Bluescreenanalyse unter Windows

Dieses Tutorial soll dabei helfen, die Ursachen von Bluescreens ausfindig zu machen und zu beheben.

In diesem Beitrag möchte ich Lösungsvorschläge aufzeigen, wie man Bluescreens analysieren und verstehen kann.

Zur Einleitung: Bluescreens können nicht durch normale Programme ausgelöst werden, wie z. B. durch Word, Excel oder ähnliches.
Da diese Programme im User-Mode ausgeführt werden, sind sie von der Kernelebene von Windows getrennt und haben dadurch auch keinen Zugriff auf den
geschützten Speicherbereich von Windows. Eine Ausnahme dazu stellen Virenscanner, Firewalls und Brennprogramme dar. Da diese Programme eigene Treiber
ins System installieren, können diese auch zu einem Bluescreen führen.
Häufige Ursache für Bluescreens sind defekter Arbeitsspeicher, defekte Festplatte oder fehlerhafte Treiber im System.
Ich würde empfehlen, zuerst den PC auf Hardwarefehler zu testen (Standardtest für Arbeitsspeicher und Festplatte), weitere Informationen zu Hardwaretests
findet man unter: Hardwaretests

Sollte Windows schon beim Starten einen Bluescreen bringen und das System direkt neu starten, bekommt man leider keine guten Hinweise auf die evtl.
Fehlerursache. Dazu drückt man mehrfach, bevor Windows anfängt zu booten, die Taste "F8" und wählt dann den Punkt "Automatischen Neustart bei Systemfehler deaktivieren" aus. Dadurch bekommt man den Fehlercode, Fehlerbeschreibung, Fehlermeldung, evtl. sogar die entsprechende fehlerhafte Treiberdatei angezeigt.
Anhand der Fehlermeldung, bzw. des Fehlercode kann man direkt mei Microsoft nachschauen, um welche Art es sich handelt. Sie ist zwar auf Englisch, aber
meiner Meinung nach sehr umfangreich und man bekommt viele hilfreiche Tipps.

• Link dazu: Bluescreen
• Eine weitere nützliche Informationsquelle findet man hier: STOP-Fehler

Wenn es ein defekter Treiber ist, kann man probieren, diesen Treiber aus dem System zu löschen. Hilfreich dabei ist ein ein bootfähiges System wie
Knoppix/Ubuntu oder ein bootfähiges Windows PE. Sobald man dieses System gestartet hat, einfach die entsprechende Treiberdatei aus Windows löschen.
Aber Vorsicht, es kann sein, dass Windows dann trotzdem nicht mehr starten kann. Deswegen vorher immer nachsehen, zu was dieser Treiber gehört!

Um einen Bluescreen im Windowsbetrieb richtig zu analysieren, sollte man das System zuerst richtig einstellen. Dazu geht man auf
START -> SYSTEMSTEUERUNG -> SYSTEM -> ERWEITERT -> STARTEN UND WIEDERHERSTELLEN -> EINSTELLUNGEN. Dort sieht man den Eintrag "Debuginformationen speichern". Diesen Eintrag auf "Kernelspeicherabbild" stellen, "Automatisch Neustart durchführen" ausschalten und alles mit "OK" bestätigen. Wenn der Bluescreen jetzt erneut im Betrieb auftauchen sollte, speichert Windows alle wichtigen Daten dazu in einem Speicherabbild, dass Memory-Dump genannt wird. Zu finden ist diese Memory-Dump-Datei unter "C:\Windows\". Außerdem startet Windows nicht mehr automatisch neu. Dadurch hat man die Möglichkeit, sich entsprechende Notizen zu dem Fehler zu machen.

Damit man den Bluescreen auswerten kann, braucht man ein entsprechendes Programm. Ich benutzte dafür WinDBG, wenn ich die Auswertung entsprechend umfangreich machen will, oder das Programm Bluescreenviewer für einen schnellen Überblick.

Wenn man Bluescreenviewer benutzen will, einfach nur das Programm installieren und starten. Das Programm zeigt dann alles automatisch an und man kann sehr
bequem die entsprechenden Daten ablesen und sich darüber informieren. Durch einen doppelklick auf einen entsprechenden Eintrag, bekommt man Zusatzinformationen
dazu angezeigt.

Möchte man aber WinDBG benutzen, müssen einige Vorbereitungen getroffen werden. Dazu muss man unter "C:\" den Ordner "Symbole" erstellen und die "Symbol File Path" unter WinDBG einrichten. Dazu muss man WinDBG öffnen, dann auf "FILE -> SYMBOL FILE PATH" gehen und folgenden Link eintragen: "SRV*c:\Symbole*http://msdl.microsoft.com/download/symbols;.
Außerdem muss eine Onlineverbindung zur Verfügung stehen, damit WinDBG die entsprechenden Daten nachladen kann, damit der Debugger mit der Windows-Version
zurecht kommt.

Bitte nicht vergessen, wenn man Windows Vista oder Windows 7 benutzt, muss der Debugger mit Administrator-Rechten gestartet werden. Dazu bitte mit rechtsklich
auf "Als Administrator ausführen" klicken und das ganze bestätigen. Genauso ist es wichtig, dass man für Windows 32 Bit oder für Windows 64 Bit die entsprechende Version installiert.

Sobald man alles fertig hat, kann es losgehen. Dazu geht man auf FILE -> OPEN CRASH DUMP und wählt die entsprechende Datei aus. Jetzt dauert es einen kurzen Moment, bis der Debugger alle Informationen dazu geladen hat. Wenn der Debugger fertig ist, einfach "!analyze -v" eingeben.

Jetzt erhält man jede Menge Informationen zu diesem Fehler. Falls es ein defekter Treiber sein sollte, der den Fehler verursacht hat, findet man den Eintrag
unter "Probaly caused". Sobald man den Namen des defekten Treibers hat, nimmt man einfach mal google zu Hilfe und informiert sich über diese Datei.
Sollte es ein Fehler von einer Hardwarekomponente sein, einfach mal den neuesten Treiber installieren und es erneut probieren. Sollte der Fehler dadurch
immer noch nicht behoben sein, sind weitere Analysen nötig.

Dazu hier eine entsprechende Linksammlung zu diesem Thema:

1. http://windbg.info/doc/1-common-cmds.html
2. http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1999.h ...
3. http://www.chip.de/artikel/Betriebssysteme-So-stark-ist-Windows-wirklic ...
4. http://en.wikipedia.org/wiki/Architecture_of_Windows_NT
5. http://support.microsoft.com/kb/244617/de