treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

BSOD(KMODE_EXCEPTION_NOT_HANDLED:0x0000001e)対処

PC トラブルシューティング

今日はブルースクリーンの対処が発生しましたのでご報告です。
KMODE_EXCEPTION_NOT_HANDLEDでSTOPエラー0x0000001eが発生するという問題でした。

対象のPCは

対象のPCは「HP ProDesk 600 G3 SFF」というデスクトップPC、OSはWindows10 Proが稼働しています。最近導入したばかりなのですが、設置し稼働からほどなくしてすぐにこの問題が発生した、とのこと。
なんだろう…?と思って調べてみました。

対象エラー

とにかくブルースクリーン、そのブルースクリーンエラーはいろいろと何回か発生していました。

探ってみると、以下の3種類に絞れることが分かりました。

-------------------------------------------------------
※抜粋:

■対象ファイル名:fwpkclnt.sys
■エラーメッセージ:KMODE_EXCEPTION_NOT_HANDLED
STOP: 0x0000001e (0xffffffffc0000005, 0xfffff8099d4356e9, 0x0000000000000000,0xffffffffffffffff)

■対象ファイル名:tcpip.sys
■エラーメッセージ:KMODE_EXCEPTION_NOT_HANDLED
*** STOP: 0x0000001e (0xffffffffc0000005, 0xfffff8013600f807, 0x0000000000000000,0xffffffffffffffff)

■対象ファイル名:ntoskrnl.exe
■エラーメッセージ:KMODE_EXCEPTION_NOT_HANDLED
*** STOP: 0x0000001e (0xffffffffc0000005, 0xfffff80084e02807, 0x0000000000000000, 0xffffffffffffffff)

-------------------------------------------------------

対象ファイルこそ複数ありますが、エラーメッセージは「KMODE_EXCEPTION_NOT_HANDLED」で統一されていますし、STOPエラーのエラーコードも「STOP: 0x0000001e」で統一されています。
このあたりを手掛かりに調べてみることになりそうです。

-------------------------------------------------------
いちおう全文
-------------------------------------------------------
A problem has been detected and Windows has been shut down to prevent damage
to your computer.

The problem seems to be caused by the following file: fwpkclnt.sys

KMODE_EXCEPTION_NOT_HANDLED

If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup Options, and then
select Safe Mode.

Technical Information:

*** STOP: 0x0000001e (0xffffffffc0000005, 0xfffff8099d4356e9, 0x0000000000000000,
0xffffffffffffffff)

*** fwpkclnt.sys - Address 0xfffff8099d4356e9 base at 0xfffff8099d420000 DateStamp
0xcaec7f62
-------------------------------------------------------

高速スタートアップが原因?

キッティングの時はまったくそんな症状はなかったのですが、ユーザに引き渡してから起きたらしい、というところと、ユーザに引き渡してから実施したのって、Adobe Reader DCのインストールとMcAfeeのセキュリティスイートのインストールを実施しただけ。
ということはMcAfeeがなんとなく原因なのかなぁという感じがしてきました。同じセキュリティスイートのESETで同じようにKMODE_EXCEPTION_NOT_HANDLEDが発生している、という話もちらほら検索すると出てくる。。。
調査しようにもちょっと使ってはブルースクリーンで停止、という状況だったので調査もじっくりできず難航。

しかし、うん?ちょっと待てよ?と思ったのは、「高速スタートアップ」です。
特に設定はしていないのですが、高速スタートアップを問題の要因とする話は巷に溢れています。
ダメ元で、PC起動⇒ブルースクリーンが起きる前に素早く電源管理から高速スタートアップを無効にしました。

f:id:treedown:20180202215624p:plain
そしていったんシャットダウンから再度電源投入。
ここまで、何かやるごとにブルースクリーンでOSが強制終了されていたのが、嘘のように収まりました。

…解決したのかなぁ?
半信半疑でしたが、McAfeeでウィルススキャンを仕掛けたり、ハードディスクのエラーチェックを実行してみたり、HPのツールでアップデートの検索をネット上から実行してみたりとシステムにそれなりに負荷を掛けてみてもBSODが起きなくなっていました。

あくまで仮説、なんですが。
McAfeeを使う場合には高速スタートアップをOFFにしておく方がイイ、
ということなんじゃないかと思い始めました。

というところで、現在経過観察中。