0x000000f4 Win server 2008r2
 

добрый день. стоит на гипер-ви сервак 2008r2 Standart. Оперативки выделено 32гб и 6 виртуальных процессоров. стал падать в синий экран по 0x000000f4 CRITICAL_OBJECT_TERMINATION. в события есть вот такая запись: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x000000f4 (0x0000000000000003, 0xfffffa8305b00940, 0xfffffa8305b00c20, 0xfffff80001f65190). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 042518-13203-01.

Дамп открыл в BlueScreenView и весом он 950 метров. в нем есть 2 красные строки. мне не понятны они. прошу помощи. Железо все в порядке (HP Proliant g360p Gen8, RAM 172gb, SAS 2x146 (Mirror) SAS 6x300gb (RAID6))

часто падает? обновления мож какие поставились?систему откатить не пробовал на место где проблем не было?Производилось ли до этого увеличение выделенных ресурсов этой системе? Если часто-то есть ли второй сервак или машина на который можно развернуть эту систему и там проверить работу?

sfc /scannow делали?

Касперский установлен?
проблема возможно с драйвером у каспера.
строчки в дампе
WARNING: Unable to verify timestamp for klif.sys

Каспер стоит. выпадант часто раза 3-4 в день а то и больше. откат немного не возможет, т.к. это сервер РДП для клиентов а у них рабочие столы и их данные. ранее было ввыделено 32гига оперативнки и 4 вирт ядра...я докинул оперативы 48гигов(но система больше 32 не принимает) и сделал 6 вирт процов..вот 7 минут назад снова упал

Обновления ставил, но падал и до них....кто то порекомендовал поставить все обновления, вот и попробЫвал....результат - 0

и еще появилась вот такая ошибка: Компонент X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента

P.S. каспера грохнул

tiss42rus, sfc делал...

И?

не ребутал сервак еще....юзвери работают...
минут через 10 ребутну....все равно надо будет время, чтобы узнать есть эффект или нет

kalion-kill, в дампе сбой процесса wahiver.exe - относится к WaspAce - для чего вам это на сервере?

Честно говоря не имею понятия что это. я сервер взял на обслугу не так давно..и не совсем еще успел разобраться...после 11 часов работы снова упал по f4. последний дамп в прицепе

и вот еще

сейчас данной строчки в дампе нету, поскольку падает все равно дело видимо не в этом. Можно вернуть каспера думаю


не разобрался еще что с этим процессом?

висит в процессах он на данный момент....процесс завершал, но он появляется снова...

kalion-kill, сносите к едрёной бабушке этот ваш автокликер WaspAce!

kalion-kill, судя по тому, в какой папке он сидит, его туда поместил вирус. И он внедрён в статусе Critical object, поэтому при завершении процесса система падает.

Лечение систем от вредоносных программ

P.S. CureIt и Касперский, по-видимому, не ловят его только потому, что WaspAce формально не является вирусом. Но зловреды часто используют его для своих целей, об этом очевидным образом говорят первые же ссылки из интернета по запросу wahiver.exe.

Как снести то его? я даже добраться до него не могу.....указанной в сообщении папки вообще нет в природе...

я его даже отследить не могу....создал его дамп, может он чем поможет....https://yadi.sk/d/gG4nHNmj3Uns8m

вот еще....

Нажмите Win+R -> введите:
C:\Windows\Inf\sqldbserv\0009\v3.5.56385\1049\5.0

Но прежде чем переименовать, поищите ссылки на wahiver.exe в реестре.

P.S. Можете ковырять вручную (если хотите), но в разделе Лечение систем от вредоносных программ более опытные специалисты на этом собаку съели - там почистят эффективнее.

на это вылазит ошибка доступа - "Не доступа к C:\Windows\Inf\sqldbserv\0009\v3.5.56385\1049\5.0" Отказано в доступе

Чисто в реестре...

предлагаете там тему создать? ибо поиске не дали результата...

папки там вообще нет...

Включите отображение скрытых и системных файлов/папок.
Да.

загрузись с загрузочного диска и удали wahiver.exe в этом пути "C:\Windows\Inf\sqldbserv\0009\v3.5.56385\1049\5.0\" так будет проще думаю. плохо верится что в реестре нет. В ряде случаев он еще может быть от службы зависеть. но возможно это не ваш случай https://greatis.com/appdata/d/Window...ahiver.exe.htm

можешь через командную строку ее попробовать увидеть
открой cmd
введи последовательно команды
cd c:\windows\inf\
dir

должны скрытые тоже показываться


Копию виртуалки только имей. А то после удаления мож при обращении и последующем отсутствии файла начнет падать

Нашел я эту папку, только по всем указанным рекомендациям не дает удалить этот файл...

ты пробовал загрузиться c windowsLiveCD например?

kalion-kill, лучше не удалять, а переименовать (сохранить в карантине, затем перезагрузиться).

не дает переименовать.....требует права какого то мать его администратора....хотя в системе работаю под админом

не имею возможности пока ребутнуть сервак, пользователи работают....там к нему подключены 7 удаленных точек с Фронтолом...даже если и загружусь, удалить все равно не даст....это если только тормозить виртуалку, подключить VHD как образ и открыть его...найти эту папку с этим файлом и переименовать его....потом вернуть все на родину, запустить сервак и посмотреть что будет....будут ли ошибки в логах и будет ли эта служба в процессах

он не должен спрашивать никаких прав когда с liveCD загружаешься. С какого именно загрузочного образа ты загружался?

как вариант можно попробовать с помощью программы unlocker удалить но потребуется перезагрузка тут описано как удалять. http://masterservis24.ru/243-udalit-...y-i-papki.html

еще как вариант тебе Petya V4sechkin, скидывал как получить права, можно назначить себя владельцем в параметрах безопасности и дать все права, но это будет более сложно, да даже если и получишь он может не дать удалить из за того что загружен.

О, пардон, не увидел сообщения о том что нет возможности ребутаться. Тогда ссылку дал тебе Petya V4sechkin

пробЫвал так сделать....пишет, что нет прав на изменение параметров

второй способ из той статьи тоже делал? Если не получается, то видимо придется ждать варианта с остановкой виртуалки.

если загрузишься с livecd и вдруг получится то покажи этот момент

ну вот уже сутки прошли...полет нормальный погляжу еще пару дней.....пользователи только стали замечать, что их из рдп выкидывает раза по три в день....в журнале на серверке вот такая ошибка только IP всегда разные....Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 188.69.129.248.

Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 188.69.129.248.

Ломать вас пытаются. Боты и школота разная. Сервер, поди, голой ж...й в Интернет смотрит?

Айпи белый....инет идет через KerioControl...стоит на виртуалке, на другом компе.....через керио же построены туннели на другие точки.....каким образом еще ж....у то прикрыть? антивирей нет правда на машинах...даже на серверах....руководство жмет денег...

Организовать, например, VPN-подключение к своей сети. Все любопытные сразу отсечены.

Ой, ну не надо... Microsoft Security Essentials для Windows 7 и Windows Defender для Windows 8.х никто не отменял. А они бесплатные! Да и других бесплатных полно.