Memorydump nach Systemcrash auslesen

Was ich eben gerade mal wieder erlebt habe begegnet jedem Windowsuser früher oder später. Zunächst flackert der Bildschirm kurz blau auf, wird dann schwarz und dann erscheint der BIOS-Screen - das System ist abgekackt um das Kind beim Namen zu nennen.

Das mühsame daran ist, dass man anschliessend kaum direkte Informationen bekommt welcher Treiber/Dienst/schlechte Einfluss nun den Bluescreen ausgelöst hat. Im System Eventlog findet sich in der Regel gerade mal ein Errorcode. Dieser führt zwar über Google eingegeben häufig schon mal ein bisschen zu weiteren Infos, in der Regel ist er aber zu allgemein und man kommt dem Übeltäter trotzdem nicht auf die Spur.

Die einfachste Variante um den Bluescreen zu sehen ist das deaktivieren des automatischen Neustarts über Systemeigenschaften > Erweitert > Starten und Wiederherstellen. Für ein Gerät im Dauerbetrieb oder einen Server ist das jedoch auch keinen brauchbare Lösung. Im gleichen Dialog lässt sich jedoch einstellen, dass ein "kleines Speicherabbild" (das vollständige Speicherabbild ist nicht empfehlenswert, da es sehr gross werden kann und die Erstellung lange dauern kann) erstellt werden soll. Standardmässig ist dieses anschliessend unter c:\windows\minidump\ zu finden.

Um mit den Daten des Dumps jedoch etwas anfangen zu können braucht man nun das Tool "dumpchk.exe" aus den Windows XP Supporttools (die jeder Sysadmin unbedingt auf der Kiste haben sollte). Mit folgendem Aufruf lässt sich eine Auswertung in ein Textfile (mydump.log) schreiben, welches anschliessend analysiert werden kann.

dumpchk Dumpfile > mydump.log

In meinem Fall war kmixer.sys der Übeltäter. Eine Googlerunde half mir zwar nicht weiter, aber ich weiss jetzt, dass ich nicht alleine davon betroffen bin. Wie schön zu wissen...

Print | posted @ Tuesday, February 15, 2005 8:30 PM