morio 10 Geschrieben 9. September 2005 Melden Teilen Geschrieben 9. September 2005 Hallo, ich haben an einem Notebook mit Windows XP Home Edition SP1 (Ausgangskonfiguration) folgendes Problem: Beim Hochfahren des OS stürzen einige Windows Dienste ab (Konfigurationsfrei drahtlose Verbindung; Sicherheitscenter; Windows-Verwaltungsinstrumentarien; Windows-Zeitgeber; Designs; Systemwiederherstellung; Windows-Firewall; Systembenachrichtigung; Sekundäre Anmeldung; Taskplaner; Arbeitsstationsdienst; Server; Infrarotüberwachung; Hilfe und Support; Fehlerberichterstattung; DHCP-Client; Kryptografiedienste; Computerbrowser; Windows-Audio [eigentlich das Halbe System ;) ]). Bei einigen meldet sich der Windows Zugriffsschutz und schmeißt die Dienste raus. Auch das Deaktivieren des Zugriffschutzes hat nichts gebracht. Tätigkeiten: - Mit aktuellem Virenscanner alle Viren und Würmer (SDBot etc.) entfernt. -> OK - Mittels ProcessExplorer und TCPview Auffälligkeiten überprüft. -> Keine hinweise auf offene Ports (die nicht da sein sollen ;) gefunden. Auch keine Prozesse die nicht zu Windows gehören. - Virenscanner; Wurmscanner; Spy-Scanner zur Sicherheit von Boot-CD über die gesamte Platte laufen lassen -> nichts gefunden System sauber. Problem tritt immer noch auf! :mad: - Windows XP SP2 installiert -> OK Problem tritt immer noch auf! :mad: - Mittels Autorunns alle (inkl. Dienste; Explorer-; IE-Erweiterungen) abgeschalten. Es war nur noch die UserInit aktiviert, damit ich mich anmelden kann. selbst der Explorer war deaktiviert. Windows Startet, keine Dienstabstürze sind festzustellen (wie auch, ist ja nichts aktiviert) - Nach Ausschlußverfahren Erstmal nur einige Dienste von A-S aktiviert (Rest (IE; Explorer etc.) wie gehabt. Dienste stürzen wieder ab! Es ist im Übrigen nicht User-Abhängig, da das gleiche Problem auch bei neu angelegten User auftritt. - Gleiches noch mal, nur diesmal Dienste von T-Z Gleicher Effekt -> Es kann also nicht an einem Dienst liegen. - Alle Gerätetreiber deaktiviert, die ich nicht benötige (und das sind viele :)) Problem besteht immer noch - Recovery System Wiederhergestellt um Hardware Probleme auszuschließen -> Läuft ohne Probleme - Zur Sicherheit den Speicher (ctmemtest) und die HDD überprüft -> OK - Ursprüngliches System wiederhergestellt. Alle betroffenen Dienste auf "Dienst neu starten" (1. bis weitere) konfiguriert. Das Problem tritt immer noch auf (war ja auch zu erwarten), jedoch können werden alle Dienste korrekt gestartet und bleiben dies auch nach dem 3. Neustart auch, bis auf folgende Dienste: "Sicherheitscenter"; "Windows-Firewall"; "Computerbrowser" Möchte ich die Firewall starten, dann erscheint "Fehler 5: Zugriff verweigert" - Firewall mit FileMon gestartet. -> Alles OK hier werden keine Fehler wie FILE NOT FOUND; ACCESS DENIED angezeigt. - RegMon hab ich noch nicht ganz ausgewertet, da auf sehr viele Pfade zugegriffen wird und auch viele BUFFER OVERFLOWS auftreten. Das ganze Verhalten riecht schwer nach einem Wurm. Allerdings habe ich bis auf die Auswirkungen keine weiteren Anzeichen (wie offene Ports; unbekannte Prozesse; Zugriff auf Log-Dateien) gefunden. Und jetzt zum Witz an der Sache: Wie so oft in der EDV verbergen sich hinter anfänglich kleinen Problemen doch größere Fehler als man Anfangs dachte. In meinen Fall ist das gemeldete Problem, daß der Windows Media Player direkt nach dem Start noch funktioniert und nach wenigen Minuten keine Dateien Wiedergeben möchte! :) Mir liegt einiges Daran, herauzufinden was die Ursache ist. Sicher ist das System mittels Recovery schnell wiederhergestellt. Aber heir geht es um die Ehre und den Berufsethos :D Für jeden Tipp und Hilfe Dankbar morio Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 9. September 2005 Melden Teilen Geschrieben 9. September 2005 Hallo, bei aller Berufsehre, wenn du noch 80 Stunden für das Problem hast, dann mach so weiter, du bist auf dem richtigen Weg und wirst mit den Tools das Problem finden, da bin ich sicher ;) Ich persönlich würde mich freuen, dass auf so einem Rechner ein Wiederherstellungspunkt existiert und auch noch in Ordnung ist, diesen verwenden und den Rest neu installieren (spart Zeit und Nerven). Grüße :) Olaf Zitieren Link zu diesem Kommentar
morio 10 Geschrieben 9. September 2005 Autor Melden Teilen Geschrieben 9. September 2005 Hallo Olaf, ich habe zwar nicht ganz 80 Stunden investiert, kann mir allerdings das Recovery sparen. :) Mit dem FileMon und RegMon bin ich nicht sonderlich weit gekommen, da hier kein Problem auftritt. Alle Zugriffe verlaufen innerhalb der normalen Parameter. Ergo, mußte das Problem im Speicher auftreten. Um diesen zu debuggen habe ich mir die Debugging Tools von MS samt Symbol-Dateien heruntergeladen. Beim Debugging habe ich festgestellt, daß nach dem Zugriff (innerhalb des Speichers) auf die AUERSWLD.TSP die Prozeduren zum Errorreporting aufgerufen wurden. Der Rest war ein Kinderspiel. Auerswald TAPI Treiber aus der TAPI Konfiguration entfern, zur Sicherheit Datei umbenannt und System neu gestartet. -> Alles einwandfrei! :D Beste Grüße morio Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.