Windows-Tipp

Halt 35

Bleibt Windows mit »Bluescreen« und dem Halt 35 stehen, so ist guter Rat teuer. Hier, was mir (zufälligerweise wohl) geholfen hat. [This Windows tip with halt 35 is not or not yet availablen in English. It describes what had helped me against this halt: a start in VGA-mode.]

Bessere Voraussetzungen
   Bevor es zu Systemzusammenbrüchen kommt, sollten Sie ein paar Vorkehrungen treffen. Das ist sehr wichtig, im Nachhinein aber leicht gesagt. Ich hatte es nicht gemacht ...

• Stellen Sie Ihr System so ein, dass es bei Fehlern anhält – mit dem berühmt-berüchtigten blauen Bildschirm (vulgo Bluescreen) – und nicht gleich wieder zu starten versucht. Das erreichen Sie z. B. über Start, Einstellungen, Systemsteuerung, System, Reiter »Erweitert«, Starten und Wiederherstellen, Einstellungen, und dort »Automatisch Neustart durchführen« ausknipsen.

   Haben Sie einen Bluescreen, so notieren Sie sich zumindest den Haltekode (hier Halt 35) . Am besten machen Sie mit der Digitalkamera oder dem Handy ein Foto des Bildschirms. (Ein »Screenshot«, wofür ich sonst »Gadwin« sehr empfehle, geht nicht mehr, denn der Rechner steht schon.)
   Normalerweise ist das System so eingestellt, dass es bei solchen unerwarteten Halten ein kleines Diagnoseprotokoll erzeugt, einen »Minidump«, im Ordner C:\Windows\Mindidump (hier oben im Bild sehen Sie %SystemRoot% für C:\Windows stehen). Da mögen Sie auch einmal hineinsehen, wann Ihr System das letzte Mal abgestürzt ist ...!
• Machen Sie sich gelegentlich – und immer vor kritischen Installationen – einen Systemwiederherstellungspunkte: Start, Ausführen, msconfig, Allgemein, einen Systemwiederherstellungspunkt erstellen. Achtung: Beim eventuellen Ausschalten der Systemwiederherstellung (Windows-Explorer, Arbeitsplatz, Eigenschaften, Systemwiederherstellung) werden alle Systemwiederherstellungspunkte gelöscht!
• Wenn Sie Halte erwarten, dann stellen Sie eventuell von der (hier oben sichtbaren) üblichen Einstellung auf Start, Einstellungen, Systemsteuerung, System, Erweitert, Starten und Wiederherstellen, Einstellungen auf »Kernelspeicherabbild«. Es wird dann zusätzlich zum Mini-Dump ein großer Speicherabzug gemacht.
• Lassen Sie keine Daten ausführen. Programme bestehen aus Kommandos, die das Rechenwerk (CPU) abarbeitet, und aus Daten. Springt das Programm in die Daten, dann ist das eine Entgleisung – die gelegentlich von bösen Buben dazu benützt wird, dort Viren laufen zu lassen. Klicken Sie im Windows-Explorer mit der rechten Maus auf Arbeitsplatz, Eigenschaften, Erweitert, Visuelle Effekte, Datenausführungsverhinderung ein.
• Wollen Sie die Dumps selbst analysieren können, auf demselben System, so holen Sie sich rechtzeitig die Analysetools von Microsoft und installieren Sie sie sich, denn später, im abgesicherten Modus, ist das nicht mehr möglich. Diese Tools laufen auch nur unter XP. Vermutlich müssen Sie sich die Tools mit dem Microsoft-Explorer (nicht mit Firefox, Opera oder Netscape) holen, und zuvor aus der Ferne prüfen lassen, ob Ihr Betriebssystem keine Raubkopie ist (eine harmlose Prüfung).
   Die übliche Sammlung von Tools finden Sie auf
http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=de&Hash=Q5VWF6C bezw. http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38&displaylang=de
   Weitere Tools – das »Reporting Tool v5.2.2004.1« – stehen auf
http://download.microsoft.com/download/b/b/1/bb139fcb-4aac-4fe5-a579-30b0bd915706/MPSRPT_SETUPPerf.EXE, die zugehörige Beschreibung auf http://download.microsoft.com/download/b/b/1/bb139fcb-4aac-4fe5-a579-30b0bd915706/MPSRPT_SetupPerf_Readme.txt. Dieses Tool sammelt automatisch viele zur Fehleranalyse relevanten Daten, wie z. B. WinMSD, Treiber, Event-Logs, Setupapi.log usw. und komprimiert diese in einer .cab-Datei im Ordner %windir%\MPSReports\Setup\Reports\cab. Es macht keine Registry-Einträge bzw. Modifikationen am Betriebssystem. Die Produktivität des Systems wird dadurch nicht beeinträchtigt.

Der Halt 35 no_more_IRP_stack_locations
   Bei einem Interrupt bittet ein Gerät um Rechenleistung. Die Hardware erzeugt eine Unterbrechung (= Interrupt) des Programmablaufs. Der Rechner muss den Interrupt abarbeiten. Zuvor wird der Stand der Arbeiten (Register usw.) gesichert, also irgendwo abgespeichert, damit hernach wieder an derselben Stelle weitergarbeitet werden kann, so, als hätte es die Unterbrechung nicht gegeben. Gesichert wird in einem »Stack« – zu deutsch »Keller«.
   »No more IRP locations« besagt, dass bei der Unterbrechung der Stand der Dinge nicht gesichert werden konnte. Eine Rückkehr zum normalen Betrieb ist damit ausgeschlossen. Der Rechner wirft das (blaue) Handtuch.
Relativ oberflächliche Erklärung des Stop 35 durch Microsoft, dafür eher verständlich (englisch):
   
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/w2kmsgs/1168.asp
Saubere, ausführliche Erklärung des Stop 35
(englisch) – eher was für Treiberentwickler:
   
http://www.osronline.com/article.cfm?id=337
Ein paar bekannte Ursachen:
• Stop 35 bei dem Ändern von Maus in Windows NT mit Intellipoint 2.0:
   
http://support.microsoft.com/?kbid=155935&sd=RMVP
• Stop 35 bei Domänenanmeldung (Mup.Sys-Treiber):
   
http://support.microsoft.com/?kbid=906866 (automatisch übersetztes Deutsch, besser:)
   
http://support.microsoft.com/?scid=kb%3Ben-us%3B906866&x=11&y=9
• ein Fehler mit dem Grafiktreiber
• ein Fehler der Antivirensoftware
• oder sonstwas ...

Was bei mir geholfen hat
   Zunächst
half Start mit »VGA-Modus aktivieren«. Warum, weiß ich nicht.
   Später stellte sich dank tatkräftiger Hilfe von Microsoft und Kaspersky heraus, dass wohl der Treiber klpid.sys schuld war – allerdings nach einem
STOP: 0x000000D1 DRIVER_IRQL_NOT_LESS_OR_EQUAL. Gottseidank hatte der Bluescreen den Treiber genannt: klpid.sys.

Dieser Treiber stammt vom Anti-Hacker-Paket Kasperskys. Sowohl Kaspersky-Anti-Virus als auch Kaspersky-Anti-Hacker hatten versucht, mich vor Netzangriffen zu schützen. Ich musste im Anti-Virus-Programm unter Einstellungen, Echtzeitschutz, Einstellungen ändern, Anpassen der Schutz-Einstellungen den »Schutz vor Netzerk-Angiffen« deaktivieren.
   Übrigens kann es (wenn mehr als nur der Minidump eingestellt ist) recht lang dauern, bis das »Speicherabbild« (Dump) erzeugt ist. Bei mir war der Memory.dmp auf C:\Windows 786 MByte groß, mehr als eine CD!

Die anwachsende Zahl am Ende (hier 96) ist der Speicherfortschritt in Prozent. Bei 100 isses rum, nicht unterbrechen!
   Dann hatte ich eines Morgens wieder Bluescreens. Der Rechner kam nur mehr geschützt hoch, allerdings samt Netzverbindung! So konnte ich über meinen Laptop den Memory.dmp zur Analyse wegschicken (in 8 Stunden mit 250 kbit/s Uploadgeschwindigkeit; ich habe Kabel-Internet). Jetzt war der Treiber wpfb_nv4_disp.dll dran schuld. Diesen Bildschirmtreiber stammt von
Pivot und dreht die Bildschirmanzeige um 90 Grad. Ich hatte damit seit Sommer 2003 meinen Bildschirm hochkant betrieben. Ob ein automatischer nächtlicher Windows-Update zu Problemen geführt hat, wer weiß? Jedenfalls half das Deinstallieren der Pivot-Software. Wunderbarerweise ist meine Bildschirmanzeige immer noch hochkant – wer jetzt daran dreht, das wissen die Götter ...

––––––––––––––––––––––––––––––––––––––– weitere Hinweise:
Rechner im geschützten (abgesicherten) Modus starten: Beim Hochziehen nach den ersten Speichertests F8 drücken – mehrfach. Es erscheint dann ein grauer Bildschirm, auf dem (eine Zeitlang) der Start im abgesicherten Modus ausgewählt werden kann.

Warnhinweise bestätigen. (Alternativ kann bei lebendem System ein abgesicherter Neustart über msconfig, boot.ini und safeboot erzwungen werden, siehe http://www.bsi.de/av/texte/wiederher_xp.htm)
(englische Erklärung:
http://www.acomp.usf.edu/panel/helpdox.php?content=How_to_use_Safemode)

Clean boot, »sauberer« Neustart: http://support.microsoft.com/kb/310353/DE

Systemwiederherstellung, wenn nicht einmal mehr im abgesicherten Modus gestartet werden kann:
   
http://support.microsoft.com/?scid=kb;de;823053&spid=1173&sid=353

Dumpanalyse (Sammeln von Informationen nach einem Speicherabbild in Windows XP), dumpckh.exe- und pstat.exe-Erklärung – leider nicht ganz schlüssig. Dumpckh kann auf jedem XP-System laufen, muss aber zuvor installiert werden, siehe oben »Bessere Voraussetzungen«. Pstat muss am schadhaften Rechner selbst durchgeführt werden! Übliche Mini-Dumps – je knapp 90 kByte – landen auf C:\Windows\Minidump, besondere Kernel-Dumps – 100 MByte! – als Memory.dmp auf C:\Windows. Die »Nummer« des Halts finden Sie in der Minidump-Analyse unter »BugCheckCode«.
   
http://support.microsoft.com/?kbid=314084

Stop 0x00000019 Bad_Pool_Header bei Microsoft (englisch):
   
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/w2kmsgs/1140.asp

Im Gerätemanager zeigen sich überhaupt keine Geräte:
   
http://support.microsoft.com/?kbid=311504 (Pug&Play ausgeschaltet)

Entfernen (Deinstallieren) von »Diensten« (Komponenten) – kann ja gleich mal an »Windows Messenger« geübt werden ...:
   Start, Einstellungen, Systemsteuerung, Software (warten), und dann links in der Navigation »Windows-Komponenten hinzufügen/entfernen« anklicken, warten, im neuen Fenster auswählen, ev. Details ansehen. Hier ein Beispiel:

Eigentlich ist Deinstallieren nicht nötig, bringt auch nicht viel, nicht mitstarten ist vernünftiger: Start, Ausführen, msconfig, Dienste.

Microsoft-Support: http://support.microsoft.com, Telefon 01805-672330
Privatkundenbetreuung Tel.: 01805-67 22 55*, Fax: 01805-25 11 91*, E-Mail:
kunden@microsoft.com
Geschäftskundenbetreuung Tel.: 01805-67 23 30*, Fax: 01805-22 95 54*, E-Mail:
btob@microsoft.com
(* 0,12 Euro je Minute aus dem Festnetz der Telekom [Stand Ende 2005])

Der Verifier (»Treiberüberprüfungs-Manager«)
   
Zum Prüfen der Treiber mag man den Microsoft-Verifier einsetzen, Start, Ausführen verifier. Mehr dazu auf
http://support.microsoft.com/?scid=kb%3Bde%3B244617&x=4&y=8.
*** Achtung: Der Verifier frisst CPU wie Sau! ***
Darum hier gleich einmal, wie man ihn wieder ausschaltet: Verifier aufrufen, »Vorhandene Einstellungen löschen«, neu starten.
   Der Verifier wird immer erst einmal eingestellt, das System dann neu gestartet, woraufhin er seine Arbeit tut. Schaltet man ihn nicht wieder aus, so läuft er auch nach weiteren Neustarts wieder!
   Eine mögliche Nutzung:
Verifier aufrufen, »Benutzerdefinierte Einstellungen erstellen (für Entwickler)«, »Wählen Sie Einstellungen aus dieser Liste«, dann eventuell »Spezieller Pool« (muss aber in der Registratur eingestellt werden, siehe unten!), »Poolnachverfolgung« und »IRQL-Überprüfung«, dann »Nicht signierte Treiber automatisch wählen«, es erscheint eine Liste, »Fertig stellen«. Eventuell noch bei Stopps »Vollständiges Speicherabbild« wählen (Systemsteuerung, System, Erweitert, Start und Wiederherstellung«, kann bis zu 100 MByte groß werden, also vielleicht »Vorhandene Dateien überschreiben«.) – System neu starten, damit Verifier arbeitet!
   Tritt (bei aktivem Verifier) beim Herunterfahren des Systems ein Bluescreen mit der Meldung auf:

»IO SYSTEM VERIFICATION ERROR in xxx.xxx (WDM DRIVER ERROR 226)« usw. dann machen Sie sich keine Sorgen. Hier handelt es sich (im Beispiel) um einen uralten, nicht mehr benutzten Treiber, den das System einfach nicht mochte. Im Verifier diesen Treiber von der Prüfung ausnehmen, fertig. (Das Speicherabbild ist für die Katz’.)
   Der »Spezielle Pool« (special pool) scheint dazu gut zu sein, jedem Treiber sein eigenes Häuschen zu geben, damit er nicht in der Gemeinschaftsunterkunft Schweinereien macht. Das geht wohl nur, wenn man ordentlich Speicherplatz hat. Man muss den speziellen Pool einschalten, das heißt wohl, den Treibern erst einmal sagen, dass Sie gefälligst im jeweils eigenen Pool plantschen. Dies geschieht durch eine Registereintragung, die etwa so gehen muss:
• Geben Sie zwei neue Registry-Schlüssel »PoolTag« and »PoolTagOverruns« ein.
• Gehen Sie in Registry (Start / Run - Regedit) in
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Session Manager/Memory Management
PoolTag : REG_DWORD : PoolTag_Data
PoolTagOverruns : REG_DWORD : PoolTagOverruns_Data
Den Wert PoolTag_Data stellen Sie auf »*«
Den Wert PoolTagOverruns_Data stellen Sie auf »1«

   Präziseres englisch hier:
http://www.it-faq.pl/mskb/192/486.HTM

Fritz Jörn, Jänner 2006 (www.Joern.De, Fritz@Joern.De)