Solução de problemas avançada para erros de parada ou de tela azul

Experimente nosso Agente Virtual – Ele pode ajudar você a identificar e corrigir rapidamente problemas comuns de inicialização do Windows

Observação

Se você não for um agente de suporte ou profissional de TI, encontrará informações mais úteis sobre mensagens de erro de parada ("tela azul") em Solucionar problemas de erros de tela azul.

Aplica-se a: Versões com suporte do Windows Server e do Cliente Windows

O que causa erros de parada?

Quando o Windows encontra uma condição que compromete a operação segura do sistema, o sistema é interrompido. Os exemplos incluem algo que pode comprometer a segurança ou levar à corrupção do SO (sistema operacional) e/ou dos dados do usuário. Quando a máquina para a fim de evitar que o sistema operacional avance nessas condições, isso é chamado de verificação de bugs. Isso também é comumente referido como uma falha do sistema, um erro de kernel, uma tela azul, uma BSOD (Blue Screen of Death) ou um erro de parada. Nas versões prévias do Windows, a cor da tela pode ser verde, levando à GSOD (Green Screen of Death).

Não há uma explicação simples para a causa dos erros de parada. Muitos fatores diferentes podem estar envolvidos. Nossa análise das causas raiz das falhas indica que:

• 70% são causadas por código de driver de terceiros.
• 10% são causadas por problemas de hardware.
• 5% são causadas pelo código da Microsoft.
• 15% têm causas desconhecidas, porque a memória está muito corrompida para ser analisada.

Observação

A causa raiz dos erros de parada raramente é um processo no modo de usuário. Embora um processo no modo de usuário (como o Bloco de notas ou o Slack) possa disparar um erro de parada, ele geralmente expõe o problema subjacente em um driver, hardware ou sistema operacional.

Etapas gerais de solução de problemas

Siga estas etapas gerais para solucionar os erros de memória:

1. Examine os códigos de erro de parada encontrados nos logs de eventos. Pesquise online os códigos de erro de parada específicos para ver se há problemas conhecidos, resoluções ou soluções alternativas para o problema.

2. Instale as atualizações mais recentes do Windows, as atualizações cumulativas e as atualizações de rollup. Para verificar o status da atualização, consulte o histórico de atualizações apropriado para o seu sistema. Por exemplo:

   • Windows 10, versão 21H2
   • Windows 10, versão 21H1
   • Windows 10, versão 20H2

3. Verifique se o BIOS e o firmware estão atualizados.

4. Execute os testes de hardware e memória pertinentes.

5. Execute o Verificador de Segurança da Microsoft ou qualquer outro programa de detecção de vírus que inclua verificações do MBR em busca de infecções.

6. Verifique se há espaço livre suficiente no disco rígido. O requisito exato varia, mas recomendamos de 10 a 15% de espaço livre em disco.

7. Entre em contato com o respectivo fornecedor de hardware ou software para atualizar os drivers e aplicativos nos seguintes cenários:

   • A mensagem de erro indica que um driver específico está causando o problema.
   • Você vê a indicação de um serviço que está sendo inciado ou interrompido antes de ocorrer a falha. Nessa situação, determine se o comportamento do serviço é condizente em todas as instâncias da falha.
   • Você fez alterações de software ou hardware.

   Observação

   Se não houver atualizações disponíveis de um fabricante específico, recomendamos que você desative o serviço relacionado.

   Para saber mais, consulte Como executar uma inicialização limpa no Windows.

   Você pode desabilitar um driver seguindo as etapas em Como desativar temporariamente o driver de filtro do modo kernel no Windows.

   Você também pode considerar a opção de reverter as alterações ou reverter para o último estado de funcionamento conhecido. Para obter mais informações, consulte Reverter um driver de dispositivo para uma versão anterior.

Coleção de despejo de memória

Para configurar o sistema para arquivos de despejo de memória, siga estas etapas:

1. Selecione a caixa de pesquisa da barra de tarefas, digite Configurações avançadas do sistema e pressione Enter.
2. Na guia Avançado na caixa Propriedades do sistema, selecione o botão Configurações que aparece na seção Inicialização e recuperação.
3. Na nova janela, selecione o menu suspenso abaixo da opção Gravar informações de depuração.
4. Escolha Despejo automático de memória.
5. Clique em OK.
6. Reinicie o computador para que a configuração tenha efeito.
7. Se o servidor estiver virtualizado, desative a reinicialização automática após a criação do arquivo de despejo de memória. Essa desativação permite que você tire um instantâneo do servidor no estado e se o problema ocorrer novamente.

O arquivo de despejo de memória é salvo nos seguintes locais:

Tipo de arquivo de despejo	Localidade
(nenhum)	%SystemRoot%\MEMORY. DMP (inativo ou esmaecido)
Arquivo de despejo de memória pequeno (256 kb)	%SystemRoot%\Minidump
Arquivo de despejo de memória do Kernel	%SystemRoot%\MEMORY.DMP
Arquivo de despejo de memória completo	%SystemRoot%\MEMORY.DMP
Arquivo de despejo de memória automático	%SystemRoot%\MEMORY.DMP
Arquivo de despejo de memória ativo	%SystemRoot%\MEMORY.DMP

Você pode usar a ferramenta Verificador de Arquivos de Despejo de Memória da Microsoft (DumpChk) para verificar se os arquivos de despejo de memória não estão corrompidos ou são inválidos. Para obter mais informações, consulte o seguinte vídeo:

Para obter mais informações sobre como usar Dumpchk.exe para verificar os arquivos de despejo, consulte os seguintes artigos:

• Usar DumpChk
• Baixar DumpChk

Configurações do arquivo de paginação

Para obter mais informações sobre as configurações do arquivo de paginação, consulte os seguintes artigos:

• Introdução aos arquivos de paginação
• Como determinar o tamanho do arquivo de paginação apropriado para versões de 64 bits do Windows
• Gerar um kernel ou despejo de memória completo

Análise de despejo de memória

Encontrar a causa raiz do acidente pode não ser fácil. Problemas de hardware são especialmente difíceis de diagnosticar porque podem causar um comportamento errático e imprevisível que pode se manifestar em vários sintomas.

Quando ocorre um erro de parada, você deve primeiro isolar os componentes problemáticos e, em seguida, tentar fazer com que eles acionem o erro de parada novamente. Se você puder replicar o problema, geralmente poderá determinar a causa.

Você pode usar ferramentas como o SDK (Software Development Kit) do Windows e símbolos para diagnosticar logs de despejo. A próxima seção discute como usar essa ferramenta.

Solução de problemas avançada

Observação

A solução de problemas avançada de despejos de memória pode ser muito desafiadora se você não tiver experiência com programação e mecanismos internos do Windows. Tentamos fornecer uma breve visão aqui de algumas das técnicas usadas, incluindo alguns exemplos. No entanto, para ser realmente eficaz na solução de problemas de um despejo de memória, você deve gastar tempo se familiarizando com técnicas avançadas de depuração. Para obter uma visão geral do vídeo, o modo kernel de depuração falha e trava. Consulte também as referências avançadas listadas abaixo.

Referências de depuração avançada

• Depuração avançada do Windows, livro da primeira edição
• Ferramentas de depuração para Windows (WinDbg, KD, CDB, NTSD)

Etapas de depuração

1. Verifique se o computador está configurado para gerar um arquivo de despejo de memória completo quando ocorrer uma falha. Para obter mais informações, consulte Metódo 1: despejo de memória.

2. Localize o arquivo memory.dmp no diretório do Windows no computador que está travando e copie esse arquivo para outro computador.

3. No outro computador, baixe o SDK do Windows 10.

4. Inicie a instalção e escolha Ferramentas de depuração para o Windows. A ferramenta WinDbg está instalada.

5. Vá para o menu Arquivo e selecione Caminho do arquivo de símbolo para abrir a ferramenta WinDbg e definir o caminho do símbolo.

   1. Se o computador estiver conectado à Internet, entre no servidor de símbolos públicos da Microsoft: https://msdl.microsoft.com/download/symbols e selecione OK. Este método é recomendado.
   2. Se o computador não estiver conectado à Internet, especifique um caminho de símbolo local.

6. Selecione Abrir despejo de memória e abra o arquivo memory.dmp que você copiou.

   

7. Em Análise de verificação de bugs, selecione !analyze -v. O comando !analyze -v é inserido no prompt na parte inferior da página.

8. Uma análise detalhada de verificação de bugs é exibida.

   

9. Role para baixo até a seção STACK_TEXT. Haverá linhas de números com cada linha seguida por dois pontos e algum texto. Esse texto deve informar qual DLL está causando a falha. Se aplicável, ele também informa qual serviço está travando a DLL.

10. Para obter mais informações sobre como interpretar a saída STACK_TEXT, consulte Usar a extensão !analyze.

Existem muitas causas possíveis de uma verificação de bugs, e cada caso é único. No exemplo fornecido acima, as linhas importantes que podem ser identificadas a partir do STACK_TEXT são 20, 21 e 22:

Observação

Os dados HEX foram removidos aqui, e as linhas são numeradas para maior clareza.

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Esse problema ocorre devido ao serviço mpssvc, que é um componente do Firewall do Windows. O problema foi reparado desativando o firewall temporariamente e redefinindo as políticas de firewall.

Para mais exemplos, confira Exemplos de depuração.

Recursos em vídeo

Os vídeos a seguir ilustram várias técnicas de solução de problemas para analisar arquivos de despejo.

• Analisar arquivo de despejo
• Instalação da ferramenta de depuração para Windows (x64 e x86)
• Depuração de despejos de memória de travamento do modo kernel
• Pool especial

Solução de problemas avançada usando o Verificador de Driver

Estimamos que cerca de 75% de todos os erros de parada são causados por drivers defeituosos. A ferramenta Verificador de driver fornece vários métodos para ajudar você a solucionar problemas. Isso inclui a execução de drivers em um pool de memória isolado (sem compartilhar memória com outros componentes), gerar pressão extrema de memória e validar parâmetros. Se a ferramenta encontrar erros na execução do código do driver, ela criará uma exceção de forma proativa. Ela poderá então examinar mais detalhadamente essa parte do código.

Aviso

O Verificador de driver consome muita CPU e pode tornar o computador significativamente lento. Você também pode experimentar falhas adicionais. O Verificador desabilita drivers defeituosos após a ocorrência de um erro de parada e continua a fazer isso até que você possa reiniciar o sistema com êxito e acessar a área de trabalho. Você também pode esperar ver vários arquivos de despejo criados.

Não tente verificar todos os drivers de uma só vez. Essa ação pode prejudicar o desempenho e tornar o sistema inutilizável. Isso também limita a eficácia da ferramenta.

Use as seguintes diretrizes ao usar o Verificador de driver:

• Teste todos os drivers "suspeitos". Por exemplo, drivers que foram atualizados recentemente ou que são conhecidos por serem problemáticos.
• Se você continuar a ter falhas não analisáveis, tente ativar a verificação em todos os drivers de terceiros e não assinados.
• Habilite a verificação simultânea em grupos de 10 a 20 drivers.
• Além disso, se o computador não puder inicializar na área de trabalho devido ao Verificador de driver, você poderá desativar a ferramenta iniciando no modo de segurança. Essa solução ocorre porque a ferramenta não pode ser executada no modo de segurança.

Para obter mais informações, consulte Driver Verifier.

Erros comuns de parada do Windows

Esta seção não contém uma lista de todos os códigos de erro, mas como muitos códigos de erro têm as mesmas resoluções potenciais, sua melhor aposta é seguir as etapas abaixo para solucionar o erro. Para obter uma lista completa de códigos de erro de parada, consulte Referência de código de verificação de bugs.

As seções a seguir listam procedimentos gerais de solução de problemas para códigos de erro de parada comuns.

VIDEO_ENGINE_TIMEOUT_DETECTED ou VIDEO_TDR_TIMEOUT_DETECTED

Parar código de erro 0x00000141 ou 0x00000117

Entre em contato com o fornecedor do driver de vídeo listado para obter uma atualização apropriada para esse driver.

DRIVER_IRQL_NOT_LESS_OR_EQUAL

Código de erro de parada 0x0000000D1

Aplique as atualizações mais recentes para o driver aplicando as atualizações cumulativas mais recentes para o sistema por meio do site do Catálogo do Microsoft Update. Atualize um driver de rede desatualizado. Os sistemas VMware virtualizados geralmente executam a "Conexão de rede Intel(R) PRO/1000 MT" (e1g6032e.sys). Você pode fazer o download desse driver no site Baixar drivers e software da Intel. Entre em contato com o fornecedor do hardware para atualizar o driver de rede a fim de obter uma resolução. Para sistemas VMware, use o driver de rede integrado VMware em vez do e1g6032e.sys da Intel. Por exemplo, use os tipos VMware VMXNET, VMXNET2 ou VMXNET3.

PAGE_FAULT_IN_NONPAGED_AREA

Código de erro de parada 0x000000050

Se um driver for identificado na mensagem de erro de parada, entre em contato com o fabricante para obter uma atualização. Se nenhuma atualização estiver disponível, desative o driver e monitore a estabilidade do sistema. Execute chkdsk /f /r para detectar e reparar erros de disco. É necessário reiniciar o sistema antes de iniciar a verificação de disco em uma partição do sistema. Entre em contato com o fabricante para obter quaisquer ferramentas de diagnóstico que possam ser fornecidas para o subsistema de disco rígido. Tente reinstalar qualquer aplicativo ou serviço que tenha sido instalado ou atualizado recentemente. É possível que a falha tenha sido acionada enquanto o sistema estava iniciando aplicativos e lendo o registro para configurações de preferência. A reinstalação do aplicativo pode corrigir chaves de registro corrompidas. Se o problema persistir e você tiver executado um backup de estado do sistema recente, tente restaurar os hives do registro do backup.

SYSTEM_SERVICE_EXCEPTION

Código de erro de parada c000021a {Fatal System Error} O processo do sistema do subsistema Windows foi encerrado inesperadamente com um status de 0xc0000005. O sistema foi desligado.

Usar a ferramenta verificador de arquivos do sistema para reparar arquivos do sistema ausentes ou corrompidos. O Verificador de arquivos do sistema é um utilitário do Windows que permite que os usuários verifiquem se há corrupções nos arquivos de sistema do Windows e restaurem arquivos corrompidos. Para obter mais informações, consulte Usar a ferramenta Verificador de arquivos do sistema.

NTFS_FILE_SYSTEM

Código de erro de parada 0x000000024

Esse erro de parada geralmente é causado por corrupção no sistema de arquivos NTFS ou blocos defeituosos (setores) no disco rígido. Drivers corrompidos para discos rígidos (SATA ou IDE) também podem afetar adversamente a capacidade do sistema de ler e gravar no disco. Execute qualquer diagnóstico de hardware fornecido pelo fabricante do subsistema de armazenamento. Use a ferramenta de verificação de disco para verificar se não há erros no sistema de arquivos. Para executar esta etapa, clique com o botão direito do mouse na unidade que deseja verificar, selecione Propriedades, selecione Ferramentas e, em seguida, selecione o botão Verificar agora. Atualize o driver do sistema de arquivos NTFS (Ntfs.sys). Aplique as atualizações cumulativas mais recentes para o sistema operacional atual que está enfrentando o problema.

KMODE_EXCEPTION_NOT_HANDLED

Código de erro de parada 0x0000001E

Se um driver for identificado na mensagem de erro de parada, desabilite ou remova esse driver. Desabilite ou remova os drivers ou serviços adicionados recentemente.

Se o erro ocorrer durante a sequência de inicialização e a partição do sistema for formatada usando o sistema de arquivos NTFS, você pode usar o modo de segurança para desabilitar o driver no Gerenciador de dispositivos. Para desativar o driver, siga estas etapas:

1. Acesse Configurações>Atualização e Segurança>Recuperação.
2. Em inicialização avançada, selecione Reiniciar agora.
3. Depois que o computador for reiniciado para a tela Escolher uma opção, selecione Solucionar problemas>Opções avançadas>Configurações de inicialização>Reiniciar.
4. Depois que o computador for reiniciado, você verá uma lista de opções. Pressione 4 ou F4 para iniciar o computador no modo de segurança. Ou, se você pretende usar a Internet enquanto estiver no modo de segurança, pressione 5 ou F5 para a opção Modo de Segurança com Rede.

DPC_WATCHDOG_VIOLATION

Código de erro de parada 0x00000133

Esse código de erro de parada é causado por um driver defeituoso que, sob certas condições, não conclui o trabalho dentro do período alocado. Para ajudar a atenuar esse erro, colete o arquivo de despejo de memória do sistema e use o Depurador do Windows para encontrar o driver com falha. Se um driver for identificado na mensagem de erro parada, desative o driver para isolar o problema. Verifique com o fabricante se há atualizações de driver. Verifique se há mensagens de erro no log do sistema no Visualizador de Eventos que possam ajudar a identificar o dispositivo ou o driver que está causando o erro de parada 0x133. Verifique se o novo hardware instalado é compatível com a versão instalada do Windows. Por exemplo, você pode obter informações sobre o hardware necessário em Especificações do Windows 10. Se o Depurador do Windows estiver instalado e você tiver acesso a símbolos públicos, poderá carregar o arquivo c:\windows\memory.dmp no depurador. Em seguida, consulte Determinação da origem dos erros do 0x133 de verificação de bugs (DPC_WATCHDOG_VIOLATION) no Windows Server 2012 para encontrar o driver problemático no despejo de memória.

USER_MODE_HEALTH_MONITOR

Código de erro de parada 0x0000009E

Esse erro de parada indica que uma verificação de integridade do modo de usuário falhou de uma forma que impede o desligamento normal. O Windows restaura serviços críticos reiniciando ou habilitando o failover de aplicativos para outros servidores. O Serviço de Clustering incorpora um mecanismo de detecção que pode detectar falta de resposta em componentes do modo de usuário.

Esse erro de parada geralmente ocorre em um ambiente clusterizado, e o driver defeituoso indicado é RHS.exe. Verifique os logs de eventos em busca de falhas de armazenamento para identificar o processo com falha. Tente atualizar o componente ou processo indicado nos logs de eventos. Você deve ver o seguinte evento registrado:

• ID do Evento:4870
• Fonte: Microsoft-Windows-FailoverClustering
• Descrição: o monitoramento de integridade do modo de usuário detectou que o sistema não está respondendo. O adaptador virtual do cluster de failover perdeu contato com o processo do Servidor do cluster com um ID de prcesso "%1", por "%2" segundos. A ação de recuperação foi realizada. Revise os logs do Cluster para identificar o processo e investigar quais itens podem causar o travamento do processo.

Para obter mais informações, consulte Erro de parada "0x0000009E em nós de cluster em um ambiente de cluster de failover de vários nós baseado no Windows Server. Além disso, consulte o seguinte vídeo da Microsoft O que fazer se ocorrer um 9E .

Exemplos de depuração

Exemplo 1

Essa verificação de bug é causada por um travamento de driver durante a atualização, resultando em uma verificação de bug D1 no NDIS.sys, que é um driver da Microsoft. O IMAGE_NAME informa o driver com defeito, mas como esse driver é um driver da Microsoft, ele não pode ser substituído ou removido. O método de resolução é desabilitar o dispositivo de rede no gerenciador de dispositivos e tentar atualizar novamente.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame doesn't contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Exemplo 2

Neste exemplo, um driver que não é da Microsoft causou falha de página, portanto, não temos símbolos para esse driver. No entanto, olhar para IMAGE_NAME e / ou MODULE_NAME indica que foi WwanUsbMP.sys que causou o problema. Desconectar o dispositivo e tentar novamente a atualização é uma solução possível.

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This can't be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Referências

Referência de código de verificação de bugs