vmilens 10 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo und guten Tag! An unserem 2K3-Standard Server mit TS-Clients wurde am 19.10. ganz normal ein Windows Update gemacht. Nach dem Neustart trat im Anwendungsprotokoll erstmals ein bisher noch nie gesehener Fehler auf - Fehler 1004 fehlgeschlagene Anwendung svchost.exe, fehlgeschlagenes Modul ntdll.dll. Es ergibt sich genau das Bild, das hier im Beitrag "2K3 - selbstständiges deaktivieren von svchost.exe mit ntdll.dll und msvcrt.dll " von CaIvin beschrieben ist. Wundersam ist nur, dass die in der nächsten Meldung angezeigte Speicheradresse immer dieselbe ist. Unser Server ist immer auf dem neuesten Update-Stand gehalten worden. Ich habe alles zu diesem Fehler abgearbeitet, auch was ich sonst noch im Internet gefunden habe. Dann, weil ja ein Speicherfehler angezeigt wird, habe ich die Speichermodule ausgetauscht. Als das nichts genutzt hat, habe ich das Mainboard ausgetauscht, wieder neue Speichermodule draufgesetzt, hat auch nichts gebracht. Die angezeigte Speicheradresse ist immer die selbe geblieben. Ob mit /PAE in der Boot.ini oder mit /NOPAE - es ändert sich nichts - außer dem angezeigten RAM. Bei /NOPAE werden 3 GB angezeigt, bei /PAE 4 GB. Ich habe nach den neuesten Treibern für die Hardware gesucht und sie installiert, ich habe Hotfixes von Microsoft installiert, so sie noch nicht sowieso bei den Updates dabei waren, nichts hat irgendwas gebessert. Das System läuft eine Weile rund, dann tritt der Fehler auf. Meist passiert sonst gar nichts. Aber nach einigen Malen fällt dann der Serverdienst aus, oder die Anzeige der Clients wird nicht mehr richtig aktualisiert, oder ein wiederangemeldeter Client erhält nach der Anmeldung nur einen blauen Bildschirm während die Anderen weiterarbeiten können, usw. Oder alles auf einmal! Außer der Meldung 1004 mit svchost.exe und der danach folgenden Meldung mit dem Speicherbereich steht aber keine Fehlermeldung in den Protokollen. Manchmal kann man den Server ganz normal Neustarten, manchmal hilft nur noch der Reset-Knopf (zu meinen grauen Haaren kommen dann noch ein paar dazu, bisher hat die Datenbank aber nicht wirklich gemeckert). Hat jemand von Euch noch eine Idee? Vielen Dank im Vorraus vmilens Zitieren Link zu diesem Kommentar
XP-Fan 215 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 Hallo und herzlich Willkommen, prüfe mal mittels sfc /scannow ob es sich bei dein angesprochenen Dateien noch um die originalen Systemdateien handelt oder ob du einen Schädling auf dem System hast. Zitieren Link zu diesem Kommentar
vmilens 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Danke für den Hinweis. Diese Möglichkeit hatte ich tatsächlich nicht genutzt. Nach lustigem CD-Suchen für jung und alt und nachdem der letzte Kollege sich verabschiedet hat, habe ich die Überprüfung gestartet. Und siehe da, das komplette Faxsystem, von uns zwar nicht genutzt, hatte ältere Versionsnummern. Warum weiß ich auch nicht. Und dann war da noch eine merkwürdige Meldung: "Es wurde versucht, die geschützte Systemdatei c:\windows\explorer.exe zu ersetzen. Diese Datei wurde von der Originalversion wiederhergestellt, um die Systemstabilität zu gewährleisten. Die Dateiversion der ungültigen Datei ist 6.0.3790.3959; die Version der Systemdatei ist 6.0.3790.3959." Ich hoffe, dass es das war. Nach der Datensicherung starte ich das System neu und wenn der Fehler dann nicht mehr auftritt, poste ich das hier noch. vmilens Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 hallo, mal als schuss ins blaue: schau doch mal ob du irgendwo im dateisystem eine host32.exe findest Zitieren Link zu diesem Kommentar
vmilens 10 Geschrieben 28. Oktober 2010 Autor Melden Teilen Geschrieben 28. Oktober 2010 Hallo Jim di Griz, ich habe den ganzen Server abgesucht, es ist keine host32.exe zu finden. Net-Mail habe ich nicht drauf, und Symantecs pcanywhere mit seiner awhost32.exe verwenden wir auch seit ewigen Zeiten nicht mehr. Viele Grüße vmilens Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 28. Oktober 2010 Melden Teilen Geschrieben 28. Oktober 2010 war ein schuss ins blaue. ein virusbefall, aktueller virusscanner hatte nichts gemerkt und explorer.exe wurde modifiziert. Zitieren Link zu diesem Kommentar
vmilens 10 Geschrieben 31. Oktober 2010 Autor Melden Teilen Geschrieben 31. Oktober 2010 Hallo an alle Halloween-Geschädigten und nicht-Geschädigten! Ohne den Feiertag morgen wäre das Wochenende schon bald rum und ich weiß jetzt, was los war. Da hatte sich ein Rootkit eingeschlichen. Remover.exe von Gdata zeigte an, dass im MBR ein Rootkit-Virus steckte. Also CMD ausgeführt, sfc /scanonce eingegeben, Rechner runtergefahren. Diskettenlaufwerk angeschlossen, von Installations-CD gebootet, F6 gedrückt, RAID-Treiber geladen, mit "R" in die Wiederherstellungskonsole gegangen, fixmbr eingegeben. Neugestartet. Eingeloggt. Gewartet bis Windows-Dateischutz fertig war. Virenscanner gestartet. Und siehe da: böse Dinge gefunden. Neugestartet. Nun hat der Server nichts mehr zu meckern und summt zufrieden vor sich hin. Noch ein schönes Restwochenende. vmilens Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.