Windows: BlueScreen nach Update in fltrmgr.sys

Seit dem Dezember 2016-Patchday mit diversen Sicherheits-Updates gibt es wieder Problemberichte, die von BlueScreens mit der Datei fltrmgr.sys berichten. Daher ein kleiner Blog-Beitrag, wie man vorgehen und das Problem ggf. eingrenzen kann.


Anzeige

Auf das Problem bin ich in diesem Microsoft Answers-Forenbeitrag gestoßen. Dort war es so, dass aus Windows 8.1 nach Installation des Update KB3205401 ein Zugriff auf ein QNAP NAS einen BlueScreen auslöste. Auch wenn das Problem im verlinkten Forenbeitrag durch Ausführen einer Fehlerprüfung/-reparatur (siehe Windows 8: Komponentenstore reparieren) gelöst werden konnte, wäre es gelegentlich hilfreich, nachzuschauen, was den BlueScreen ausgelöst hat.

Dazu benötigt man die Dump-Datei *.dmp. Im Blog-Beitrag Windows BlueScreen-Analyse – Teil 2 wird gezeigt, wo die Dump-Dateien gespeichert sind. Und im Blog-Beitrag Windows BlueScreen-Analyse – Teil 3 gehe ich auf die Analyse von Dump-Dateien ein. Für eine schnelle Analyse reicht der BlueScreenViewer von Nirsoft. Das Programm kann kostenlos von dieser Webseite heruntergeladen werden. Das Programm liest nach dem Start automatisch die .dmp-Dateien aus dem Windows-Ordner Minidump aus. Der Ordner lässt sich aber über die Schaltfläche Advanced Options der Symbolleiste anpassen.

BlueScreenViewer

Ich habe im aktuellen Fall den Pfad zu den Dump-Dateien über den Menübefehl Optionen / Erweiterte Optionen vorgegeben und konnte auf die Dumps zugreifen. In obigem Screenshot wird ein Fehler SYSTEM_SERVICE_EXCEPTION (Stop-Code 0x0000003b) gemeldet. Als betroffenes Modul wird der fltrmgr.sys ausgewiesen.


Anzeige

Eine genaue Analyse des Dumps wäre mit dem Windows-Debugger möglich (siehe Windows BlueScreen-Analyse – Teil 3). Zur Analyse der Dump-Datei hatte ich aber keinen Debugger installiert. Oft hilft es aber, die Liste der geladenen Module durchzugehen und nach Problemkandidaten zu suchen. Neben einigen alten Treibern aus 2009 fiel die Datei MB3SwissArmy.sys auf. Eine kurze Suche im Internet zeigte, dass diese Datei zu Malware Bytes 3.0 gehört. Wurde im oben verlinkten Thread als möglicherweise das Problem verursachend genannt. Zur Fehlerbehebung ist also die Schutzsoftware zu deinstallieren und ein Clean-Tool des Herstellers auszuführen.

Ähnliche Artikel
Windows 10 Wiki/FAQ
Windows-Tipp: Speicherdaten (RAM) auslesen
Windows 10: Update-Reparatur mit latestwu.diagcab
Windows 8: Komponentenstore reparieren
Windows 10: BlueScreen 0x0000050 im FLTMGR.sys
Windows 10: QR-Code im BlueScreen
Windows BlueScreen-Analyse – Teil 1
Windows BlueScreen-Analyse – Teil 2
Windows BlueScreen-Analyse – Teil 3
Windows-MTP-Treiber funktioniert nicht


Anzeige

Dieser Beitrag wurde unter Problemlösung, Update, Windows 10 abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Windows: BlueScreen nach Update in fltrmgr.sys

  1. Ingo sagt:

    BlueScreenView ist leider oftmals kein gutes Werkzeug, da es vielfach die Leute auf die falsche Fährte lockt – wie auch in diesem Fall.

    Der tatsächliche Crash-Auslöser in obigem Dump war ein Filesystem-Filtertreiber von Malwarebytes. Da dieser durch den fltmgr.sys geladen wird, wird dieser von BlueScreenView stattdessen als Verursacher angezeigt. Trifft die Sache dann halt nicht ganz.

    In dem genannten Fall wurde das Problem also m.E. keineswegs durch die Systemdateiprüfung gelöst sondern dadurch, dass zusätzlich via msconfig alle möglichen Treiberstarts und Dienste deaktiviert wurden – und damit wohl auch das Laden des auslösenden Dienstes von Malwarebytes.

    Leider hat sich der ursprüngliche Fragesteller ja nicht noch mal zurückgemeldet, damit man das noch mal hätte verifizieren können.

  2. Herr IngoW sagt:

    Morgen
    Ich habe Malware Bytes 3.0.0.849 installiert, die angegebene Datei existiert bei mir gar nicht (wurde jedenfalls im Explorer nicht gefunden).
    Das Programm läuft aber nur als freie Version, da ist dieser Treiber vielleicht nicht installiert?

  3. Alexander sagt:

    Im konkreten Fall war es übrigens die farflt.sys von Malwarebytes. Mehr war neben der fltmgr.sys nicht auf dem Stack.

  4. Moin ;-)

    Das Problem stammt in der Tat vom farflt.sys
    der den MS-Filtertreiber hooked, macht ja auch Sinn und Aufgabe eines Filtertreibers.

    Allerdings stammt der nicht von der AV-Software Malwarebytes sondern der als zusätzlichen Schutz angebotenen MBAntiRansome die eben ab Frühjahr 2016 separat angeboten wurde und sich ebenfalls aktualisierte.

    Im Dump, leider nur Minidumps mit eng begrenztem Stack & Register ist der Rest nicht (mehr) zu sehen was darauf schliessen könnte, entfernt aber der fatale Rest blieb als Hook drin, übrigends ein Bootloaded Treiber, also recht früh im System verankert.
    Weiterer Modulcode ist im Dump leider nicht enthalten und der Stack gibt auch bei Backtrace nicht wirklich viel her, halt Minidump ;-)

    Zu sehen sind im Dump allerdings noch mehr Zeitbomben, GearAspi, AsIO.SYS aus 2012 wie halt üblich bei Asrock / Asus
    BaseBoardManufacturer = ASUSTeK COMPUTER INC.
    BaseBoardProduct = Z87-A
    BaseBoardVersion = Rev 1.xx
    BiosVersion = 1707
    BiosReleaseDate = 12/13/2013

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.