ID de evento 1000 Erro de aplicativo cmd.exe kernelbase.dll

tag-icon tag-icon windows-server-2012-r2 windows-event-log windows-command-prompt
ID de evento 1000 Erro de aplicativo cmd.exe kernelbase.dll

Encontrei um erro recorrente nos logs de eventos do meu servidor Windows 2012 R2 Hyper-V. O evento de erro é mostrado abaixo.

Erro 16/12/2020 15:47:31 Erro de aplicativo 1000 (100) Falha

nome do aplicativo: CMD.exe, versão: 6.3.9600.17415, carimbo de data/hora: 0x545042b1 Nome do módulo com falha: KERNELBASE.dll, versão: 6.3.9600.19678, carimbo de data/hora: 0x5e82c88a Código de exceção: 0xc0000142 Deslocamento de falha: 0x00000000000ecf40 ID do processo com falha: 0x3290 Aplicativo com falha hora de início: 0x01d6d3c2c2c9aa7d Caminho do aplicativo com falha: C:\Windows\System32\CMD.exe Caminho do módulo com falha: KERNELBASE.dll ID do relatório: 0164a878-3fb6-11eb-8109-cd63031d6b26 Nome completo do pacote com falha: ID do aplicativo relativo ao pacote com falha:

Parece estar acontecendo em determinados horários da tarde, por volta das 15h e 16h. Verifiquei se há alguma tarefa agendada em execução no momento, mas não consigo identificar nenhuma. Executei uma verificação SFC para ver se o kernelbase.dll foi corrompido, mas a verificação retornou sem problemas.

Alguém já se deparou com esse problema antes? e em caso afirmativo, você pode informar o que foi feito para corrigi-lo?

Responder1

Você provavelmente desejaria primeiro descobrir quem está realmente executando o cmd.exe, que não está incluído no evento. Eu primeiro examinaria seu log de eventos de segurança para ver se você temEventos 4688 e 4689lá. Você pode então procurar o evento 4688 que ocorreu na mesma época em que ocorreu o erro do aplicativo (embora seja possível que o cmd.exe tenha sido executado por um tempo antes de travar).

Se passar pelo log de eventos de segurança for muito tedioso, você também poderá instalar uma versão de avaliação gratuita doEntrada de eventoso que normaliza os eventos de segurança da atividade do processo e facilita sua pesquisa.

O evento 4688 também pode incluir argumentos de linha de comando se a política de grupo estiver configurada dessa forma (consulte o link system32 acima), o que deve ajudar a rastrear o que está causando isso.

informação relacionada