none
Постоянные сообщения от DEP и записи о них в журнале RRS feed

  • Общие обсуждения

  • Во время работы постоянно выскакивает окно, сообщающее о предотвращении выполнения процесса svchost.exe. Система Windows 2003 Server R2 Standard. Проверка на вирусы ничего не показывает.

    1. Просмотр событий

    1.1 Приложение

    Тип события: Уведомление

    Источник события: Application Error

    Категория события: (100)

    Код события: 1004

    Дата: 24.02.2009

    Время: 16:25:55

    Пользователь: Н/Д

    Компьютер: LIBR1

    Описание:

    Отчет об ошибке постановки в очередь: ошибка приложения svchost.exe, версия 5.2.3790.3959, модуль unknown, версия 0.0.0.0, адрес 0x71bf3969.

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

    Данные:

    0000: 41 70 70 6c 69 63 61 74 Applicat

    0008: 69 6f 6e 20 46 61 69 6c ion Fail

    0010: 75 72 65 20 20 73 76 63 ure svc

    0018: 68 6f 73 74 2e 65 78 65 host.exe

    0020: 20 35 2e 32 2e 33 37 39 5.2.379

    0028: 30 2e 33 39 35 39 20 69 0.3959 i

    0030: 6e 20 75 6e 6b 6e 6f 77 n unknow

    0038: 6e 20 30 2e 30 2e 30 2e n 0.0.0.

    0040: 30 20 61 74 20 6f 66 66 0 at off

    0048: 73 65 74 20 37 31 62 66 set 71bf

    0050: 33 39 36 39 3969

    1.2 Система

    Тип события: Уведомление

    Источник события: Application Popup

    Категория события: Отсутствует

    Код события: 26

    Дата: 24.02.2009

    Время: 16:41:42

    Пользователь: Н/Д

    Компьютер: LIBR1

    Описание:

    Всплывающее окно приложения: svchost.exe - Ошибка приложения : Инструкция по адресу "0x71bf3969" обратилась к памяти по адресу "0x71bf3969". Память не может быть "written".

    "ОК" -- завершение приложения

    "Отмена" -- отладка приложения

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".


    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    27 февраля 2009 г. 8:59

Все ответы

  • http://support.microsoft.com/default.aspx/kb/910666/en-us
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 февраля 2009 г. 9:25
  •  Спасибо, теперь осталось выждать, когда к серверу не будет обращений, и тогда применю решение.
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    27 февраля 2009 г. 14:35
  •  Будем ждать ответа!
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    27 февраля 2009 г. 19:30
  •  
    Приписавл в boot.ini ключ /NOPAE , эффекта нет
    Я так понимаю, что если дописать /NOEXECUTE=alwaysoff, то просто выключим DEP, чтобы не вопил, но это будет метод прячущегося страуса.

    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    2 марта 2009 г. 15:26
  • SFC /scannow делали? Отчеты в "Майкрософт" отправляли?
     Попробуйте поочередно отключать все сторонние службы.
    2 марта 2009 г. 15:54
    Модератор
  • В ответ на  SFC /scannow консоль выдает феерический ответ: "Чтобы использовать программу "Проверка файлов Windows", надо выполнять сеанс консоли, имея права администратора." Естественно, что эти права у меня есть, так же пробовал создать свежий административный аккаунт, но в нем наблюдалась та же картина.
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    3 марта 2009 г. 13:15
  • может попробовать runas ?


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    3 марта 2009 г. 13:21
  • посмотрите, в выводе команды whoami /all из под вашей учётной записи есть группа Administrators с SID = S-1-5-32-544?
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    3 марта 2009 г. 13:24
  • >>>может попробовать runas ?
    Runas самого себя и также второго админ. аккаунта только дает запуск на доли секунды какого-то окна, которое стразу же исчезает, и запуск которого в журнале событий не упоминается.

    >>>в выводе команды whoami /all из под вашей учётной записи есть группа Administrators с SID = S-1-5-32-544?
    Есть, для обоих аккаунтов.

    PS: мы все умрем? :)


    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    3 марта 2009 г. 13:58
  •  хорошо, показывайте полный whoami /all для вашей учётной записи. И, я надеюсь, вы это не через терминал делаете, а непосредственно из консоли?
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    3 марта 2009 г. 14:00
  • Вот он, полный вывод в cmd от whoami /all: 

    Сведения о пользователе
    ----------------

    Пользователь   SID
    ============== =============================================
    libr1\marsikus S-1-5-21-349436579-2559822089-3524117684-1029


    Сведения о группах
    -----------------

    Группа                                 Тип                     SID          Атри
    буты
    ====================================== ======================= ============ ====
    ==========================================================================
    Все                                    Хорошо известная группа S-1-1-0      Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    BUILTIN\Администраторы                 Псевдоним               S-1-5-32-544 Обяз
    ательная группа, Включены по умолчанию, Включенная группа, Владелец группы
    BUILTIN\Пользователи                   Псевдоним               S-1-5-32-545 Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\REMOTE INTERACTIVE LOGON  Хорошо известная группа S-1-5-14     Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\ИНТЕРАКТИВНЫЕ             Хорошо известная группа S-1-5-4      Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Прошедшие проверку        Хорошо известная группа S-1-5-11     Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Данная организация        Хорошо известная группа S-1-5-15     Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    ЛОКАЛЬНЫЕ                              Хорошо известная группа S-1-2-0      Обяз
    ательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Проверка подлинности NTLM Хорошо известная группа S-1-5-64-10  Обяз
    ательная группа, Включены по умолчанию, Включенная группа


    Сведения о привилегиях
    ----------------------

    Имя привилегии                  Описание
     Область, край
    =============================== ================================================
     =============
    SeChangeNotifyPrivilege         Обход перекрестной проверки
     включен
    SeSecurityPrivilege             Управление аудитом и журналом безопасности
     Отключен
    SeBackupPrivilege               Архивирование файлов и каталогов
     Отключен
    SeRestorePrivilege              Восстановление файлов и каталогов
     Отключен
    SeSystemtimePrivilege           Изменение системного времени
     Отключен
    SeShutdownPrivilege             Завершение работы системы
     Отключен
    SeRemoteShutdownPrivilege       Принудительное удаленное завершение
     Отключен
    SeTakeOwnershipPrivilege        Овладение файлами или иными объектами
     Отключен
    SeDebugPrivilege                Отладка программ
     Отключен
    SeSystemEnvironmentPrivilege    Изменение параметров среды оборудования
     Отключен
    SeSystemProfilePrivilege        Профилирование загруженности системы
     Отключен
    SeProfileSingleProcessPrivilege Профилирование одного процесса
     Отключен
    SeIncreaseBasePriorityPrivilege Увеличение приоритета диспетчирования
     Отключен
    SeLoadDriverPrivilege           Загрузка и выгрузка драйверов устройств
     Отключен
    SeCreatePagefilePrivilege       Создание страничного файла
     Отключен
    SeIncreaseQuotaPrivilege        Настройка квот памяти для процесса
     Отключен
    SeUndockPrivilege               Извлечение компьютера из стыковочного узла
     Отключен
    SeManageVolumePrivilege         Запуск операций по обслуживанию тома
     Отключен
    SeImpersonatePrivilege          Олицетворение клиента после проверки подлинности
     включен
    SeCreateGlobalPrivilege         Создание глобальных объектов
     включен


    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    3 марта 2009 г. 14:48
  • Продедал /NOPAE и /NOEXECUTE=alwaysoff , в старом аккаунте ситуация не исправилась, два раза ребутался, после чего в новом аккаунте безобразие не происходило. Но через дня три в новом аккаунте началось все то же самое.
    В справке уопминался вариант с нехваткой памяти, может быть в этом дело? На сервере установлено всего 2ГБ ОЗУ. Работает IIS и SQL2005 c базой объёмом 2 ГБ. Perfmon со счетчиком свободной памяти показывает около 275 МБ, загрузка процессора все время около нуля процентов.

    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!!!
    19 марта 2009 г. 14:50