Ich habe in den Ereignisprotokollen meines Windows 2012 R2 Hyper-V-Servers einen wiederkehrenden Fehler festgestellt. Das Fehlerereignis wird unten angezeigt.
Fehler 16/12/2020 15:47:31 Anwendungsfehler 1000 (100) Fehlerhaft
Anwendungsname: CMD.exe, Version: 6.3.9600.17415, Zeitstempel: 0x545042b1 Name des fehlerhaften Moduls: KERNELBASE.dll, Version: 6.3.9600.19678, Zeitstempel: 0x5e82c88a Ausnahmecode: 0xc0000142 Fehleroffset: 0x00000000000ecf40 Fehlerhafte Prozess-ID: 0x3290 Startzeit der fehlerhaften Anwendung: 0x01d6d3c2c2c9aa7d Pfad der fehlerhaften Anwendung: C:\Windows\System32\CMD.exe Pfad des fehlerhaften Moduls: KERNELBASE.dll Berichts-ID: 0164a878-3fb6-11eb-8109-cd63031d6b26 Vollständiger Name des fehlerhaften Pakets: Fehlerhafte paketrelative Anwendungs-ID:
Es scheint zu bestimmten Zeiten am Nachmittag zu passieren, etwa um 15:00 und 16:00 Uhr. Ich habe überprüft, ob zu dieser Zeit irgendwelche geplanten Aufgaben ausgeführt werden, kann aber keine identifizieren. Ich habe einen SFC-Scan ausgeführt, um zu sehen, ob die kernelbase.dll beschädigt wurde, aber der Scan hat keine Probleme ergeben.
Ist jemandem dieses Problem schon einmal begegnet? Und wenn ja, können Sie mir sagen, was zur Behebung des Problems unternommen wurde?
Antwort1
Sie möchten wahrscheinlich zuerst herausfinden, wer cmd.exe tatsächlich ausführt, was nicht im Ereignis enthalten ist. Ich würde zuerst in Ihrem Sicherheitsereignisprotokoll nachsehen, ob Sie4688 und 4689 Ereignissedort. Sie können dann nach dem Ereignis 4688 suchen, das ungefähr zur selben Zeit auftrat, als der Anwendungsfehler auftrat (obwohl es möglich ist, dass cmd.exe eine Weile lief, bevor es abstürzte).
Wenn Ihnen das Durchsuchen des Sicherheitsereignisprotokolls zu mühsam ist, können Sie auch eine kostenlose Testversion vonEventSentryDadurch werden sicherheitsrelevante Prozessaktivitätsereignisse normalisiert und ihre Suche vereinfacht.
Das Ereignis 4688 kann auch die Befehlszeilenargumente enthalten, wenn die Gruppenrichtlinie entsprechend konfiguriert ist (siehe den System32-Link oben). Dies sollte bei der Ermittlung der Ursache hilfreich sein.