Solución de problemas avanzada para errores de pantalla azul o de detención

Pruebe nuestro agente virtual: puede ayudarle a identificar y corregir rápidamente problemas comunes de arranque de Windows.

Nota:

Si no es un agente de soporte técnico o un profesional de TI, encontrará información más útil sobre los mensajes de detención de errores ("pantalla azul") en Solución de errores de pantalla azul.

Se aplica a: Versiones admitidas de Windows Server y el cliente de Windows

¿Qué provoca errores de detención?

Cuando Windows encuentra una condición que pone en peligro el funcionamiento seguro del sistema, el sistema se detiene. Entre los ejemplos se incluyen errores que podrían poner en peligro la seguridad o provocar daños en el sistema operativo (SO) o en los datos de usuario. Cuando la máquina se detiene para evitar que el sistema operativo avance en estas condiciones, se denomina comprobación de errores (o comprobación de errores). También suele denominarse bloqueo del sistema, error de kernel, pantalla azul, pantalla azul de muerte (BSOD) o error de detención. En las versiones preliminares de Windows, el color de la pantalla puede ser verde, lo que conduce a la pantalla verde de la muerte (GSOD).

No hay ninguna explicación sencilla para la causa de los errores de detención. Muchos factores diferentes pueden estar implicados. Nuestro análisis de las causas principales de los bloqueos indica que:

• El 70 % se debe a código de controlador de terceros.
• El 10 % se debe a problemas de hardware.
• El 5 % se debe al código de Microsoft.
• El 15 % tiene causas desconocidas, ya que la memoria está demasiado dañada para analizarla.

Nota:

La causa principal de los errores de detención rara vez es un proceso en modo de usuario. Aunque un proceso en modo de usuario (como bloc de notas o Slack) puede desencadenar un error de detención, suele exponer el problema subyacente en un controlador, hardware o sistema operativo.

Pasos generales de solución de problemas

Para solucionar problemas de detención de mensajes de error, siga estos pasos generales:

1. Revise el código de error de detención que encuentra en los registros de eventos. Busque en línea los códigos de error de detención específicos para ver si hay problemas conocidos, soluciones o soluciones alternativas para el problema.

2. Asegúrese de instalar las actualizaciones más recientes de Windows, las actualizaciones acumulativas y las actualizaciones de acumulación. Para comprobar el estado de actualización, consulte el historial de actualizaciones adecuado para el sistema. Por ejemplo:

   • Windows 10, versión 21H2
   • Windows 10, versión 21H1
   • Windows 10, versión 20H2

3. Asegúrese de que el BIOS y el firmware están actualizados.

4. Ejecute las pruebas de hardware y memoria pertinentes.

5. Ejecute Examen de seguridad de Microsoft o cualquier otro programa de detección de virus que incluya comprobaciones del MBR para detectar infecciones.

6. Asegúrese de que haya suficiente espacio libre en el disco duro. El requisito exacto varía, pero se recomienda un 10-15 % de espacio libre en disco.

7. Póngase en contacto con el proveedor de hardware o software correspondiente para actualizar los controladores y las aplicaciones en los siguientes escenarios:

   • El mensaje de error indica que un controlador específico está causando el problema.
   • Verá una indicación de un servicio que se está iniciando o deteniendo antes de que se produjera el bloqueo. En esta situación, determine si el comportamiento del servicio es coherente en todas las instancias del bloqueo.
   • Ha realizado cualquier cambio de software o hardware.

   Nota:

   Si no hay actualizaciones disponibles de un fabricante específico, se recomienda deshabilitar el servicio relacionado.

   Para obtener más información, vea Cómo realizar un arranque limpio en Windows.

   Puede deshabilitar un controlador siguiendo los pasos descritos en Cómo desactivar temporalmente el controlador de filtro de modo kernel en Windows.

   También puede considerar la opción de revertir los cambios o revertir al último estado de trabajo conocido. Para obtener más información, consulte Reversión de un controlador de dispositivo a una versión anterior.

Recopilación de volcado de memoria

Para configurar el sistema para archivos de volcado de memoria, siga estos pasos:

1. Seleccione el cuadro de búsqueda Barra de tareas, escriba Configuración avanzada del sistema y presione Entrar.
2. En la pestaña Avanzadas del cuadro Propiedades del sistema , seleccione el botón Configuración que aparece en la sección Inicio y recuperación.
3. En la nueva ventana, seleccione la lista desplegable debajo de la opción Escribir información de depuración.
4. Elija Volcado de memoria automático.
5. Seleccione Aceptar.
6. Reinicie el equipo para que la configuración surta efecto.
7. Si el servidor está virtualizado, deshabilite el reinicio automático después de crear el archivo de volcado de memoria. Esta deshabilitación le permite tomar una instantánea del servidor en estado y también si el problema se repite.

El archivo de volcado de memoria se guarda en las siguientes ubicaciones:

Tipo de archivo de volcado	Ubicación
(ninguno)	%SystemRoot%\MEMORY. DMP (inactivo o atenuado)
Pequeño archivo de volcado de memoria (256 kb)	%SystemRoot%\Minidump
Archivo de volcado de memoria del kernel	%SystemRoot%\MEMORY. DMP
Archivo de volcado de memoria completo	%SystemRoot%\MEMORY. DMP
Archivo de volcado de memoria automático	%SystemRoot%\MEMORY. DMP
Archivo de volcado de memoria activo	%SystemRoot%\MEMORY. DMP

Puede usar la herramienta Comprobador de archivos de volcado de memoria (DumpChk) de Microsoft para comprobar que los archivos de volcado de memoria no están dañados o no son válidos. Para obtener más información, vea el siguiente vídeo:

Para obtener más información sobre cómo usar Dumpchk.exe para comprobar los archivos de volcado de memoria, consulte los artículos siguientes:

• Uso de DumpChk
• Descargar DumpChk

Configuración del archivo de página

Para obtener más información sobre la configuración del archivo de página, consulte los artículos siguientes:

• Introducción a los archivos de página
• Cómo determinar el tamaño de archivo de página adecuado para las versiones de 64 bits de Windows
• Generación de un kernel o volcado de memoria completo

Análisis de volcado de memoria

Es posible que no sea fácil encontrar la causa principal del bloqueo. Los problemas de hardware son especialmente difíciles de diagnosticar porque pueden causar comportamientos erráticos e impredecibles que pueden manifestarse en varios síntomas.

Cuando se produce un error de detención, primero debe aislar los componentes problemáticos y, a continuación, intentar que vuelvan a desencadenar el error de detención. Si puede replicar el problema, normalmente puede determinar la causa.

Puede usar herramientas como Kit de desarrollo de software de Windows (SDK) y símbolos para diagnosticar registros de volcado de memoria. En la sección siguiente se describe cómo usar esta herramienta.

Pasos avanzados de solución de problemas

Nota:

La solución de problemas avanzada de volcados de memoria puede ser muy difícil si no tiene experiencia con la programación y los mecanismos internos de Windows. Hemos intentado proporcionar una breve descripción aquí de algunas de las técnicas utilizadas, incluidos algunos ejemplos. Sin embargo, para ser realmente eficaz en la solución de problemas de un volcado de memoria, debe dedicar tiempo a familiarizarse con técnicas avanzadas de depuración. Para obtener información general de vídeo, el modo de depuración del kernel se bloquea y se bloquea. Consulte también las referencias avanzadas que se enumeran a continuación.

Referencias de depuración avanzadas

• Depuración avanzada de Windows, libro de primera edición
• Herramientas de depuración para Windows (WinDbg, KD, CDB, NTSD)

Pasos de depuración

1. Compruebe que el equipo está configurado para generar un archivo de volcado de memoria completo cuando se produce un bloqueo. Para obtener más información, vea Método 1: Volcado de memoria.

2. Busque el archivo memory.dmp en el directorio de Windows en el equipo que se está bloqueando y copie ese archivo en otro equipo.

3. En el otro equipo, descargue el SDK de Windows 10.

4. Inicie la instalación y elija Herramientas de depuración para Windows. La herramienta WinDbg está instalada.

5. Vaya al menú Archivo y seleccione Ruta de acceso del archivo de símbolos para abrir la herramienta WinDbg y establecer la ruta de acceso del símbolo.

   1. Si el equipo está conectado a Internet, escriba el servidor de símbolos público de Microsoft: https://msdl.microsoft.com/download/symbols y seleccione Aceptar. Se recomienda este método.
   2. Si el equipo no está conectado a Internet, especifique una ruta de acceso de símbolo local.

6. Seleccione Abrir volcado de memoria y, a continuación, abra el archivo memory.dmp que copió.

   

7. En Análisis de comprobación de errores, seleccione !analyze -v. El comando !analyze -v se escribe en el símbolo del sistema en la parte inferior de la página.

8. Aparece un análisis detallado de comprobación de errores.

   

9. Desplácese hacia abajo hasta la sección STACK_TEXT . Habrá filas de números con cada fila seguidas de dos puntos y texto. Ese texto debería indicarle qué archivo DLL está causando el bloqueo. Si procede, también indica qué servicio está bloqueando el archivo DLL.

10. Para obtener más información sobre cómo interpretar la salida de STACK_TEXT, vea Uso de la extensión !analyze.

Hay muchas causas posibles de una comprobación de errores y cada caso es único. En el ejemplo anterior, las líneas importantes que se pueden identificar desde el STACK_TEXT son 20, 21 y 22:

Nota:

Los datos HEX se quitan aquí y las líneas se numeran para mayor claridad.

1  : nt!KeBugCheckEx
2  : nt!PspCatchCriticalBreak+0xff
3  : nt!PspTerminateAllThreads+0x1134cf
4  : nt!PspTerminateProcess+0xe0
5  : nt!NtTerminateProcess+0xa9
6  : nt!KiSystemServiceCopyEnd+0x13
7  : nt!KiServiceLinkage
8  : nt!KiDispatchException+0x1107fe
9  : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21

Este problema se debe al servicio mpssvc, que es un componente del Firewall de Windows. El problema se reparó deshabilitando temporalmente el firewall y, a continuación, restableciendo las directivas de firewall.

Para obtener más ejemplos, vea Ejemplos de depuración.

Recursos de vídeo

En los vídeos siguientes se muestran varias técnicas de solución de problemas para analizar archivos de volcado de memoria.

• Analizar archivo de volcado
• Instalación de la herramienta de depuración para Windows (x64 y x86)
• Depuración de volcados de memoria de bloqueo del modo kernel
• Grupo especial

Solución de problemas avanzada mediante el comprobador de controladores

Estimamos que aproximadamente el 75 % de todos los errores de detención están causados por controladores defectuosos. La herramienta Comprobador de controladores proporciona varios métodos para ayudarle a solucionar problemas. Estos incluyen la ejecución de controladores en un grupo de memoria aislado (sin compartir memoria con otros componentes), la generación de una presión de memoria extrema y la validación de parámetros. Si la herramienta encuentra errores en la ejecución del código del controlador, crea de forma proactiva una excepción. A continuación, puede examinar aún más esa parte del código.

Advertencia

Driver Verifier consume mucha CPU y puede ralentizar el equipo significativamente. También puede experimentar bloqueos adicionales. El comprobador deshabilita los controladores defectuosos después de que se produzca un error de detención y sigue haciendo esto hasta que pueda reiniciar correctamente el sistema y acceder al escritorio. También puede esperar que se creen varios archivos de volcado de memoria.

No intente comprobar todos los controladores a la vez. Esta acción puede degradar el rendimiento y hacer que el sistema no se pueda usar. También limita la eficacia de la herramienta.

Use las siguientes instrucciones cuando use El comprobador de controladores:

• Pruebe los controladores "sospechosos". Por ejemplo, los controladores que se actualizaron recientemente o que se sabe que son problemáticos.
• Si sigue experimentando bloqueos no analizables, intente habilitar la verificación en todos los controladores de terceros y sin firmar.
• Habilite la comprobación simultánea en grupos de entre 10 y 20 controladores.
• Además, si el equipo no puede arrancar en el escritorio debido a Driver Verifier, puede deshabilitar la herramienta iniciando en modo seguro. Esta solución se debe a que la herramienta no se puede ejecutar en modo seguro.

Para obtener más información, vea Comprobador de controladores.

Errores comunes de detención de Windows

Esta sección no contiene una lista de todos los códigos de error, pero dado que muchos códigos de error tienen las mismas posibles resoluciones, lo mejor es seguir los pasos siguientes para solucionar el error. Para obtener una lista completa de los códigos de error de detención, consulte Referencia de código de comprobación de errores.

En las secciones siguientes se enumeran los procedimientos generales de solución de problemas para los códigos de error de detención comunes.

VIDEO_ENGINE_TIMEOUT_DETECTED o VIDEO_TDR_TIMEOUT_DETECTED

Detener el 0x00000141 de código de error o 0x00000117

Póngase en contacto con el proveedor del controlador de pantalla de la lista para obtener una actualización adecuada para ese controlador.

DRIVER_IRQL_NOT_LESS_OR_EQUAL

Detener el código de error 0x0000000D1

Aplique las actualizaciones más recientes del controlador aplicando las actualizaciones acumulativas más recientes del sistema a través del sitio web del catálogo de Microsoft Update. Actualice un controlador de red obsoleto. Los sistemas VMware virtualizados suelen ejecutar "Conexión de red Intel(R) PRO/1000 MT" (e1g6032e.sys). Puede descargar este controlador desde el sitio web controladores de descarga de Intel & Software. Póngase en contacto con el proveedor de hardware para actualizar el controlador de red para obtener una resolución. En el caso de los sistemas VMware, use el controlador de red integrado de VMware en lugar de la e1g6032e.sys de Intel. Por ejemplo, use tipos de VMware VMXNET, VMXNET2 o VMXNET3.

PAGE_FAULT_IN_NONPAGED_AREA

Detener el código de error 0x000000050

Si se identifica un controlador en el mensaje de error de detención, póngase en contacto con el fabricante para obtener una actualización. Si no hay actualizaciones disponibles, deshabilite el controlador y supervise la estabilidad del sistema. Ejecute chkdsk /f /r para detectar y reparar errores de disco. Reinicie el sistema antes de que comience el examen del disco en una partición del sistema. Póngase en contacto con el fabricante para obtener las herramientas de diagnóstico que puedan proporcionar para el subsistema de disco duro. Intente reinstalar cualquier aplicación o servicio que se haya instalado o actualizado recientemente. Es posible que el bloqueo se haya desencadenado mientras el sistema iniciaba aplicaciones y leía el registro para la configuración de preferencias. La reinstalación de la aplicación puede corregir las claves del Registro dañadas. Si el problema persiste y ha ejecutado una copia de seguridad de estado del sistema reciente, intente restaurar los subárboles del Registro desde la copia de seguridad.

SYSTEM_SERVICE_EXCEPTION

Detener el código de error c000021a {Error irrecuperable del sistema} El proceso del sistema subsistema de Windows finalizó inesperadamente con un estado de 0xc0000005. Se ha apagado el sistema.

Use la herramienta Comprobador de archivos del sistema para reparar los archivos del sistema que faltan o están dañados. El Comprobador de archivos del sistema permite a los usuarios buscar daños en los archivos del sistema de Windows y restaurar los archivos dañados. Para obtener más información, consulte Uso de la herramienta System File Checker.

NTFS_FILE_SYSTEM

Detener el código de error 0x000000024

Este error de detención suele deberse a daños en el sistema de archivos NTFS o a bloques incorrectos (sectores) en el disco duro. Los controladores dañados para discos duros (SATA o IDE) también pueden afectar negativamente a la capacidad del sistema de leer y escribir en el disco. Ejecute los diagnósticos de hardware proporcionados por el fabricante del subsistema de almacenamiento. Use la herramienta de examen del disco para comprobar que no hay errores del sistema de archivos. Para realizar este paso, haga clic con el botón derecho en la unidad que desea examinar, seleccione Propiedades, herramientas y, a continuación, seleccione el botón Comprobar ahora. Actualice el controlador del sistema de archivos NTFS (Ntfs.sys). Aplique las actualizaciones acumulativas más recientes para el sistema operativo actual que experimenta el problema.

KMODE_EXCEPTION_NOT_HANDLED

Detener el código de error 0x0000001E

Si se identifica un controlador en el mensaje de error de detención, deshabilite o quite ese controlador. Deshabilite o quite los controladores o servicios que se agregaron recientemente.

Si el error se produce durante la secuencia de inicio y la partición del sistema tiene formato mediante el sistema de archivos NTFS, es posible que pueda usar el modo seguro para deshabilitar el controlador en Administrador de dispositivos. Para deshabilitar el controlador, siga estos pasos:

1. Vaya a Configuración>Actualizar & recuperación de seguridad>.
2. En Inicio avanzado, seleccione Reiniciar ahora.
3. Una vez que el equipo se reinicie en la pantalla Elegir una opción, seleccione Solucionar problemas>de opciones> avanzadasConfiguración de> inicioReiniciar.
4. Una vez reiniciado el equipo, verá una lista de opciones. Presione 4 o F4 para iniciar el equipo en modo seguro. Si piensa usar Internet mientras está en modo seguro, presione 5 o F5 para la opción Modo seguro con redes .

DPC_WATCHDOG_VIOLATION

Detener el código de error 0x00000133

Este código de error de detención se debe a un controlador defectuoso que no completa su trabajo dentro del período de tiempo asignado en determinadas condiciones. Para ayudar a mitigar este error, recopile el archivo de volcado de memoria del sistema y, a continuación, use el depurador de Windows para buscar el controlador defectuoso. Si se identifica un controlador en el mensaje de error de detención, deshabilite el controlador para aislar el problema. Compruebe con el fabricante si hay actualizaciones de controladores. Compruebe el Visor de eventos de inicio de sesión del sistema para ver otros mensajes de error que podrían ayudar a identificar el dispositivo o el controlador que provoca la 0x133 de error de detención. Compruebe que cualquier hardware nuevo instalado es compatible con la versión instalada de Windows. Por ejemplo, puede obtener información sobre el hardware necesario en Windows 10 Especificaciones. Si windows Debugger está instalado y tiene acceso a símbolos públicos, puede cargar el archivo c:\windows\memory.dmp en el depurador. A continuación, consulte Determinación del origen de los errores de 0x133 de comprobación de errores (DPC_WATCHDOG_VIOLATION) en Windows Server 2012 para encontrar el controlador problemático del volcado de memoria.

USER_MODE_HEALTH_MONITOR

Detener el código de error 0x0000009E

Este error de detención indica que se produjo un error en una comprobación de estado del modo de usuario de forma que impide el apagado correcto. Windows restaura servicios críticos reiniciando o habilitando la conmutación por error de la aplicación a otros servidores. Clustering Service incorpora un mecanismo de detección que puede detectar la falta de respuesta en los componentes del modo de usuario.

Este error de detención suele producirse en un entorno en clúster y se RHS.exe el controlador defectuoso indicado. Compruebe los registros de eventos si hay errores de almacenamiento para identificar el proceso con errores. Intente actualizar el componente o proceso que se indica en los registros de eventos. Debería ver el siguiente evento registrado:

• Identificador de evento: 4870
• Origen: Microsoft-Windows-FailoverClustering
• Descripción: La supervisión del estado del modo de usuario ha detectado que el sistema no responde. El adaptador virtual del clúster de conmutación por error ha perdido contacto con el proceso del servidor de clúster con un identificador de proceso "%1", durante "%2" segundos. Se realiza una acción de recuperación. Revise los registros de clúster para identificar el proceso e investigar qué elementos podrían hacer que el proceso se bloquease.

Para obtener más información, vea "0x0000009E" Detener error en los nodos de clúster en un entorno de clúster de conmutación por error de varios nodos basado en Windows Server También, vea el siguiente vídeo de Microsoft Qué hacer si se produce un 9E.

Ejemplos de depuración

Ejemplo 1

Esta comprobación de errores se debe a un bloqueo del controlador durante la actualización, lo que da lugar a una comprobación de errores D1 en NDIS.sys, que es un controlador de Microsoft. El IMAGE_NAME le indica el controlador con errores, pero como este controlador es de Microsoft, no se puede reemplazar ni quitar. El método de resolución consiste en deshabilitar el dispositivo de red en el administrador de dispositivos e intentar la actualización de nuevo.

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES:  0
SIMULTANEOUS_TELWP_INSTANCES:  0
BUILD_VERSION_STRING:  16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER:  Alienware
SYSTEM_PRODUCT_NAME:  Alienware 15 R2
SYSTEM_SKU:  Alienware 15 R2
SYSTEM_VERSION:  1.2.8
BIOS_VENDOR:  Alienware
BIOS_VERSION:  1.2.8
BIOS_DATE:  01/29/2016
BASEBOARD_MANUFACTURER:  Alienware
BASEBOARD_PRODUCT:  Alienware 15 R2
BASEBOARD_VERSION:  A00
DUMP_TYPE:  2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a 
CURRENT_IRQL:  2
FAULTING_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R)  SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame doesn't contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30  r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff800603799e9 to fffff8006036e0e0

STACK_TEXT:  
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134] 
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998] 
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248] 
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708] 
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078] 
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512] 
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166] 

RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC:  5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD:  20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP: 
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120        mov     qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE:  20518948
FAULTING_SOURCE_LINE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE:  minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER:  9708
FAULTING_SOURCE_CODE:  
  9704:     _In_ _Points_to_data_      PVOID                       WorkItemContext
  9705:     )
  9706: {
  9707: 
> 9708:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
  9709:     ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
  9710: 
  9711:     IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
  9712:                     ndisDispatchIoWorkItem,
  9713:                     CriticalWorkQueue,

SYMBOL_STACK_INDEX:  3
SYMBOL_NAME:  NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME:  ndiscore
MODULE_NAME: NDIS
IMAGE_NAME:  NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP:  0
IMAGE_VERSION:  10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  4
FAILURE_BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID:  AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS:  AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME:  2017-12-10T14:16:08.000Z
OSBUILD:  16299
OSSERVICEPACK:  98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  784
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x64
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-11-26 03:49:20
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  8377
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH:  {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup:     ndiscore
---------

Ejemplo 2

En este ejemplo, un controlador que no es de Microsoft produjo un error de página, por lo que no tenemos símbolos para este controlador. Sin embargo, examinar IMAGE_NAME o MODULE_NAME indica que es WwanUsbMP.sys la causa del problema. Desconectar el dispositivo y volver a intentar la actualización es una posible solución.

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This can't be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
                address.
Arg4: 00000000, (reserved)

Debugging Details:
------------------

*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys

KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING:  16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME:  IBM_ibmpmdrv
SYSTEM_MANUFACTURER:  LENOVO
SYSTEM_PRODUCT_NAME:  20AWS07H00
SYSTEM_SKU:  LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION:  ThinkPad T440p
BIOS_VENDOR:  LENOVO
BIOS_VERSION:  GLET85WW (2.39 )
BIOS_DATE:  09/29/2016
BASEBOARD_MANUFACTURER:  LENOVO
BASEBOARD_PRODUCT:  20AWS07H00
BASEBOARD_VERSION:  Not Defined
DUMP_TYPE:  2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000 
FAULTING_IP: 
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE:  0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR:  GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R)  SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT
BUGCHECK_STR:  AV
PROCESS_NAME:  System
CURRENT_IRQL:  2
ANALYSIS_SESSION_HOST:  SHENDRIX-DEV0
ANALYSIS_SESSION_TIME:  01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME:  8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0         nv up ei pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010216
nt!memcpy+0x33:
82154573 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS:  8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0)    Available
1 total locks
PNP_TRIAGE_DATA: 
                Lock address  : 0x8226c6e0
                Thread Count  : 0
                Thread address: 0x00000000
                Thread wait   : 0x0

LAST_CONTROL_TRANSFER:  from 82076708 to 821507e8

STACK_TEXT:  
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114] 
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755] 
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868] 
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153] 
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213] 
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969] 
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198] 
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184] 
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834] 
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601] 
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931] 
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235] 
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096] 
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067] 
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429] 
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149] 
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005] 
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286] 
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187] 
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712] 
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114] 
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129] 
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743] 
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674] 
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270] 
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756] 
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82] 
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309] 
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881] 


RETRACER_ANALYSIS_TAG_STATUS:  Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC:  e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD:  44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP: 
WwanUsbMp+1c15f
ac50c15f 8bf0            mov     esi,eax
FAULT_INSTR_CODE:  f33bf08b
SYMBOL_STACK_INDEX:  8
SYMBOL_NAME:  WwanUsbMp+1c15f
FOLLOWUP_NAME:  MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME:  WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP:  5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR:  Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR:  GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND:  .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET:  1c15f
FAILURE_BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID:  AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS:  AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME:  2018-02-12T11:33:51.000Z
OSBUILD:  16299
OSSERVICEPACK:  15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK:  272
PRODUCT_TYPE:  1
OSPLATFORM_TYPE:  x86
OSNAME:  Windows 10
OSEDITION:  Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:  
USER_LCID:  0
OSBUILD_TIMESTAMP:  2017-09-28 18:32:28
BUILDDATESTAMP_STR:  170928-1534
BUILDLAB_STR:  rs3_release
BUILDOSVER_STR:  10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME:  162bd
ANALYSIS_SOURCE:  KM
FAILURE_ID_HASH_STRING:  km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH:  {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3

Followup:     MachineOwner
---------

ReadVirtual: 812d1248 not properly sign extended

Referencias

Referencia de código de comprobación de errores