Blue Screen - DRIVER_IRQL_NOT_LESS_OR_EQUAL

Ich bin ein bisschen ratlos ....
nachdem ich das Problem das der PC alle 3 Tage oder kürzer einen
Blue Screen bekam, hab ich alles neu installiert
und nur das nötigste installiert.

Outpost + Mc Afee Viruscan + Maxthon + Firefox
und trotzdem krieg ich sporadisch Blue Screens!

RAMS habe ich mit Memtest getestet und dieser Test war
einwandfrei ...
ist doch ein Riegel defekt oder was kann man aus dem Windbg
Analyse sagen?

Hat jemand eine Idee ob das ein Hardware oder Software Problem ist?
zB Outpost oder Mcafee?

Bei Outpost habe ich die Sandbox deaktiviert da ich gelesen habe
das mit Firefox und Spielen Probleme zur Zeit gibt ...
half aber nichts und nicht immer habe ich Firefox offen!?!

Bin für jeden Tipp dankbar ...

Microsoft (R) Windows Debugger Version 6.7.0005.1
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\MEMORY.DMP]
Kernel Summary Dump File: Only kernel address space is available

Symbol search path is:
SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86
compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp_sp2_gdr.070227-2254
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805624a0
Debug session time: Tue Aug 7 00:41:13.906 2007 (GMT+2)
System Uptime: 2 days 0:08:18.389
Loading Kernel Symbols
............................................................................................................................................................................
Loading User Symbols
PEB is paged out (Peb.Ldr = 7ffd400c). Type ".hh dbgerr001" for
details
Loading unloaded module list
..................................................
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck D1, {719bdf52, 2, 0, 719bdf52}

Probably caused by : ntkrnlmp.exe ( nt!KiTrap0E+238 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid)
address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 719bdf52, memory referenced
Arg2: 00000002, IRQL
Arg3: 00000000, value 0 = read operation, 1 = write operation
Arg4: 719bdf52, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: 719bdf52

CURRENT_IRQL: 2

FAULTING_IP:
+719bdf52
719bdf52 ?? ???

PROCESS_NAME: svchost.exe

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xD1

LAST_CONTROL_TRANSFER: from 719bdf52 to 804e0aac

FAILED_INSTRUCTION_ADDRESS:
+719bdf52
719bdf52 ?? ???

STACK_TEXT:
b90dbd64 719bdf52 badb0d00 7c91eb94 b90dbd98 nt!KiTrap0E+0x238
WARNING: Frame IP not in any known module. Following frames may be
wrong.
00d2f158 00000000 00000000 00000000 00000000 0x719bdf52


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!KiTrap0E+238
804e0aac f7457000000200 test dword ptr [ebp+70h],20000h

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!KiTrap0E+238

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 45e54690

FAILURE_BUCKET_ID: 0xD1_CODE_AV_BAD_IP_nt!KiTrap0E+238

BUCKET_ID: 0xD1_CODE_AV_BAD_IP_nt!KiTrap0E+238

Followup: MachineOwner
---------

0: kd> lmvm nt
start end module name
804d7000 806fe000 nt (pdb symbols)
c:\websymbols\ntkrnlmp.pdb\7627B1ADA0F5436AAA5DB5B9B2C11FFF2\ntkrnlmp.pdb
Loaded symbol image file: ntkrnlmp.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
Timestamp: Wed Feb 28 10:08:32 2007 (45E54690)
CheckSum: 0020CCDA
ImageSize: 00227000
File version: 5.1.2600.3093
Product version: 5.1.2600.3093
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 1.0 App
File date: 00000000.00000000
Translations: 0407.04b0
CompanyName: Microsoft Corporation
ProductName: Betriebssystem Microsoft® Windows®
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 5.1.2600.3093
FileVersion: 5.1.2600.3093 (xpsp_sp2_gdr.070227-2254)
FileDescription: NT-Kernel und -System
LegalCopyright: © Microsoft Corporation. Alle Rechte
vorbehalten.


Habe nicht nur den Dump analysiert sondern auch den Bluescreen angeschaut und da stand was von
0x000000D1
und hierzu fand ich dies:

http://support.microsoft.com/default.aspx?scid=kb;de;293077

trotzdem keine Idee was ich machen soll bzw. wie vorzugehen ist ...

 

Hi,
weiter Lektüre über 0x0D1
http://www.jasik.de/shutdown/stop_fehler.htm#D1
Die einzelnen Spaten sind mit Link´s versehen, um zutreffendes nach zu schlagen.

p.s.: Hast du dass aus deinem letztem Link befolgt??

 

Was ist das für eine Outpost-Version?

 

ich hab mal verifier probiert und bekam

IO System verification error in hphs2k11.sys (WDM Driver Error 220)
hphs2k11.sys + PCC at F76679CC

die Datei ist hier:

Verzeichnis von C:\WINDOWS\system32\drivers

22.11.2002 11:49 50.276 hphs2k11.sys

lt.

http://www.file.net/prozess/hphs2k11.sys.html

passt die Grösse, aber liegt es doch an dieser?

Hab mir:
http://www.jasik.de/shutdown/stop_fehler.htm#D1
angeschaut nur das System stürtzt sporadisch ab,
meist ca. nach 2 - 3 Tagen, manchmal wenn ich arbeite bzw.
surfe manchmal nur so ....

Mainboard ABIT IC7-G letztes verfügbares BIOS

 

Outpost Security Suite Pro 2007 (5.0.1214.7627.616)
Virenscanner Mcafee Enterprise 8.5i + Antispyware
mit allen Updates!

 

Auf dem System sind ständig mehrere Hintergrundscanner aktiv. Da wundert mich nichts mehr.
Das Verhalten des des Betriebssystems dürfte damit nicht mehr dem Auslieferungszustand entsprechen.

http://www.rokop-security.de/index.php?showtopic=13164

Es sieht so aus, als liegen sich verschiedene Firewalls in den Haaren.
Möglicherweise tritt der Bluescreen genau dann auf, wenn der Druckertreiber nach Hause telefoniert.

 

Ich hab den verifier etwas verändert und bekam dann einen
Absturz einer Mc Afee Intrusion Host Komponente ...


Microsoft (R) Windows Debugger Version 6.7.0005.1
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini080807-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: SRV*c:\websymbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 2) MP (2 procs) Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp_sp2_gdr.070227-2254
Kernel base = 0x804d7000 PsLoadedModuleList = 0x805624a0
Debug session time: Wed Aug 8 11:28:13.203 2007 (GMT+2)
System Uptime: 0 days 0:08:33.978
Loading Kernel Symbols
............................................................................................................................................................................
Loading User Symbols
Loading unloaded module list
............
Unable to load image mfehidk.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for mfehidk.sys
*** ERROR: Module load completed but symbols could not be loaded for mfehidk.sys
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000007E, {c0000005, b98b0ab0, b98d1aec, b98d17e8}

*** WARNING: Unable to verify timestamp for mfeavfk.sys
*** ERROR: Module load completed but symbols could not be loaded for mfeavfk.sys
Probably caused by : mfehidk.sys ( mfehidk+aab0 )

Followup: MachineOwner
---------

0: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED_M (1000007e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: b98b0ab0, The address that the exception occurred at
Arg3: b98d1aec, Exception Record Address
Arg4: b98d17e8, Context Record Address

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

FAULTING_IP:
mfehidk+aab0
b98b0ab0 f3ab rep stos dword ptr es:[edi]

EXCEPTION_RECORD: b98d1aec -- (.exr 0xffffffffb98d1aec)
ExceptionAddress: b98b0ab0 (mfehidk+0x0000aab0)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000001
Parameter[1]: 00000000
Attempt to write to address 00000000

CONTEXT: b98d17e8 -- (.cxr 0xffffffffb98d17e8)
eax=00000000 ebx=000000d2 ecx=0000000a edx=00000000 esi=00000000 edi=00000000
eip=b98b0ab0 esp=b98d1bb4 ebp=b98d1c0c iopl=0 nv up ei pl zr na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010246
mfehidk+0xaab0:
b98b0ab0 f3ab rep stos dword ptr es:[edi] es:0023:00000000=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

PROCESS_NAME: System

ERROR_CODE: (NTSTATUS) 0xc0000005 - Die Anweisung in "0x%08lx" verweist auf Speicher in "0x%08lx". Der Vorgang "%s" konnte nicht auf dem Speicher durchgef hrt werden.

WRITE_ADDRESS: 00000000

BUGCHECK_STR: 0x7E

DEFAULT_BUCKET_ID: NULL_DEREFERENCE

LAST_CONTROL_TRANSFER: from b98b0803 to b98b0ab0

STACK_TEXT:
WARNING: Stack unwind information not available. Following frames may be wrong.
b98d1c0c b98b0803 00000000 00000000 84858024 mfehidk+0xaab0
b98d1c64 b9cf6fa8 00000000 00000000 00000017 mfehidk+0xa803
b98d1d2c b9cf801f 00000000 84858024 b98d1d4c mfeavfk+0xfa8
b98d1d80 b9cf9349 84858024 84ad1aa0 00000002 mfeavfk+0x201f
b98d1da4 b9cf9b74 b98d1ddc 80574128 85443e00 mfeavfk+0x3349
b98d1dac 80574128 85443e00 00000000 00000000 mfeavfk+0x3b74
b98d1ddc 804ec781 b9cf9b69 85443e00 00000000 nt!PspSystemThreadStartup+0x34
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


FOLLOWUP_IP:
mfehidk+aab0
b98b0ab0 f3ab rep stos dword ptr es:[edi]

SYMBOL_STACK_INDEX: 0

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: mfehidk

IMAGE_NAME: mfehidk.sys

DEBUG_FLR_IMAGE_TIMESTAMP: 4589691f

SYMBOL_NAME: mfehidk+aab0

STACK_COMMAND: .cxr 0xffffffffb98d17e8 ; kb

FAILURE_BUCKET_ID: 0x7E_mfehidk+aab0

BUCKET_ID: 0x7E_mfehidk+aab0

Followup: MachineOwner
---------

0: kd> lmvm mfehidk
start end module name
b98a6000 b98cde60 mfehidk T (no symbols)
Loaded symbol image file: mfehidk.sys
Image path: mfehidk.sys
Image name: mfehidk.sys
Timestamp: Wed Dec 20 17:47:27 2006 (4589691F)
CheckSum: 00034689
ImageSize: 00027E60
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0

Also dürfte Mcafee und Outpost miteinander Schwierigkeiten haben oder?

Was könnte man da am besten nun tun?

 

Ich kann mir schon denken, was der jeweilige Support rät.
IDS kann ein Bestandteil einer Firewall sein.
Outpost verwendet auch so eine Technik.
Du müsstest mal überprüfen, ob die Abstürze auch bei deinstallierter Outpost Software auftreten, um Klarheit zu erhalten.