none
Анализ файла дампа с помощью выдачи WinDbg. RRS feed

  • Вопрос

  • Всем доброго времени суток!

    Ранее никогда не сталкивался с анализом файла дампа. Помогите, пожалуйста, расшифровать выдачу WinDbg.


    Microsoft (R) Windows Debugger Version 10.0.10586.567 AMD64
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [E:\Working Directory\MEMORY.DMP]
    Kernel Complete Dump File: Full address space is available

    Symbol search path is: srv*
    Executable search path is: 
    Windows 7 Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
    Product: Server, suite: TerminalServer SingleUserTS
    Built by: 7601.23455.amd64fre.win7sp1_ldr.160516-0600
    Machine Name:
    Kernel base = 0xfffff800`01c02000 PsLoadedModuleList = 0xfffff800`01e44730
    Debug session time: Tue Jul 26 11:59:19.647 2016 (UTC + 3:00)
    System Uptime: 1 days 4:58:03.992
    Loading Kernel Symbols
    ...............................................................
    ................................................................
    .....................
    Loading User Symbols
    .....
    Loading unloaded module list
    ..................................................Unable to enumerate user-mode unloaded modules, NTSTATUS 0xC0000147
    Loading Wow64 Symbols
    ................................
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 124, {0, fffffa801a05c028, be000000, 800400}


    "kernel32.dll" was not found in the image list.
    Debugger will attempt to load "kernel32.dll" at given base 00000000`00000000.

    Please provide the full image name, including the extension (i.e. kernel32.dll)
    for more reliable results.Base address and size overrides can be given as
    .reload <image.ext>=<base>,<size>.
    Unable to add module at 00000000`00000000
    Probably caused by : GenuineIntel

    Followup:     MachineOwner
    ---------

    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    WHEA_UNCORRECTABLE_ERROR (124)
    A fatal hardware error has occurred. Parameter 1 identifies the type of error
    source that reported the error. Parameter 2 holds the address of the
    WHEA_ERROR_RECORD structure that describes the error conditon.
    Arguments:
    Arg1: 0000000000000000, Machine Check Exception
    Arg2: fffffa801a05c028, Address of the WHEA_ERROR_RECORD structure.
    Arg3: 00000000be000000, High order 32-bits of the MCi_STATUS value.
    Arg4: 0000000000800400, Low order 32-bits of the MCi_STATUS value.

    Debugging Details:
    ------------------


    "kernel32.dll" was not found in the image list.
    Debugger will attempt to load "kernel32.dll" at given base 00000000`00000000.

    Please provide the full image name, including the extension (i.e. kernel32.dll)
    for more reliable results.Base address and size overrides can be given as
    .reload <image.ext>=<base>,<size>.
    Unable to add module at 00000000`00000000

    DUMP_CLASS: 1

    DUMP_QUALIFIER: 402

    BUILD_VERSION_STRING:  7601.23455.amd64fre.win7sp1_ldr.160516-0600

    SYSTEM_MANUFACTURER:  System manufacturer

    SYSTEM_PRODUCT_NAME:  System Product Name

    SYSTEM_SKU:  SKU

    SYSTEM_VERSION:  System Version

    BIOS_VENDOR:  American Megatrends Inc.

    BIOS_VERSION:  1701

    BIOS_DATE:  02/01/2013

    BASEBOARD_MANUFACTURER:  ASUSTeK COMPUTER INC.

    BASEBOARD_PRODUCT:  P8Z77-V LX

    BASEBOARD_VERSION:  Rev X.0x

    DUMP_TYPE:  0

    BUGCHECK_P1: 0

    BUGCHECK_P2: fffffa801a05c028

    BUGCHECK_P3: be000000

    BUGCHECK_P4: 800400

    BUGCHECK_STR:  0x124_GenuineIntel

    CPU_COUNT: 4

    CPU_MHZ: c79

    CPU_VENDOR:  GenuineIntel

    CPU_FAMILY: 6

    CPU_MODEL: 3a

    CPU_STEPPING: 9

    CPU_MICROCODE: 6,3a,9,0 (F,M,S,R)  SIG: 16'00000000 (cache) 16'00000000 (init)

    DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

    PROCESS_NAME:  postgres.exe

    CURRENT_IRQL:  f

    ANALYSIS_SESSION_HOST:  DMITRY

    ANALYSIS_SESSION_TIME:  07-26-2016 23:08:32.0978

    ANALYSIS_VERSION: 10.0.10586.567 amd64fre

    DEVICE_OBJECT: fffffa801ac85dc0

    DRIVER_OBJECT: 0000000000000000

    STACK_TEXT:  
    fffff800`019e4a98 fffff800`021faa3b : 00000000`00000124 00000000`00000000 fffffa80`1a05c028 00000000`be000000 : nt!KeBugCheckEx
    fffff800`019e4aa0 fffff800`01d8bbff : 00000000`00000001 fffffa80`1a7af4b0 00000000`00000000 fffffa80`1a7af500 : hal!HalBugCheckSystem+0x1e3
    fffff800`019e4ae0 fffff800`021fa700 : 00000000`00000728 fffffa80`1a7af4b0 fffff800`019e4e70 fffff800`019e4e00 : nt!WheaReportHwError+0x26f
    fffff800`019e4b40 fffff800`021fa052 : fffffa80`1a7af4b0 fffff800`019e4e70 fffffa80`1a7af4b0 00000000`00000000 : hal!HalpMcaReportError+0x4c
    fffff800`019e4c90 fffff800`021f9f0d : 00000000`00000004 00000000`00000001 fffff800`019e4ef0 00000000`00000000 : hal!HalpMceHandler+0x9e
    fffff800`019e4cd0 fffff800`021ede88 : fffffa80`173e0320 fffffa80`1d0526a8 00000000`00000000 00000000`00000000 : hal!HalpMceHandlerWithRendezvous+0x55
    fffff800`019e4d00 fffff800`01c6fcec : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : hal!HalHandleMcheck+0x40
    fffff800`019e4d30 fffff800`01c6fb53 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KxMcheckAbort+0x6c
    fffff800`019e4e70 fffff800`01c8f93c : fffff880`17430480 00000000`00000000 00000000`0047e000 fffff8a0`10ea9590 : nt!KiMcheckAbort+0x153
    fffff880`174303e0 fffff800`01c74548 : 00000000`0000000a 00000000`00000000 00000000`00000000 00000000`00000000 : nt!MmUnlockPages+0x2cc
    fffff880`17430470 fffff880`0141c84c : fffffa80`18e50e40 00000000`00000001 00000000`00000000 00000000`00000000 : nt!IopfCompleteRequest+0x168
    fffff880`17430560 fffff880`01423af3 : fffff8a0`0758d6f0 fffffa80`18e50e40 00000000`00000000 fffff8a0`0758d6f0 : Ntfs!NtfsExtendedCompleteRequestInternal+0x11c
    fffff880`174305a0 fffff880`01423cd3 : fffffa80`18e50e40 fffffa80`1ac85ab0 fffff880`17430700 fffff880`00004000 : Ntfs!NtfsCommonWrite+0x377d
    fffff880`17430750 fffff880`01218bcf : fffffa80`1ac85d78 fffffa80`1ac85ab0 fffffa80`1ed6ab10 00000000`00000000 : Ntfs!NtfsFsdWrite+0x1c3
    fffff880`17430810 fffff880`012176df : fffffa80`18cf4de0 00000000`00000001 fffffa80`18cf4d00 fffffa80`1ac85ab0 : fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x24f
    fffff880`174308a0 fffff800`01f7d84a : 00000000`00000001 fffffa80`1d602070 00000000`00000001 fffffa80`1ac85ab0 : fltmgr!FltpDispatch+0xcf
    fffff880`17430900 fffff800`01f895b3 : fffffa80`1ac85dc0 00000000`00000000 fffffa80`1d602070 fffff800`01df0e80 : nt!IopSynchronousServiceTail+0xfa
    fffff880`17430970 fffff800`01c70693 : 00000000`7efdb001 00000000`00000000 00000000`00000000 00000000`00000000 : nt!NtWriteFile+0x7e2
    fffff880`17430a70 00000000`74a22e09 : 00000000`74a229f5 00000000`771f01c4 00000000`74a90023 00000000`00000246 : nt!KiSystemServiceCopyEnd+0x13
    00000000`0022e418 00000000`74a229f5 : 00000000`771f01c4 00000000`74a90023 00000000`00000246 00000000`0075ff20 : wow64cpu!CpupSyscallStub+0x9
    00000000`0022e420 00000000`74a9d286 : 00000000`00000000 00000000`74a21920 00000000`77101220 00000000`7702ca81 : wow64cpu!ReadWriteFileFault+0x31
    00000000`0022e4e0 00000000`74a9c69e : 00000000`00000000 00000000`00000000 00000000`74a94b10 00000000`7ffe0030 : wow64!RunCpuSimulation+0xa
    00000000`0022e530 00000000`7703f9b6 : 00000000`00103f60 00000000`00000000 00000000`7711e670 00000000`77100910 : wow64!Wow64LdrpInitialize+0x42a
    00000000`0022ea80 00000000`7709bb89 : 00000000`00000000 00000000`7703f1d1 00000000`0022f030 00000000`00000000 : ntdll!LdrpInitializeProcess+0x17e3
    00000000`0022ef70 00000000`7702a0ee : 00000000`0022f030 00000000`00000000 00000000`7efdf000 00000000`00000000 : ntdll! ?? ::FNODOBFM::`string'+0x22a30
    00000000`0022efe0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!LdrInitializeThunk+0xe


    STACK_COMMAND:  kb

    THREAD_SHA1_HASH_MOD_FUNC:  d16e5b9facc5414f65976a6bf01996222479a8f2

    THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  82fdef8a380d345334e30e29325aeb7f99ece2ba

    THREAD_SHA1_HASH_MOD:  2138293bd9f524a9b6c80d0de8077e77722f4d8f

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: GenuineIntel

    IMAGE_NAME:  GenuineIntel

    DEBUG_FLR_IMAGE_TIMESTAMP:  0

    IMAGE_VERSION:  

    FAILURE_BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE

    BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE

    PRIMARY_PROBLEM_CLASS:  X64_0x124_GenuineIntel_PROCESSOR_MAE

    TARGET_TIME:  2016-07-26T08:59:19.000Z

    OSBUILD:  7601

    OSSERVICEPACK:  1000

    SERVICEPACK_NUMBER: 0

    OS_REVISION: 0

    SUITE_MASK:  272

    PRODUCT_TYPE:  3

    OSPLATFORM_TYPE:  x64

    OSNAME:  Windows 7

    OSEDITION:  Windows 7 Server (Service Pack 1) TerminalServer SingleUserTS

    OS_LOCALE:  

    USER_LCID:  0

    OSBUILD_TIMESTAMP:  2016-05-17 00:17:48

    BUILDDATESTAMP_STR:  160516-0600

    BUILDLAB_STR:  win7sp1_ldr

    BUILDOSVER_STR:  6.1.7601.23455.amd64fre.win7sp1_ldr.160516-0600

    ANALYSIS_SESSION_ELAPSED_TIME: 3036

    ANALYSIS_SOURCE:  KM

    FAILURE_ID_HASH_STRING:  km:x64_0x124_genuineintel_processor_mae

    FAILURE_ID_HASH:  {addebe90-d04a-b9c9-a39c-2531fe75dd4e}

    Followup:     MachineOwner
    ---------

    26 июля 2016 г. 20:37

Ответы

  • Здравствуйте,

    Согласно коду ошибки WHEA_UNCORRECTABLE_ERROR (124) проблема с железом. Исходя из проблемного компонента:

    MODULE_NAME: GenuineIntel
    IMAGE_NAME:  GenuineIntel
    DEBUG_FLR_IMAGE_TIMESTAMP:  0
    IMAGE_VERSION:  
    FAILURE_BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    PRIMARY_PROBLEM_CLASS:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    
    вероятно проблема с процессором, как вариант понаблюдайте за температурой процессора, как возможное поведение перегревается.


    Best Regards, Andrei ...
    MCP

    26 июля 2016 г. 21:03
    Модератор
  • Сделал из консольной (mstsc /console). Физического доступа к серверу сейчас нет. Лог здесь: https://yadi.sk/d/etUeRLzZtnWBJ 

    То, что postgres.exe - это СУБД я знал. Вопрос в том может ли этот процесс быть причиной зависания?

    Сам по себе не скорее всего не может, но может спровоцировать проблему в железе которая приводит к падению (а не зависанию - при последнем никаких дампов не будет).

    Как вам уже сказали это скорее всего проблема с железом. В первую очередь под подозрением MB и CPU. И, конечно, почти любая проблема может быть вызвана БП.

    Я бы сказал что попытки исправить ситуацию программным путем результата не дадут. Меняйте железо на заведомо исправное для проверки. 


    This posting is provided "AS IS" with no warranties, and confers no rights.

    31 июля 2016 г. 17:15
    Модератор
  • Сделал из консольной (mstsc /console). Физического доступа к серверу сейчас нет. Лог здесь: https://yadi.sk/d/etUeRLzZtnWBJ

    Также лог сделан с терминальной сессии.
    AVZ запущен из терминальной сессии (RDP-Tcp#0)
    На сколько я вижу у Вас на сервере есть еще ПО для удаленного подключения.
    C:\Users\Администратор\Desktop\AA_v3.5.exe - Ammyy Admin
    P.S. В терминальной сессии, не все активные процессы видны утилитой AVZ.


    Best Regards, Andrei ...
    MCP

    31 июля 2016 г. 19:34
    Модератор

Все ответы

  • Здравствуйте,

    Согласно коду ошибки WHEA_UNCORRECTABLE_ERROR (124) проблема с железом. Исходя из проблемного компонента:

    MODULE_NAME: GenuineIntel
    IMAGE_NAME:  GenuineIntel
    DEBUG_FLR_IMAGE_TIMESTAMP:  0
    IMAGE_VERSION:  
    FAILURE_BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    BUCKET_ID:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    PRIMARY_PROBLEM_CLASS:  X64_0x124_GenuineIntel_PROCESSOR_MAE
    
    вероятно проблема с процессором, как вариант понаблюдайте за температурой процессора, как возможное поведение перегревается.


    Best Regards, Andrei ...
    MCP

    26 июля 2016 г. 21:03
    Модератор
  • Проблемы с перегревом точно нет, т. к. температура ЦП не поднималась выше 55 градусов. Сервер стоит на круглосуточном мониторинге.

    А эта строчка: PROCESS_NAME:  postgres.exe что нибудь дает?

    26 июля 2016 г. 21:33
  • А эта строчка: PROCESS_NAME:  postgres.exe что нибудь дает?

    Это может быть как PostgreSQL так и вредоносное ПО. Как вариант пробуйте проверить например на virustotal.com

    Обычно код ошибки WHEA_UNCORRECTABLE_ERROR (124) синализирует о дефекте именно с железом, но возможно проблема с несовместимым драйвером.
    DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT
    Возможные причины:
    -------------------------------------
    This bug check is typically related to physical hardware failures. It can be heat related, defective hardware, memory or even a processor that is beginning to fail or has failed. If over-clocking has been enabled, try disabling it. Confirm that any cooling systems such as fans are functional. Run system diagnostics to confirm that the system memory is not defective. It is less likely, but possible that a driver is causing the hardware to fail with this bug check.
    -------------------------------------
    P.S. Смотрите системные события, т.к. проблема может быть как с процессором(CPU) в случае разгона, памятью (RAM) в этом случае проверьте утилитой memtest86+, так и с контроллером(Raid) если он используется, то пробуйте обновить прошивку/драйвер, в случае если сервер на гарантии обратиться к поставщику за консультацией.

    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 26 июля 2016 г. 23:03 добавлено
    26 июля 2016 г. 22:32
    Модератор
  • Если у Вас есть подозрение на заражение Вашего сервера, тогда предоставьте лог согласно следующей инструкции.

    Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Best Regards, Andrei ...
    MCP

    26 июля 2016 г. 22:40
    Модератор
  • Установил на сервер антивирус Касперского и сделал полную проверку. Ни одного вредоносного объекта выявлено не было.
    28 июля 2016 г. 8:31
  • На сколько Вам удобно предоставить лог антивирусной утилиты AVZ?

    Best Regards, Andrei ...
    MCP

    28 июля 2016 г. 11:02
    Модератор
  • Приношу извинения за долгий ответ. Гугл систему уведомлений с форума занес в спам. Поэтому не знал, что Вы ответили.

    Вот лог:

    Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.46
    Сканирование запущено в 29.07.2016 11:52:12
    Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 01.03.2016 12:37
    Загружены микропрограммы эвристики: 412
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 790760
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: выключено
    Версия Windows: 6.1.7601, Service Pack 1 "Windows Server 2008 R2 Standard", дата инсталляции 22.03.2013 16:54:06 ; AVZ работает с правами администратора (+),AVZ запущен из терминальной сессии (RDP-Tcp#0)
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
     >>>> Подозрение на маскировку файла процесса: c:\windows\system32\hasplms.exe
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
     Анализ ntdll.dll, таблица экспорта найдена в секции .roexp
     Анализ user32.dll, таблица экспорта найдена в секции .text
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    2. Проверка памяти
     Количество найденных процессов: 63
     Количество загруженных модулей: 707
    Проверка памяти завершена
    3. Сканирование дисков
    Прямое чтение C:\Users\Администратор\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
    Прямое чтение C:\Users\Администратор\AppData\Local\Temp\2\~DF2D879FCFC2EED03A.TMP
    Прямое чтение C:\Users\Администратор\AppData\Local\Temp\2\~DF39457E3420E37377.TMP
    Прямое чтение C:\Users\Администратор\AppData\Local\Temp\2\~DF7FE6B4BECBAD6700.TMP
    Прямое чтение E:\Infinity Contact-center\записи разговоров\$Запись\2016_07_29\2016_07_29_12_45_35_882_3001.wav
    Прямое чтение E:\Infinity Contact-center\записи разговоров\$Запись\2016_07_29\2016_07_29_12_45_35_882_7010.wav
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    >>> C:\Users\Администратор\desktop\aa_v3.5.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (@regsvc.dll,-1)
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешены терминальные подключения к данному ПК
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику
    Проверка завершена
    9. Мастер поиска и устранения проблем
     >>  Разрешен автозапуск с HDD
     >>  Разрешен автозапуск с сетевых дисков
     >>  Разрешен автозапуск со сменных носителей
     >>  Скрыта кнопка завершения работы
    Проверка завершена
    Просканировано файлов: 1119698, извлечено из архивов: 76253, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 29.07.2016 12:47:51
    Сканирование длилось 00:55:39
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
    можно использовать сервис http://virusdetector.ru/

    29 июля 2016 г. 9:59
  • Необходим не кусок из лога, а лог вида virusinfo_syscheck.zip
    ---------------------------
    Запустите AVZ*. Откройте в меню "Файл"=>"Стандартные скрипты" и отметьте пункт №2 "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" ("Advanced System Analysis").
    --------------------------

    Также обратите внимание:
    ---------------------
    Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    ---------------------


    Best Regards, Andrei ...
    MCP

    • Изменено SQxModerator 29 июля 2016 г. 10:17 добавлено
    29 июля 2016 г. 10:12
    Модератор
  • Приношу извинение, но я не нашел где можно прикрепить файл. Поэтому залил его на внешний ресурс: https://yadi.sk/d/AFdcm1mAtnDkr 
    31 июля 2016 г. 12:28
  • А эта строчка: PROCESS_NAME:  postgres.exe что нибудь дает?

    Скорее всего это база-данных для ПО 1С:
    C:\Program Files\PostgresPro 1C\9.4\bin\postgres.exe
    Логи AVZ сделаны в терминальной сессии, сделайте их из консоли.
    запущен из терминальной сессии (RDP-Tcp#0)



    Best Regards, Andrei ...
    MCP

    31 июля 2016 г. 15:05
    Модератор
  • Сделал из консольной (mstsc /console). Физического доступа к серверу сейчас нет. Лог здесь: https://yadi.sk/d/etUeRLzZtnWBJ 

    То, что postgres.exe - это СУБД я знал. Вопрос в том может ли этот процесс быть причиной зависания?

    31 июля 2016 г. 16:36
  • Сделал из консольной (mstsc /console). Физического доступа к серверу сейчас нет. Лог здесь: https://yadi.sk/d/etUeRLzZtnWBJ 

    То, что postgres.exe - это СУБД я знал. Вопрос в том может ли этот процесс быть причиной зависания?

    Сам по себе не скорее всего не может, но может спровоцировать проблему в железе которая приводит к падению (а не зависанию - при последнем никаких дампов не будет).

    Как вам уже сказали это скорее всего проблема с железом. В первую очередь под подозрением MB и CPU. И, конечно, почти любая проблема может быть вызвана БП.

    Я бы сказал что попытки исправить ситуацию программным путем результата не дадут. Меняйте железо на заведомо исправное для проверки. 


    This posting is provided "AS IS" with no warranties, and confers no rights.

    31 июля 2016 г. 17:15
    Модератор
  • Благодарю.
    31 июля 2016 г. 19:02
  • Сделал из консольной (mstsc /console). Физического доступа к серверу сейчас нет. Лог здесь: https://yadi.sk/d/etUeRLzZtnWBJ

    Также лог сделан с терминальной сессии.
    AVZ запущен из терминальной сессии (RDP-Tcp#0)
    На сколько я вижу у Вас на сервере есть еще ПО для удаленного подключения.
    C:\Users\Администратор\Desktop\AA_v3.5.exe - Ammyy Admin
    P.S. В терминальной сессии, не все активные процессы видны утилитой AVZ.


    Best Regards, Andrei ...
    MCP

    31 июля 2016 г. 19:34
    Модератор