论坛 › 经典ThinkPad专区 › 【求助】根据蓝屏dump文件用windbg分析出FAILURE_BUCKET_ID: X64_0x50_nt!MiDeleteAllHashMappings+188，这是个啥玩意…？

ivex 发表于 2023-8-25 10:45

【求助】根据蓝屏dump文件用windbg分析出FAILURE_BUCKET_ID: X64_0x50_nt!MiDeleteAllHashMappings+188，这是个啥玩意…？

本帖最后由 ivex 于 2023-10-16 08:56 编辑

如题，前两次是网卡驱动问题，已换过驱动，这次不一样了。哪位大神看看是咋回事呢…

蓝屏提醒内容：

问题签名:
问题事件名称:      BlueScreen
OS 版本:      6.1.7601.2.1.0.256.1
区域设置 ID:      2052

有关该问题的其他信息:
BCCode:      50
BCP1:      FFFFFC32D28A0EA0
BCP2:      0000000000000000
BCP3:      FFFFF80004B8FF18
BCP4:      0000000000000007
OS Version:      6_1_7601
Service Pack:      1_0
Product:      256_1

有助于描述该问题的文件:
H:\Windows\Minidump\082523-11450-01.dmp
f:\Temp\WER-19515-0.sysdata.xml

分析全文如下：


Microsoft (R) Windows Debugger Version 10.0.18362.1 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File
Mini Kernel Dump File: Only registers and stack trace are available


************* Path validation summary **************
Response                         Time (ms)   Location
Deferred                                       SRV*D:\Debugging Tools for Windows (x64)\Symbols*http://msdl.microsoft.com/download/symbols
Symbol search path is: SRV*D:\Debugging Tools for Windows (x64)\Symbols*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 7601.24545.amd64fre.win7sp1_ldr_escrow.200102-1707
Machine Name:
Kernel base = 0xfffff800`04a67000 PsLoadedModuleList = 0xfffff800`04ca0c90
Debug session time: Fri Aug 25 10:01:38.290 2023 (UTC + 8:00)
System Uptime: 3 days 0:03:33.286
Loading Kernel Symbols
...............................................................
................................................................
...................................................
Loading User Symbols
Loading unloaded module list
...........
For analysis of this file, run !analyze -v
3: kd> !analyze -v
*******************************************************************************
*                                                                           *
*                        Bugcheck Analysis                                    *
*                                                                           *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.This cannot be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: fffffc32d28a0ea0, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff80004b8ff18, If non-zero, the instruction address which referenced the bad memory
      address.
Arg4: 0000000000000007, (reserved)

Debugging Details:
------------------


Could not read faulting driver name
GetUlongPtrFromAddress: unable to read from fffff80004d04300

KEY_VALUES_STRING: 1


PROCESSES_ANALYSIS: 1

SERVICE_ANALYSIS: 1

STACKHASH_ANALYSIS: 1

TIMELINE_ANALYSIS: 1


DUMP_CLASS: 1

DUMP_QUALIFIER: 400

BUILD_VERSION_STRING:7601.24545.amd64fre.win7sp1_ldr_escrow.200102-1707

SYSTEM_MANUFACTURER:LENOVO

SYSTEM_PRODUCT_NAME:2325URE

SYSTEM_SKU:LENOVO_MT_2325

SYSTEM_VERSION:ThinkPad X230

BIOS_VENDOR:LENOVO

BIOS_VERSION:G2ETA8WW (2.68 )

BIOS_DATE:04/19/2017

BASEBOARD_MANUFACTURER:LENOVO

BASEBOARD_PRODUCT:2325URE

BASEBOARD_VERSION:NO DPK

DUMP_TYPE:2

BUGCHECK_P1: fffffc32d28a0ea0

BUGCHECK_P2: 0

BUGCHECK_P3: fffff80004b8ff18

BUGCHECK_P4: 7

READ_ADDRESS: GetPointerFromAddress: unable to read from fffff80004d04100
Unable to get MmSystemRangeStart
GetUlongPtrFromAddress: unable to read from fffff80004d042f0
GetUlongPtrFromAddress: unable to read from fffff80004d044a8
GetPointerFromAddress: unable to read from fffff80004d040d8
fffffc32d28a0ea0 Nonpaged pool

FAULTING_IP:
nt!MiDeleteAllHashMappings+188
fffff800`04b8ff18 498b4a20      mov   rcx,qword ptr

MM_INTERNAL_CODE:7

CPU_COUNT: 4

CPU_MHZ: b4d

CPU_VENDOR:GenuineIntel

CPU_FAMILY: 6

CPU_MODEL: 3a

CPU_STEPPING: 9

CPU_MICROCODE: 6,3a,9,0 (F,M,S,R)SIG: 1C'00000000 (cache) 1C'00000000 (init)

CUSTOMER_CRASH_COUNT:1

DEFAULT_BUCKET_ID:WIN7_DRIVER_FAULT

BUGCHECK_STR:0x50

PROCESS_NAME:dllhost.exe

CURRENT_IRQL:0

ANALYSIS_SESSION_HOST:X330U

ANALYSIS_SESSION_TIME:08-25-2023 10:23:04.0327

ANALYSIS_VERSION: 10.0.18362.1 amd64fre

TRAP_FRAME:fffff8800c5de5f0 -- (.trap 0xfffff8800c5de5f0)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=5eac90f0d8af8185 rbx=0000000000000000 rcx=0000098000000000
rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
rip=fffff80004b8ff18 rsp=fffff8800c5de780 rbp=0000000fffffffff
r8=0000000000000001r9=000000090f0d8af8 r10=fffffc32d28a0e80
r11=fffff6fb83200010 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na pe cy
nt!MiDeleteAllHashMappings+0x188:
fffff800`04b8ff18 498b4a20      mov   rcx,qword ptr ds:fffffc32`d28a0ea0=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:from fffff80004bd2d48 to fffff80004afaea0

STACK_TEXT:
fffff880`0c5de498 fffff800`04bd2d48 : 00000000`00000050 fffffc32`d28a0ea0 00000000`00000000 fffff880`0c5de5f0 : nt!KeBugCheckEx
fffff880`0c5de4a0 fffff800`04b06fdc : 00000000`00000000 fffffc32`d28a0ea0 00000000`77c64000 fffff6fb`83208028 : nt!MmAccessFault+0x6b8
fffff880`0c5de5f0 fffff800`04b8ff18 : 000007fe`ffb7d000 fffffa80`0beed1c0 00000000`00000001 00000000`00000001 : nt!KiPageFault+0x35c
fffff880`0c5de780 fffff800`04aa4ec9 : fffffa80`0beed558 fffff700`01080000 fffff8a0`03bc3060 fffff880`0000000b : nt!MiDeleteAllHashMappings+0x188
fffff880`0c5de7e0 fffff800`04e95904 : fffff8a0`03bc3060 fffff880`0c5deae0 fffff880`0c5deae0 00000000`00000000 : nt!MmCleanProcessAddressSpace+0xb9
fffff880`0c5de830 fffff800`04d7f9e9 : fffffa80`00000000 fffff880`0c5dea01 000007ff`fff9e000 fffffa80`0c87ba00 : nt!PspExitThread+0x944
fffff880`0c5de8f0 fffff800`04aabea4 : 00000000`00000001 fffff880`0c5dea68 00000000`02bef9e0 fffff880`0c5deaa0 : nt!PsExitSpecialApc+0x1d
fffff880`0c5de920 fffff800`04aff9e0 : 00000000`77c2a748 fffff880`0c5de9a0 fffff800`04d3618c 00000000`00000001 : nt!KiDeliverApc+0x2e4
fffff880`0c5de9a0 fffff800`04b08ff7 : fffffa80`0d4d53f0 00000000`77c2a748 00000000`000000c0 00000000`00543570 : nt!KiInitiateUserApc+0x70
fffff880`0c5deae0 00000000`77c8b0aa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceExit+0x9c
00000000`02bef848 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x77c8b0aa


THREAD_SHA1_HASH_MOD_FUNC:dcaaf161c02fa922aa22c335545aa8eac3d9f620

THREAD_SHA1_HASH_MOD_FUNC_OFFSET:f8962e11733a8e32e728dc3e754201ac8cb06107

THREAD_SHA1_HASH_MOD:bc100a5647b828107ac4e18055e00abcbe1ec406

FOLLOWUP_IP:
nt!MiDeleteAllHashMappings+188
fffff800`04b8ff18 498b4a20      mov   rcx,qword ptr

FAULT_INSTR_CODE:204a8b49

SYMBOL_STACK_INDEX:3

SYMBOL_NAME:nt!MiDeleteAllHashMappings+188

FOLLOWUP_NAME:MachineOwner

MODULE_NAME: nt

DEBUG_FLR_IMAGE_TIMESTAMP:5e0ead5e

IMAGE_VERSION:6.1.7601.24545

STACK_COMMAND:.thread ; .cxr ; kb

IMAGE_NAME:memory_corruption

FAILURE_BUCKET_ID:X64_0x50_nt!MiDeleteAllHashMappings+188

BUCKET_ID:X64_0x50_nt!MiDeleteAllHashMappings+188

PRIMARY_PROBLEM_CLASS:X64_0x50_nt!MiDeleteAllHashMappings+188

TARGET_TIME:2023-08-25T02:01:38.000Z

OSBUILD:7601

OSSERVICEPACK:1000

SERVICEPACK_NUMBER: 0

OS_REVISION: 0

SUITE_MASK:272

PRODUCT_TYPE:1

OSPLATFORM_TYPE:x64

OSNAME:Windows 7

OSEDITION:Windows 7 WinNt (Service Pack 1) TerminalServer SingleUserTS

OS_LOCALE:

USER_LCID:0

OSBUILD_TIMESTAMP:2020-01-03 10:56:30

BUILDDATESTAMP_STR:200102-1707

BUILDLAB_STR:win7sp1_ldr_escrow

BUILDOSVER_STR:6.1.7601.24545.amd64fre.win7sp1_ldr_escrow.200102-1707

ANALYSIS_SESSION_ELAPSED_TIME:b79

ANALYSIS_SOURCE:KM

FAILURE_ID_HASH_STRING:km:x64_0x50_nt!mideleteallhashmappings+188

FAILURE_ID_HASH:{166b085b-cd1d-3695-b535-d63397677f45}

Followup:   MachineOwner
---------

starwutian 发表于 2023-8-25 11:08

IMAGE_NAME:memory_corruption
看上去指向内存相关的，如果是这样，每次蓝屏的代码可能会不一样，建议多观察。

ivex 发表于 2023-8-25 11:19

starwutian 发表于 2023-8-25 11:08
IMAGE_NAME:memory_corruption
看上去指向内存相关的，如果是这样，每次蓝屏的代码可能会不一样，建议多 ...

一开始是半个月内网卡驱动蓝屏2次，换了驱动之后两个半月才蓝屏这一次还连个进程都不知道是啥，确实不好测啊哈哈哈。google用不了，其它搜索引擎都是辣鸡

whjyls 发表于 2023-8-25 11:31

内存的错误引起的问题还的确挺多样的。
我当初台式机发现内存故障，第一个显示出来的错误是某些压缩包解压出错。但是机器大多数时候还是正常的。后来就有陆续有死机，或者干脆自己重启了，多方排查感觉像内存的问题，然后跑memtest，发现是四条威刚内存中有两条跑不完内存测试。至今不知道是不是那个板子引起的，因为后来那块主板上又坏过一条海盗船8G马甲条……

jackmacc 发表于 2023-8-25 11:50

这些错误，看起来只能猜了。干嘛不看看，系统日志。
那个地方会记录蓝屏前后的。故障。看这个调试程序还有点用。
硬件故障看这个帮助不大。

ivex 发表于 2023-8-25 12:34

jackmacc 发表于 2023-8-25 11:50
这些错误，看起来只能猜了。干嘛不看看，系统日志。
那个地方会记录蓝屏前后的。故障。看这个调试程序还有 ...
如果知道nt!MiDeleteAllHashMappings是什么进程就不用猜，关键是没有合适的搜索引擎。
系统日志看了，蓝屏并不在此记录，顶多是下次启动后来一句：上次系统xxx时间的关闭是意外的，此时并无故障记录，没用。

cl12121 发表于 2023-8-25 12:46

内存大概率，我是瞎猜的

cl12121 发表于 2023-8-25 12:49

曾经有一个带独显的dell工作站，各种蓝屏死机，看dump无数，重做系统、换内存无解，最后禁用独显问题解决，

wangbin_yh 发表于 2023-8-25 13:45

这个玩的有点高端了，表示看不太懂

倍哥也是哥 发表于 2023-8-25 14:20

一般人分析不一，内存的原因？

jackmacc 发表于 2023-8-25 17:29

倍哥也是哥 发表于 2023-8-25 14:20
一般人分析不一，内存的原因？

也不是不能分析,只是这些内部公布的 flag, 没有手册,你也没办法定位.
如果能找到内存位置还可以用调试器.看看.
我反正觉得这样搞太费事了.能重装一下解决的问题.费那个劲没意思.

zsjpfp 发表于 2023-8-25 18:30

看不懂

ssc505684708 发表于 2023-8-25 19:35

我这两天被bonjour service搞的休眠自动重启。
停了服务以后也不知道能不能缓解。

x230那边不知道是不是红蓝天线端子没套套子，搞的wifi卡经常自己就找不到设备了，懒得debug，LTSB换win8.1，速度直接起飞。

win10真垃圾。

ssc505684708 发表于 2023-8-25 19:42

本帖最后由 ssc505684708 于 2023-8-25 19:45 编辑

反正我是无法理解为什么一个苹果的usb服务能把windows给憋蓝屏重启。
哪个服务有问题直接停用就好了，哪个进程有问题杀哪个进程。都不是系统内核出问题，瞎鸡儿重启个锤子。
人家OSX是有问题偷摸重启，用户不注意根本发现不来。就windows 10动不动一个蓝屏，跟个弱智一样。驱动版本不是最新，无法握手windows update也能蓝屏，就纯脑瘫逻辑。
哪怕像xp那样桌面卡住，也比直接崩溃强。卡住至少还能切程序，还能保存，还能通过任务管理器结束进程解决崩溃，实在不行再重启。

jack-wu1982 发表于 2023-8-25 23:14

水土不服么？ 和内存有关或者虚拟内存有关的都挨个排查吧，不行换个操作系统试试吧，我有个机器WIN10不好用。WIN10总是休眠唤醒蓝屏，然后重启。换了WIN11居然稳定好用。不排除某些驱动兼容性不是那么好。

ivex 发表于 2023-8-26 10:14

jack-wu1982 发表于 2023-8-25 23:14
水土不服么？ 和内存有关或者虚拟内存有关的都挨个排查吧，不行换个操作系统试试吧，我有个机器WIN10不好用 ...

也有可能。我系统需要安装的东西和优化的地方都太多，除非逼不得已犯不着重装系统，现在确实也还没到这种程度

fgb21st 发表于 2023-8-26 14:57

用WinThruster查下wsqmcons.exe是否有损坏或者中毒

ivex 发表于 2023-8-26 15:43

fgb21st 发表于 2023-8-26 14:57
用WinThruster查下wsqmcons.exe是否有损坏或者中毒

下载扫描了，好像只能扫注册表错误，要如何扫描此文件呢？

fgb21st 发表于 2023-8-26 20:58

ivex 发表于 2023-8-26 15:43
下载扫描了，好像只能扫注册表错误，要如何扫描此文件呢？

先修复注册表，不行就查看wsqmcons.exe 显示为 可信赖。 如果位于默认路径之外，表明存在病毒攻击。 使用最新版杀毒软件检查计算机并将文件删除！

ivex 发表于 2023-8-26 23:07

本帖最后由 ivex 于 2023-8-26 23:26 编辑

fgb21st 发表于 2023-8-26 20:58
先修复注册表，不行就查看wsqmcons.exe 显示为 可信赖。 如果位于默认路径之外，表明存在病毒攻击。 使用 ...

还是没有在这个软件里找到怎么查看系统文件的情况…可否细说，谢谢！
我在另一台不蓝屏的电脑上搜了一下这个文件在winsxs里，修改日期2010年11月21日11:24，文件版本6.1.7601.17514，文件大小293888字节。

fgb21st 发表于 2023-8-27 16:47

Wsqmcons.exe是什么？什么时候可以认为 Wsqmcons 是有害的？
如果它位于系统文件夹中，即 C:\Windows\System32\，则不会造成任何伤害。但是，在系统文件夹之外，Wsqmcons.exe被认为是木马文件，危害太大。

常见错误
大多数情况下，Wsqmcons.exe 运行顺利，没有任何错误，但很少有用户抱怨他们收到如下错误消息：

“Windows SQM Consolidator 正在尝试访问 Internet”
“Windows SQM Consolidator 已停止工作并关闭。”
可以禁用 Wsqmcons.exe 吗？如何禁用？
当你的 PC 出现问题时，可以禁用或卸载 Wsqmcons.exe。要卸载 Wsqmcons.exe，我们需要按照以下步骤操作

单击键盘上的Windows按钮
类型任务计划程序
单击任务计划程序库
现在在右侧找到“客户客户体验改善计划”
现在，右键单击文件名并选择禁用
请注意，如果你的 Windows 10 上未启用“客户体验改善计划”，则它不会显示在任务计划程序中。

Wsqmcons.exe提示和指南：如何杀死 Wsqmcons.exe 进程？
如果你注意到 Wsqmcons.exe 正在消耗 Internet 数据或高 CPU 或 RAM 资源，那么你可以考虑将其杀死 I，以下是步骤：

按Ctrl+Shfit+Esc
在“进程”选项卡下找到Wsqmcons.exe
在这里右键单击文件并从下拉列表中选择结束任务选项。
任务结束后，你可以去任务管理器里反复查看Wsqmcons.exe是否还在。如果是，请重复该过程，如果不是，则该文件已成功禁用。

查看完整版本: 【求助】根据蓝屏dump文件用windbg分析出FAILURE_BUCKET_ID: X64_0x50_nt!MiDeleteAllHashMappings+188，这是个啥玩意…？