770cf0e 86766c80 864a1008 864a1190 sr!SrpSetRenameInfo+0x135
f7caed18 804e13d9 86766c80 864a1008 864a11b4 sr!SrSetInformation+0x142
f7caed28 b7230c9b 85a3db74 85a3db58 8631ce58 nt!IopfCallDriver+0x31
WARNING: Stack unwind information not available. Following frames may be wrong.
f7caed3c b722b513 864a1008 00000001 86283f78 interceptor+0x8c9b
f7caed68 b7229c61 00a3db5c b7229c51 85a3db5c interceptor+0x3513
f7caedac 80574128 85a3db5c 00000000 00000000 interceptor+0x1c61
f7caeddc 804efc81 804e22f1 00000001 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16

[DK2000]

Ist leider noch der selbe Text wie oben. Hilft also auch nicht wirklich weiter.

Wenn der Fehler öfters auftritt, hast Du mal verglichen, ob es immer der selbe ablauf ist, also interceptor,sr,ntfs? Oder unterscheidet sich das?

Ansonsten würde ich doch mal den GDinterceptor bzw. die Systemwiederherstellung abschalten und mal testen, ob der Fehler noch irgendwie erscheint.