none
Windows 2003 [Server], [Workstation] , [Computer Browser] Service 異常停止 RRS feed

  • 一般討論

  • 各位先進,
      在下在 Windows 2003 環境發現 Server, Workstation , Computer Browser Service  異常停止,從系統Even Log 中未發現有停止Service 訊息,若針對 [svchost.exe -k netsvcs] 有一訊息是 
      -------------------------------------------------------------
    在 Windows Management Instrumentation 服務意外終止後,服務控制管理員嘗試進行修正操作 (重新啟動服務),但這個操作失敗,因為發生下列錯誤:
    服務的例項已在執行中。

    ---------------------------------------------------------------
    請問[Server],[Workstation],[Computer Browser] 三項會什麼狀況被停止 ?

    • 已變更類型 Vincent Lin 2009年9月9日 上午 11:15
    2009年9月3日 上午 07:53

所有回覆

  • 1.是否有進行Windows Update到最新?
    2.可以檢查看看是否有感染病毒
       (透過惡意軟體移除工具掃看看http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356)
    3.問題發生多久了?回想看看問題發生前是否有安裝過什麼軟體或做過什麼變更?


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月4日 上午 02:50
  • 目前比較麻煩是在 EVEN LOG 找不到事件及確切發生時間,只有在要連接到該台SHARE FOLDER  才發現Service 被關掉。

    希望有哪位先進提供經驗去找出問題。

    ps.  因為是 Product 環境無法做太多嚐試及安裝其他工具。
    2009年9月7日 上午 03:06
  • 如果可以的話..麻煩你幫我蒐集一些系統資訊來看看是否有蛛絲馬跡可循

    Microsoft Product Support Reports
    http://www.microsoft.com/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en

    執行時..會勾選要蒐集的項目..請全部勾選..最後結束時選擇儲存檔案..會產生一個.cab的壓縮檔
    再將檔案上傳到下面空間 (進入後直接輸入密碼)

    https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4

    密碼: gH*3G]qrf89Lr@


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月7日 上午 05:22
  • 儘快請相關人員收集,屆時在麻煩你。 Thks
    2009年9月7日 上午 06:57
  • Hi,
      我已經將檔案上傳,檔案名稱 - BOS01_MpsReports.cab, 請抽空看一下 ,謝謝 !
    2009年9月18日 上午 08:34
  • 大概看了一下
    發現幾個問題

    1.系統只有更新到SP2而已..然後只安裝了一個Hotfix..其餘都尚未更新

    2.事件檢視器裡面的安全性log內有發現稽核失敗的事件..在很短的時間內在嘗試進行Administrator和一些帳號的登入動作

    3.除了你提到的三個服務外..還有一些重要服務如 BITS .. Automatic Update都是停止的狀態

    4.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 裡面,把右邊的netsvc項目點開來後..最後有幾項比較可疑的服務
    下面這幾個服務也在事件檢視器裡面(系統)有產生一些錯誤訊息

    kphpg
    dpnyo
    tqlwkifcz
    cynosu
    zhiqiz
    klnwa

    不確定你是否有用過惡意軟體移除工具進行掃描的動作
    如果沒有的話建議你做一下

    也建議你將該Server進行Windows Update至最新狀態

    你的狀況我覺得感染病毒的機率很大

    有可能是感染Conficker .. 參考資料: http://support.microsoft.com/kb/962007/zh-tw

    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月21日 上午 06:13
  • 已經找到問題,謝謝協助 !

    是否有相關文件提供如何由 ms_REPORT 收集資料去分析客戶問題 ?

    2009年10月26日 上午 02:12
  • 最後問題是因為感染病毒的關係嗎? 還是其他的原因呢?

    另外..沒有文件有說明怎麼去分析MPSReport耶..^^"
    通常都是先看事件檢視器..然後再針對問題的伺服器角色去看log (如DC的話就是看 dcdiag , netdiag之類的)
    如果有時間可以每個都點來看..就比較能知道這台電腦的環境是怎樣


    微軟技術支援服務
    2009年10月26日 上午 02:35
  • 不好意思,又發生。前次有掃到 Conficker 也清除,重開之後今天早上又發現 Service 被停止,請問還有其他因素 ?
    2009年10月27日 上午 02:38
  • 可能要確定Conficker是否有真的被清除..因為他算是滿難搞得一隻病毒
    如果之前有正常過..那就表示是跟病毒有關
    建議你再檢查看看
    微軟技術支援服務
    2009年10月27日 上午 02:46
  • 在 System Event Log 有看到一個奇怪訊息 "lwtpdyb 服務已成功地傳送一個 開始 控制。 " , 
    接下來就出現"在 Windows Management Instrumentation 服務意外終止後,服務控制管理員嘗試進行修正操作 (重新啟動服務),但這個操作失敗,因為發生下列錯誤:服務的例項已在執行中。 "


    lwtpdyb 服務並不存在,是否為餘毒 ?
    2009年10月27日 上午 03:11
  • 有可能..你檢查看看下面機碼

    在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 裡面,把右邊的netsvc項目點開來後
    找看看是否有 lwtpdyb 這東西

    只要你的網路環境內有人感染Conficker的話..就有可能大量傳播開來
    建議你檢查環境內所有電腦是否有更新到最新
    否則至少也要安裝 MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

    另外..這篇文章可以參考看看

    Conficker Worm: Help Protect Windows from Conficker
    http://technet.microsoft.com/en-us/security/dd452420.aspx
    微軟技術支援服務
    2009年10月27日 上午 03:17

  • 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost netsvc 項目
    AeLookupSvc
    AppMgmt
    AudioSrv
    Browser
    CryptSvc
    DMServer
    EventSystem
    HidServ
    Ias
    Iprip
    Irmon
    LanmanServer
    LanmanWorkstation
    Messenger
    Netman
    Nla
    Ntmssvc
    NWCWorkstation
    Nwsapagent
    Rasauto
    Rasman
    Remoteaccess
    Sacsvr
    Schedule
    Seclogon
    SENS
    Sharedaccess
    Themes
    TrkWks
    TrkSvr
    WZCSVC
    Wmi
    WmdmPmSp
    winmgmt
    xmlprov
    BITS
    wuauserv
    ShellHWDetection
    helpsvc
    WmdmPmSN
    kphpg
    dpnyo
    tqlwkifcz
    cynosu
    zhiqiz
    klnwa
    ftgyg

    沒有相關Service
    2009年10月27日 上午 08:36
  • kphpg
    dpnyo
    tqlwkifcz
    cynosu
    zhiqiz
    klnwa
    ftgyg

    這幾個都是比較怪的東西..

    先透過下面步驟蒐集一些資料來看看

    1.下載此檔案 http://download.sysinternals.com/Files/ProcessExplorer.zip

    2.解壓縮後執行Procexp.exe

    3.視窗出現後點選上方的 "View" -> "Lower Pane View" -> 勾選 "DLLs"

    4.再點選上方的 "View" -> "Show Lower Pane" (此時下面就會多出一欄)

    5.在視窗上面那欄會有很多svchost.exe..滑鼠由標移到上面時會出現他所帶的一些服務
    找到其中一個有上面那幾個奇怪的東西時..點他一下並點畫面左上角的File -> Save As , 他會存成一個.txt的檔案

    6.把該檔案上傳到免費空間(如http://www.badongo.com)給我看看


    微軟技術支援服務
    2009年10月27日 上午 08:56
  • 我已上傳資料

    http://www.badongo.com/file/18077962



    看不出有異狀, 麻煩你協助 !
    2009年10月28日 上午 09:24
  • 在裡面看到非常多的.exe程式在該台電腦上面執行
    而且這台XP是SP2的環境...中毒的機率非常大..
    可能在檢查看看吧
    ------------------------------

    BRNIPC.exe 5088   
     UPDTP.EXE 4040   
     INQTP.EXE 4280   
     RIMTP.EXE 5228   
     EXPTP.EXE 956   
     BATTP.EXE 5216   
     MULTP.EXE 5252   
     SLOTP.EXE 5388   
     BRNIPC.exe 1420   
     UPDTP.EXE 4420   
     INQTP.EXE 5908   
     RIMTP.EXE 984   
     EXPTP.EXE 368   
     BATTP.EXE 4592   
     MULTP.EXE 276   
     SLOTP.EXE 3720   
     BRNIPC.exe 1976   
     UPDTP.EXE 296   
     INQTP.EXE 4288   
     RIMTP.EXE 5880   
     EXPTP.EXE 1980   
     BATTP.EXE 796   
     MULTP.EXE 4048   
     SLOTP.EXE 6028  
    微軟技術支援服務
    2009年10月28日 上午 09:55
  • 這些是已知 應用系統執行檔;這台是 Windows Server 2003 R2 with SP2 ,不是 XP SP2
    2009年10月28日 上午 09:58
  • 如果那些.exe是自行開發的應用程式的話..那應該是不會有太大問題

    可能要在麻煩你再次蒐集一下MPSReport來看看..一樣上傳到下面網址即可

    https://sftasia.one.microsoft.com/choosetransfer.aspx?key=556ed802-944b-4007-9ff9-0cc466e421f4

    密碼: gH*3G]qrf89Lr@


    另外..我想確認一下
    1.這台Server目前的更新狀況是跟之前一樣還是已經更新至最新?
    2.除了這台電腦之外..其他台電腦是否有此狀況產生?


    微軟技術支援服務
    2009年10月29日 上午 02:31
  • 已上傳 MS Report - BOS01_MpsReports.cab  , 請抽空看一下!
    2009年11月6日 上午 10:37
  • 我覺得目前的環境上應該還是有人有感染病毒
    在security的eventlog裡面還是有之前看到的問題
    就是短時間內會有很多的帳號登入失敗的稽核紀錄

    應該有下面三台電腦..可能要在那三台上面掃一下毒看看是否有感染

    來源工作站: B4202206IN
    來源工作站: FXCONTROL
    來源工作站: CHB-DNS240
    微軟技術支援服務
    2009年11月11日 上午 10:14