Windows 11/10: Crash-Dateien auslesen und Fehler analysieren – So geht’s

Crash-Dateien unter Windows 11 und 10 auslesen und Fehler analysieren: So ermitteln Sie mit Event-Viewer und Diagnose-Tools gezielt die Absturzursache.

Wenn Windows abstürzt, hinterlässt das System wertvolle Spuren: sogenannte Crash-Dateien oder Dump-Dateien. Diese Protokolle enthalten genaue Informationen darüber, was zum Absturz geführt hat.

Mit den richtigen Tools lassen sich Blue Screens, Systemabstürze und Fehlercodes in Windows 11 und Windows 10 schnell und gezielt analysieren – selbst ohne tiefe technische Kenntnisse. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie das geht.

Was sind Crash-Dateien und warum entstehen sie?

Wenn Windows auf einen kritischen Fehler stößt, den das Betriebssystem nicht selbst beheben kann, reagiert es mit einem Blue Screen of Death (BSOD). Dabei speichert Windows automatisch einen sogenannten Memory Dump – eine Momentaufnahme des Arbeitsspeichers zum Zeitpunkt des Absturzes. Dieser Dump enthält Informationen über laufende Prozesse, geladene Treiber, den Kernel-Zustand und den genauen Fehlercode.

Crash-Dateien entstehen also nicht zufällig, sondern sind ein bewusstes Sicherheitsnetz von Windows. Deshalb sind sie so wertvoll: Sie ermöglichen es, den Absturz im Nachhinein zu rekonstruieren und die Ursache gezielt zu beheben, anstatt blindlings Systemkomponenten auszutauschen oder Windows neu zu installieren.

Häufige Ursachen für Abstürze sind außerdem:

• Fehlerhafte oder veraltete Treiber (besonders Grafik- und Netzwerktreiber)
• Defekte Hardware (RAM, Festplatte, Netzteil)
• Überhitzung von CPU oder GPU
• Inkompatible Software oder beschädigte Systemdateien
• Virenangriffe oder Malware
• Windows-Updates, die Konflikte verursachen

Die verschiedenen Typen von Dump-Dateien in Windows

Windows erstellt je nach Einstellung unterschiedliche Arten von Dump-Dateien. Es ist wichtig, den Unterschied zu kennen, damit Sie die passenden Informationen finden.

Minidump (Small Memory Dump)

Der Minidump ist die kleinste und häufigste Variante. Er hat in der Regel eine Größe von 64 KB bis 256 KB und enthält grundlegende Informationen: den Fehlercode, eine Liste der geladenen Treiber und einige wenige Stack-Frames. Minidumps werden standardmäßig im Ordner C:\Windows\Minidump gespeichert. Für die meisten Analysen reicht dieser Typ jedoch völlig aus.

Kernelspeicherabbild (Kernel Memory Dump)

Der Kerneldump ist deutlich umfangreicher und erfasst den gesamten Speicher, den der Windows-Kernel zum Absturzzeitpunkt belegt hat. Die Dateigröße variiert je nach RAM-Belegung, beträgt aber typischerweise mehrere Hundert Megabyte. Dieser Typ liefert tiefere Einblicke in Treiberprobleme und Kernel-Fehler. Er wird als C:\Windows\MEMORY.DMP gespeichert und bei jedem neuen Absturz überschrieben.

Vollständiges Speicherabbild (Complete Memory Dump)

Der komplette Dump enthält den gesamten physischen Arbeitsspeicher zum Zeitpunkt des Absturzes. Entsprechend groß ist die Datei – bei 16 GB RAM also auch rund 16 GB. Dieser Typ ist für Profis und Entwickler gedacht und für die Alltagsanalyse in der Regel überdimensioniert.

Automatisches Speicherabbild (Automatic Memory Dump)

Seit Windows 8 und Windows 10 gibt es außerdem den automatischen Dump. Er verhält sich ähnlich wie der Kerneldump, passt die Dateigröße jedoch dynamisch an. Dieser Typ ist die Standardeinstellung in Windows 10 und Windows 11.

Wo Windows Crash-Dateien speichert – die wichtigsten Pfade

Bevor Sie mit der Analyse beginnen können, müssen Sie wissen, wo die Dump-Dateien liegen. Die wichtigsten Speicherorte in Windows 10 und Windows 11 sind:

• Minidumps: C:\Windows\Minidump\ (mehrere .dmp-Dateien, chronologisch benannt)
• Kerneldump/Vollständiger Dump: C:\Windows\MEMORY.DMP
• Ereignisprotokolle: C:\Windows\System32\winevt\Logs\

Zusätzlich speichert Windows detaillierte Fehlerprotokolle in der Ereignisanzeige, die ebenfalls wertvolle Hinweise liefert. Darauf gehen wir weiter unten ein.

Dump-Einstellungen in Windows 11/10 prüfen und anpassen

Damit Windows überhaupt Crash-Dateien erstellt, müssen die richtigen Einstellungen aktiv sein. Prüfen Sie das wie folgt:

Schritt 1: Drücken Sie Windows-Taste + Pause, um die Systemeigenschaften zu öffnen. Alternativ öffnen Sie die Systemsteuerung → System → Erweiterte Systemeinstellungen.

Schritt 2: Klicken Sie im Reiter „Erweitert“ unter dem Abschnitt „Starten und Wiederherstellen“ auf „Einstellungen“.

Schritt 3: Im Dropdown-Menü unter „Debuginformationen schreiben“ wählen Sie idealerweise „Kleines Speicherabbild (256 KB)“ oder „Automatisches Speicherabbild“ aus.

Schritt 4: Stellen Sie sicher, dass der Pfad für Minidumps auf %SystemRoot%\Minidump gesetzt ist.

Schritt 5: Aktivieren Sie außerdem die Option „Systemprotokollereignis schreiben“, damit der Absturz auch in der Ereignisanzeige erfasst wird. Bestätigen Sie mit OK.

Crash-Dateien auslesen – die besten Tools im Überblick

Es gibt mehrere Programme, mit denen Sie Dump-Dateien öffnen und analysieren können. Hier stellen wir Ihnen die empfohlenen Vorgehensweisen und die passenden Tools vor.

BlueScreenView von NirSoft – der einfache Einstieg

BlueScreenView ist das empfohlene Tool für Einsteiger. Es ist kostenlos, benötigt keine Installation und zeigt alle Minidumps in einer übersichtlichen Liste an. Zudem hebt es automatisch den Treiber oder Prozess hervor, der wahrscheinlich den Absturz verursacht hat.

So verwenden Sie BlueScreenView:

1. Laden Sie BlueScreenView von der offiziellen NirSoft-Website (nirsoft.net) herunter. Die Datei heißt bluescreenview.zip.
2. Entpacken Sie das Archiv und starten Sie BlueScreenView.exe – eine Installation ist nicht nötig.
3. Das Programm sucht automatisch im Standardpfad C:\Windows\Minidump nach Dump-Dateien und listet alle gefundenen Abstürze auf.
4. Klicken Sie auf einen Eintrag in der oberen Liste. In der unteren Hälfte sehen Sie dann alle Treiber und Module, die zum Zeitpunkt des Absturzes aktiv waren. Rot markierte Einträge sind besonders verdächtig.
5. Notieren Sie den Fehlercode (z. B. DRIVER_IRQL_NOT_LESS_OR_EQUAL) und den fehlerhaften Treiber (z. B. nvlddmkm.sys für Nvidia-Grafiktreiber).

WhoCrashed – automatische Fehleranalyse auf Deutsch

WhoCrashed von Resplendence Software ist ebenfalls kostenlos und bietet eine noch benutzerfreundlichere Analyse. Das Tool liest Dump-Dateien aus und erzeugt daraus einen leicht verständlichen Analysebericht auf Deutsch oder Englisch.

So verwenden Sie WhoCrashed:

1. Laden Sie WhoCrashed von der Website resplendence.com herunter (kostenlose Version reicht aus).
2. Installieren und starten Sie das Programm.
3. Klicken Sie auf „Analyze“. WhoCrashed durchsucht automatisch alle verfügbaren Dump-Dateien.
4. Lesen Sie den generierten Bericht. Er enthält Hinweise wie: „Der Absturz wurde wahrscheinlich durch den Treiber XY verursacht.“
5. Folgen Sie den Empfehlungen des Berichts, zum Beispiel einen Treiber zu aktualisieren oder zu deinstallieren.

WinDbg – das professionelle Debugging-Tool von Microsoft

WinDbg (Windows Debugger) ist das offizielle Microsoft-Tool für die tiefgreifende Analyse von Dump-Dateien. Es ist kostenlos im Microsoft Store oder als Teil der Windows SDK verfügbar. Allerdings erfordert es etwas mehr technisches Know-how.

So analysieren Sie eine Dump-Datei mit WinDbg:

1. Installieren Sie WinDbg Preview über den Microsoft Store (Suche nach „WinDbg Preview“).
2. Starten Sie WinDbg und öffnen Sie über Datei → Open Dump File die gewünschte .dmp-Datei aus C:\Windows\Minidump.
3. Warten Sie, bis WinDbg die Symboldateien herunterlädt (Internetverbindung erforderlich). Diese Symbole sind notwendig, um Fehlercodes korrekt zu interpretieren.
4. Geben Sie im Befehlsfenster den Befehl !analyze -v ein und drücken Sie Enter. Dieser Befehl startet eine automatische Detailanalyse.
5. WinDbg gibt daraufhin eine ausführliche Ausgabe aus, die unter anderem enthält:

• Den Fehlercode (Bug Check Code)
• Den fehlerhaften Treiber oder Prozess
• Den Stack Trace (Abfolge der Funktionsaufrufe vor dem Absturz)

1. Suchen Sie in der Ausgabe nach der Zeile, die mit Probably caused by beginnt. Dort steht der wahrscheinliche Verursacher des Absturzes.

Die Ereignisanzeige von Windows nutzen

Neben Dump-Dateien ist die Windows-Ereignisanzeige (Event Viewer) eine wichtige Informationsquelle. Sie protokolliert alle kritischen Systemereignisse, Warnungen und Fehler – auch solche, die keinen vollständigen BSOD ausgelöst haben.

So öffnen Sie die Ereignisanzeige:

1. Drücken Sie Windows + R, tippen Sie eventvwr.msc ein und bestätigen Sie mit Enter.
2. Navigieren Sie zu Windows-Protokolle → System.
3. Filtern Sie die Einträge nach Fehler und Kritisch. Klicken Sie dazu auf „Aktuelles Protokoll filtern“ in der rechten Seitenleiste.
4. Suchen Sie nach Einträgen kurz vor dem Absturzzeitpunkt. Besonders relevant sind Ereignis-IDs wie 41 (Kernel-Power-Fehler, also unerwarteter Neustart) und 1001 (Windows-Fehlerberichterstattung).
5. Klicken Sie auf einen Eintrag, um Details zu sehen, darunter Quelle, Beschreibung und teilweise auch den Fehlercode.

Zusätzlich bietet die Ereignisanzeige unter Anwendungs- und Dienstprotokolle → Microsoft → Windows → Reliability die sogenannte Zuverlässigkeitsüberwachung. Diese zeigt eine grafische Zeitachse aller Fehler, Abstürze und Installationen an – besonders nützlich, um festzustellen, ob ein bestimmtes Ereignis (z. B. ein Windows-Update oder eine Software-Installation) den Beginn der Abstürze ausgelöst hat.

Häufige Fehlercodes und ihre Bedeutung

Viele Abstürze lassen sich anhand des Bug Check Codes (auch Stop-Code oder BSOD-Code genannt) schnell einordnen. Hier sind die häufigsten Codes und ihre typischen Ursachen:

DRIVER_IRQL_NOT_LESS_OR_EQUAL (0x000000D1)
Dieser Fehler tritt fast immer auf, wenn ein Treiber auf einen unerlaubten Speicherbereich zugreift. Häufige Verursacher sind Netzwerktreiber, Grafiktreiber oder VPN-Software. Aktualisieren oder deinstallieren Sie den betreffenden Treiber.

PAGE_FAULT_IN_NONPAGED_AREA (0x00000050)
Auch dieser Fehler deutet auf einen fehlerhaften Treiber oder defekten RAM hin. Führen Sie zusätzlich den Windows-Speicherdiagnosetest durch (mdsched.exe).

SYSTEM_SERVICE_EXCEPTION (0x0000003B)
Dieser Code erscheint, wenn ein Systemdienst oder Treiber eine unzulässige Operation ausführt. Häufig sind Antivirenprogramme oder veraltete Treiber die Ursache.

CRITICAL_PROCESS_DIED (0x000000EF)
Ein kritischer Windows-Prozess wie lsass.exe oder csrss.exe ist unerwartet beendet worden. Mögliche Ursachen sind Malware, beschädigte Systemdateien oder fehlerhafte Updates.

MEMORY_MANAGEMENT (0x0000001A)
Dieser Fehler deutet auf ein Problem mit dem Arbeitsspeicher hin – entweder ein Hardwaredefekt oder ein Softwarefehler bei der Speicherverwaltung.

IRQL_NOT_LESS_OR_EQUAL (0x0000000A)
Ähnlich wie der D1-Fehler, jedoch breiter gefächert. Treiber, RAM-Defekte und Übertaktung kommen als Ursachen infrage.

Treiber als häufigste Absturzursache beheben

Da Treiber in den meisten BSOD-Fällen die Hauptursache sind, lohnt es sich, hier zuerst anzusetzen. Die empfohlene Vorgehensweise:

Schritt 1 – Fehlerhaften Treiber identifizieren: Nutzen Sie BlueScreenView oder WhoCrashed, um den Namen der fehlerhaften .sys-Datei herauszufinden. Eine .sys-Datei ist immer ein Kerneltreiber.

Schritt 2 – Treiber aktualisieren: Öffnen Sie den Geräte-Manager (devmgmt.msc), klicken Sie mit der rechten Maustaste auf das betreffende Gerät und wählen Sie „Treiber aktualisieren“. Alternativ besuchen Sie die Website des Herstellers direkt, da Windows Update nicht immer den neuesten Treiber liefert.

Schritt 3 – Treiber zurücksetzen: Falls der Absturz nach einem Treiber-Update begann, können Sie im Geräte-Manager über Eigenschaften → Treiber → Vorherige Treiberversion wiederherstellen zur funktionierenden Version zurückkehren.

Schritt 4 – Treiber deinstallieren: Wenn weder Aktualisieren noch Zurücksetzen hilft, deinstallieren Sie den Treiber vollständig. Für Grafiktreiber empfehlen wir dazu das kostenlose Tool DDU (Display Driver Uninstaller), das Treiberreste rückstandslos entfernt.

Systemdateien reparieren mit SFC und DISM

Beschädigte Windows-Systemdateien können ebenfalls Abstürze verursachen. Glücklicherweise bietet Windows zwei eingebaute Werkzeuge zur Reparatur:

SFC (System File Checker):

1. Öffnen Sie die Eingabeaufforderung als Administrator (Rechtsklick auf das Startmenü → „Terminal (Administrator)“ oder „Eingabeaufforderung (Administrator)“).
2. Geben Sie folgenden Befehl ein und drücken Sie Enter:
   sfc /scannow
3. Warten Sie, bis der Scan abgeschlossen ist. Das kann einige Minuten dauern. SFC prüft alle geschützten Systemdateien und ersetzt beschädigte Dateien automatisch.

DISM (Deployment Image Servicing and Management):

Falls SFC Fehler findet, aber nicht beheben kann, führen Sie anschließend DISM aus:

1. Geben Sie in der Administrator-Eingabeaufforderung ein:
   DISM /Online /Cleanup-Image /RestoreHealth
2. Warten Sie auf den Abschluss. Danach führen Sie erneut sfc /scannow aus, um verbliebene Fehler zu beheben.
3. Starten Sie den Computer anschließend neu.

RAM und Hardware auf Fehler prüfen

Wenn Dump-Dateien auf Speicherfehler hinweisen, sollten Sie den Arbeitsspeicher (RAM) testen. Windows bringt dafür das Programm Windows-Speicherdiagnose mit.

So führen Sie den Test durch:

1. Drücken Sie Windows + R, geben Sie mdsched.exe ein und bestätigen Sie.
2. Wählen Sie „Jetzt neu starten und nach Problemen suchen“.
3. Windows startet neu und führt den Speichertest automatisch durch. Das Ergebnis sehen Sie nach dem nächsten Windows-Start in der Ereignisanzeige (Ereignisquelle: „MemoryDiagnostics-Results“).

Für eine tiefergehende RAM-Prüfung empfehlen wir außerdem das kostenlose Tool MemTest86. Es bootet vom USB-Stick unabhängig von Windows und führt mehrere Testdurchläufe durch, die zuverlässiger als der integrierte Windows-Test sind.

Zuverlässigkeitsüberwachung – der unterschätzte Helfer

Die Zuverlässigkeitsüberwachung von Windows ist ein oft übersehenes, aber äußerst praktisches Werkzeug. Sie bietet eine grafische Zeitachse aller Systemereignisse und zeigt auf einen Blick, wann welche Fehler aufgetreten sind.

So öffnen Sie die Zuverlässigkeitsüberwachung:

1. Drücken Sie Windows + S und suchen Sie nach „Zuverlässigkeitsverlauf anzeigen“.
2. Alternativ: Öffnen Sie die Systemsteuerung → Sicherheit und Wartung → Zuverlässigkeitsverlauf anzeigen.
3. Sie sehen nun ein Diagramm mit einem Stabilitätsindex (1–10). Rote Kreise markieren kritische Fehler, gelbe Rauten Warnungen.
4. Klicken Sie auf einen roten Kreis, um Details zum jeweiligen Absturz zu sehen, darunter Programm- und Systemfehler sowie den genauen Zeitstempel.

Abstürze verhindern – empfohlene Vorgehensweisen

Neben der Analyse ist natürlich die Prävention entscheidend. Deshalb empfehlen wir folgende Maßnahmen:

• Treiber regelmäßig aktualisieren, insbesondere Grafik-, Netzwerk- und Chipsatztreiber.
• Windows Updates zeitnah einspielen – sie enthalten oft wichtige Stabilitätsfixes.
• Nur ein Antivirenprogramm gleichzeitig verwenden, da zwei Programme sich gegenseitig stören können.
• Temperatur überwachen mit Tools wie HWiNFO64 oder Core Temp, um Überhitzung frühzeitig zu erkennen.
• Systemwiederherstellungspunkte aktivieren, damit Sie bei Problemen schnell zurückkehren können.
• Regelmäßige Backups mit dem Windows-eigenen Backup oder Tools wie Macrium Reflect Free anlegen.

FAQ: Crash-Dateien und BSOD unter Windows

Was ist eine .dmp-Datei und kann ich sie öffnen?

Eine .dmp-Datei ist ein Windows-Speicherabbild. Sie können diese Datei nicht einfach mit einem Texteditor öffnen, da sie binäre Daten enthält. Stattdessen benötigen Sie spezielle Programme wie BlueScreenView, WhoCrashed oder WinDbg, um den Inhalt lesbar zu machen und zu analysieren.

Wo finde ich die Minidump-Dateien in Windows 11/10?

Minidump-Dateien befinden sich standardmäßig im Ordner C:\Windows\Minidump. Jede Datei ist nach Datum und Uhrzeit des Absturzes benannt, zum Beispiel Mini050326-01.dmp für den 3. Mai 2026. Falls der Ordner leer ist, prüfen Sie die Dump-Einstellungen unter Systemsteuerung → System → Erweiterte Systemeinstellungen → Starten und Wiederherstellen.

Warum erstellt Windows keine Dump-Datei nach einem Absturz?

Dafür kann es mehrere Gründe geben: Die Dump-Einstellung ist deaktiviert (auf „Keines“ gesetzt), die Auslagerungsdatei ist deaktiviert (Windows benötigt sie zum Schreiben von Dumps), oder die Systempartition hat zu wenig freien Speicherplatz. Prüfen Sie außerdem, ob das Zielverzeichnis vorhanden und beschreibbar ist.

Kann ein BSOD durch Software verursacht werden?

Ja, durchaus. Obwohl viele Blue Screens auf Treiber oder Hardware zurückzuführen sind, können auch Antivirenprogramme, VPN-Treiber, Übertaktungssoftware oder fehlerhafte Windows-Updates einen BSOD auslösen. Deshalb ist die genaue Analyse der Dump-Datei so wichtig – sie zeigt, welcher Treiber oder Prozess beteiligt war.

Was bedeutet der Fehlercode KERNEL_SECURITY_CHECK_FAILURE?

Dieser Fehlercode erscheint, wenn Windows eine Speicherkorruption oder einen Sicherheitsverstoß im Kernel erkennt. Häufige Ursachen sind defekter RAM, veraltete Treiber oder Malware. Führen Sie zunächst einen Speichertest mit MemTest86 durch und prüfen Sie Ihre Treiber.

Wie oft darf Windows abstürzen, bevor ich mir Sorgen machen sollte?

Ein einmaliger Absturz ist in der Regel kein Grund zur Sorge, sofern er nicht wieder auftritt. Wenn Windows jedoch mehrfach pro Woche abstürzt oder immer denselben Fehlercode zeigt, liegt ein ernstes Problem vor, das analysiert und behoben werden sollte – idealerweise mit den in diesem Artikel genannten Tools.

Kann ich BSOD-Fehler auch ohne Neuinstallation beheben?

In den meisten Fällen ja. Treiberupdates, SFC/DISM-Reparaturen und RAM-Tests lösen die Mehrheit der Absturzprobleme, ohne dass Windows neu installiert werden muss. Eine Neuinstallation ist in der Regel nur dann sinnvoll, wenn sich keine andere Ursache finden lässt oder das System schwerwiegend beschädigt ist.

Was ist der Unterschied zwischen einem BSOD und einem Systemabsturz ohne Bluescreen?

Ein BSOD (Blue Screen of Death) ist ein kontrollierter Absturz – Windows erkennt einen kritischen Fehler und hält das System absichtlich an, um weiteren Schaden zu verhindern, und erstellt dabei eine Dump-Datei. Ein harter Absturz ohne Bluescreen (z. B. plötzlicher Neustart oder Abschalten) deutet dagegen oft auf ein Hardwareproblem hin, etwa Überhitzung, Netzteilprobleme oder defekten RAM, da Windows keine Zeit hatte, geordnet zu reagieren.

Muss ich als normaler Benutzer WinDbg verstehen können?

Nein. WinDbg ist ein professionelles Tool für Entwickler und erfahrene Systemadministratoren. Für die meisten Anwender reichen BlueScreenView oder WhoCrashed vollkommen aus – beide Tools stellen die wichtigsten Informationen übersichtlich und verständlich dar. WinDbg ist nur dann nötig, wenn Sie sehr tiefe Analysen durchführen möchten oder der Fehler mit einfacheren Tools nicht identifizierbar ist.

Wie lange bewahrt Windows Minidump-Dateien auf?

Windows überschreibt ältere Minidump-Dateien nicht automatisch, sofern genügend Speicherplatz vorhanden ist. Der Ordner C:\Windows\Minidump kann daher mit der Zeit sehr viele Dateien enthalten. Sie können alte Dump-Dateien bedenkenlos manuell löschen, wenn Sie sie nicht mehr benötigen. Der Kerneldump MEMORY.DMP hingegen wird bei jedem neuen Absturz überschrieben.

Fazit

Crash-Dateien in Windows 11 und Windows 10 sind kein Hexenwerk – mit den richtigen Tools wie BlueScreenView, WhoCrashed oder WinDbg lassen sich Abstürze schnell und gezielt analysieren. Zudem helfen die Ereignisanzeige und die Zuverlässigkeitsüberwachung dabei, Fehler im Überblick zu behalten.

Wer die Ursache kennt, kann gezielt handeln: Treiber aktualisieren, Systemdateien reparieren oder Hardware testen. So lassen sich die meisten BSOD-Probleme beheben, ohne Windows neu installieren zu müssen.