Jump to content
Sign in to follow this  
vmilens

Fehler 1004 bei svchost.exe mit ntdll.dll

Recommended Posts

Hallo und guten Tag!

 

An unserem 2K3-Standard Server mit TS-Clients wurde am 19.10. ganz normal ein Windows Update gemacht. Nach dem Neustart trat im Anwendungsprotokoll erstmals ein bisher noch nie gesehener Fehler auf - Fehler 1004 fehlgeschlagene Anwendung svchost.exe, fehlgeschlagenes Modul ntdll.dll.

Es ergibt sich genau das Bild, das hier im Beitrag "2K3 - selbstständiges deaktivieren von svchost.exe mit ntdll.dll und msvcrt.dll " von CaIvin beschrieben ist. Wundersam ist nur, dass die in der nächsten Meldung angezeigte Speicheradresse immer dieselbe ist.

Unser Server ist immer auf dem neuesten Update-Stand gehalten worden.

Ich habe alles zu diesem Fehler abgearbeitet, auch was ich sonst noch im Internet gefunden habe.

Dann, weil ja ein Speicherfehler angezeigt wird, habe ich die Speichermodule ausgetauscht. Als das nichts genutzt hat, habe ich das Mainboard ausgetauscht, wieder neue Speichermodule draufgesetzt, hat auch nichts gebracht. Die angezeigte Speicheradresse ist immer die selbe geblieben.

Ob mit /PAE in der Boot.ini oder mit /NOPAE - es ändert sich nichts - außer dem angezeigten RAM. Bei /NOPAE werden 3 GB angezeigt, bei /PAE 4 GB.

Ich habe nach den neuesten Treibern für die Hardware gesucht und sie installiert, ich habe Hotfixes von Microsoft installiert, so sie noch nicht sowieso bei den Updates dabei waren, nichts hat irgendwas gebessert.

Das System läuft eine Weile rund, dann tritt der Fehler auf. Meist passiert sonst gar nichts. Aber nach einigen Malen fällt dann der Serverdienst aus, oder die Anzeige der Clients wird nicht mehr richtig aktualisiert, oder ein wiederangemeldeter Client erhält nach der Anmeldung nur einen blauen Bildschirm während die Anderen weiterarbeiten können, usw. Oder alles auf einmal!

Außer der Meldung 1004 mit svchost.exe und der danach folgenden Meldung mit dem Speicherbereich steht aber keine Fehlermeldung in den Protokollen.

Manchmal kann man den Server ganz normal Neustarten, manchmal hilft nur noch der Reset-Knopf (zu meinen grauen Haaren kommen dann noch ein paar dazu, bisher hat die Datenbank aber nicht wirklich gemeckert).

 

Hat jemand von Euch noch eine Idee?

 

Vielen Dank im Vorraus

vmilens

Share this post


Link to post

Hallo und herzlich Willkommen,

 

prüfe mal mittels sfc /scannow ob es sich bei dein angesprochenen Dateien noch um die

originalen Systemdateien handelt oder ob du einen Schädling auf dem System hast.

Share this post


Link to post

Danke für den Hinweis. Diese Möglichkeit hatte ich tatsächlich nicht genutzt. Nach lustigem CD-Suchen für jung und alt und nachdem der letzte Kollege sich verabschiedet hat, habe ich die Überprüfung gestartet. Und siehe da, das komplette Faxsystem, von uns zwar nicht genutzt, hatte ältere Versionsnummern. Warum weiß ich auch nicht. Und dann war da noch eine merkwürdige Meldung:

 

"Es wurde versucht, die geschützte Systemdatei c:\windows\explorer.exe zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der ungültigen Datei ist 6.0.3790.3959; die Version der Systemdatei ist 6.0.3790.3959."

 

Ich hoffe, dass es das war. Nach der Datensicherung starte ich das System neu und wenn der Fehler dann nicht mehr auftritt, poste ich das hier noch.

 

vmilens

Share this post


Link to post

Hallo Jim di Griz,

ich habe den ganzen Server abgesucht, es ist keine host32.exe zu finden. Net-Mail habe ich nicht drauf, und Symantecs pcanywhere mit seiner awhost32.exe verwenden wir auch seit ewigen Zeiten nicht mehr.

 

Viele Grüße

vmilens

Share this post


Link to post

Hallo an alle Halloween-Geschädigten und nicht-Geschädigten!

Ohne den Feiertag morgen wäre das Wochenende schon bald rum und ich weiß jetzt, was los war.

Da hatte sich ein Rootkit eingeschlichen. Remover.exe von Gdata zeigte an, dass im MBR ein Rootkit-Virus steckte.

Also CMD ausgeführt, sfc /scanonce eingegeben, Rechner runtergefahren. Diskettenlaufwerk angeschlossen, von Installations-CD gebootet, F6 gedrückt, RAID-Treiber geladen, mit "R" in die Wiederherstellungskonsole gegangen, fixmbr eingegeben.

Neugestartet. Eingeloggt. Gewartet bis Windows-Dateischutz fertig war. Virenscanner gestartet. Und siehe da: böse Dinge gefunden.

Neugestartet.

Nun hat der Server nichts mehr zu meckern und summt zufrieden vor sich hin.

 

Noch ein schönes Restwochenende.

vmilens

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...