msvcrt.dll - Операционные системы M$

07.09.2006, 16:23

День добрый!
Помогите разобраться ламеру

Винда 2003
Иса сервер
Контроллер домена
Нод32

В совершенно рандомное время раза 2-3 в сутки выдает Application error:
Faulting application svchost.exe, version 5.2.3790.0, faulting module msvcrt.dll, version 7.0.3790.0, fault address 0x00034d33.
После чего отрубаюца сетевые принтеры, шары сервака.
На вирусы проверялсо - нифига нету.
ps если не в тот раздел написал - сорри.

KomatoZo · 07.09.2006, 16:40

Так... насколько я понимаю, Event ID 1000???
Если так, то посмотрите, работает ли после этого служба computer browser?

07.09.2006, 16:59

KomatoZo
Спасибо

Служба останавливается. Можно конечно поставить ее restore,
но не подскажите в чем суть проблемы?

KomatoZo · 07.09.2006, 17:18

Не. Сегодня не скажу. Трудный был день - завтра покопаюсь. Или может еще кто подскажет. А вот в рестор ее обязательно надо. Насколько я понял по одному из форумов - помогает. Впрочем, трудно все-таки читать то ли по-чешски, то ди по-польски, не знаю ни того ни другого =0)

gluon · 08.09.2006, 10:23

Установлен ли
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx ?

KomatoZo · 08.09.2006, 10:40

gluon
Объясните, причем тут данная уязвимость? Она может дать remote code execution. Но я не увидел, чтобы она вызывала падение службы.
BRaven
Пока ничего конкретного. Но, по личным наблюдениям, проявляется у людей, у которых стоит антивирус на серваке. Возможно неудачный билд или еще какая-нибудь уязвимость. Но это так: ОБС. Я пока еще поищу, а Вы, если есть возможность, снесите антивирус и посмотрите, будет ли проявляться впредь. Шаманство, конечно же, но надо же Вас чем-то занять ;)

UPD:
Терминал на нем не поднят?

gluon · 08.09.2006, 12:19

Цитата:

KomatoZo:
Объясните, причем тут данная уязвимость? Она может дать remote code execution. Но я не увидел, чтобы она вызывала падение службы.

… да я, собственно, не фонтан в этом вопросе, но разве не может какой-нибудь червь использовать подобный баг, ну например, с портами 135, 137, 445, чтобы вызвать аварийное завершение, опять же только к примеру, svchost ?

KomatoZo · 08.09.2006, 12:29

gluon
Теоретически возможно. Но на практике такое возможно только если червь плохо написан и по этой причине просто валится сам и тащит за собой сервис. Обеспечить DoS можно более тонко, а вообще если есть возможность удаленного исполнения кода, то остановка сервиса это глупость и мелочь, по сравнению с тем, что реально можно сделать.
Впрочем, здравое зерно было обнаружено, посему на всякий случай спрошу еще:
1) есть ли какой-нибудь файрволл?
2) как обстоит дело вообще на сервере с обновлениями? По крайней мере SP1 есть?

11.09.2006, 14:45

KomatoZo
из антивирей только нод32, но к нему претензий нет. он на компе появился после появления багов.
а у меня подозрения на 1С ибо тот кто у меня этим занимался что то там шаманил за дня 2 до появления.
стоит фаервол от иса сервера
qulon
не стоит. скачал.

KomatoZo · 11.09.2006, 15:31

BRaven
Ммм... Про 1С хотелось бы поподробнее. Что именно он там шаманил. У меня пока нет ответа на Ваш вопрос, так что подожду еще немного, вдруг кто поможет и после этого попробую взяться за проблему всерьез. Только Ва тогда придется предоставить мне массу информации.

11.09.2006, 20:08

KomatoZo
он шаманил - копался в бд чего-то исправлял. копался долго а потом зачем то что то начальнику показывал. зря в общем. потому что на следующий день ему опять пришлось все настраивать ибо у начальника шаловливые ручки.
впрочем сейчас меня эта проблема интересует чисто из повышения образованности

ибо вылетает теперь 1С иногда, думаю (даже не проверял - лень) вылетает в тот момент когда служба рестартится.
А 1С весь полностью висит на моем коллеге - пусть мучается ибо нефиг просвещать того кого не надо.

KomatoZo · 12.09.2006, 09:01

BRaven
Ну если 1С на BDF ВИСИТ, то вполне может. Хотя в 1С я уже совсем не гуру =)
Ок. Если что появится - свитите - попробуем доразбираться.

12.09.2006, 11:04

KomatoZo
Что есть BDF?
А служба как оказалось после рестора примерно через минуту опять падает
открыл лог и офигел от кол-ва ерроров.

KomatoZo · 12.09.2006, 11:16

Ну она на SQL у Вас работает или как?
Я с пятницы в отпуске, поэтому начинать расследованием с применением поддержки MS смысла не вижу. Придется Вам или своими силами решить или дождаться пока здесь кто-нибудь посоветует что-либо. Ну или я выйду через пару недель, тогда и MS за патч-корд дернем =)

12.09.2006, 11:32

угу, SQL.

03.10.2006, 16:39

Блин. Ну вот. 1С на меня повесили как на крайнего

Проблема в силе

KomatoZo · 03.10.2006, 16:42

Ок, я как раз вышел из отпуска. Завтра начнем-с... =)

Dr.God · 03.10.2006, 23:31

msvcrt.dll - это модуль, содержащий базовые фичи, которые используются многими программами. Соответственно, неверное обращение через него может быть причиной ошибки. Такие вещи хорошо мониторить утилитой Filemon. Есть шанс обнаружить тёмную лошадку в момент падения сервиса. Если мониторинг обращений к файлам не помог, можно попробовать отследить запрос на остановку сервиса через реестр. Юзаем Regmon.

SP есть?

07.09.2006, 16:40	# 2
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Так... насколько я понимаю, Event ID 1000??? Если так, то посмотрите, работает ли после этого служба computer browser? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

07.09.2006, 17:18	# 4
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Не. Сегодня не скажу. Трудный был день - завтра покопаюсь. Или может еще кто подскажет. А вот в рестор ее обязательно надо. Насколько я понял по одному из форумов - помогает. Впрочем, трудно все-таки читать то ли по-чешски, то ди по-польски, не знаю ни того ни другого =0) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

08.09.2006, 10:40	# 6
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	gluon Объясните, причем тут данная уязвимость? Она может дать remote code execution. Но я не увидел, чтобы она вызывала падение службы. BRaven Пока ничего конкретного. Но, по личным наблюдениям, проявляется у людей, у которых стоит антивирус на серваке. Возможно неудачный билд или еще какая-нибудь уязвимость. Но это так: ОБС. Я пока еще поищу, а Вы, если есть возможность, снесите антивирус и посмотрите, будет ли проявляться впредь. Шаманство, конечно же, но надо же Вас чем-то занять ;) UPD: Терминал на нем не поднят? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

08.09.2006, 12:29	# 8
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	gluon Теоретически возможно. Но на практике такое возможно только если червь плохо написан и по этой причине просто валится сам и тащит за собой сервис. Обеспечить DoS можно более тонко, а вообще если есть возможность удаленного исполнения кода, то остановка сервиса это глупость и мелочь, по сравнению с тем, что реально можно сделать. Впрочем, здравое зерно было обнаружено, посему на всякий случай спрошу еще: 1) есть ли какой-нибудь файрволл? 2) как обстоит дело вообще на сервере с обновлениями? По крайней мере SP1 есть? __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

11.09.2006, 14:45	# 9
BRaven Guest Сообщения: n/a	KomatoZo из антивирей только нод32, но к нему претензий нет. он на компе появился после появления багов. а у меня подозрения на 1С ибо тот кто у меня этим занимался что то там шаманил за дня 2 до появления. стоит фаервол от иса сервера qulon не стоит. скачал. Последний раз редактировалось BRaven; 11.09.2006 в 14:55.

07.09.2006, 16:23	# 1
BRaven Guest Сообщения: n/a	msvcrt.dll День добрый! Помогите разобраться ламеру Винда 2003 Иса сервер Контроллер домена Нод32 В совершенно рандомное время раза 2-3 в сутки выдает Application error: Faulting application svchost.exe, version 5.2.3790.0, faulting module msvcrt.dll, version 7.0.3790.0, fault address 0x00034d33. После чего отрубаюца сетевые принтеры, шары сервака. На вирусы проверялсо - нифига нету. ps если не в тот раздел написал - сорри.

07.09.2006, 16:59	# 3
BRaven Guest Сообщения: n/a	KomatoZo Спасибо Служба останавливается. Можно конечно поставить ее restore, но не подскажите в чем суть проблемы?

08.09.2006, 10:23	# 5
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	Установлен ли http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx ?

11.09.2006, 15:31	# 10
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	BRaven Ммм... Про 1С хотелось бы поподробнее. Что именно он там шаманил. У меня пока нет ответа на Ваш вопрос, так что подожду еще немного, вдруг кто поможет и после этого попробую взяться за проблему всерьез. Только Ва тогда придется предоставить мне массу информации. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

11.09.2006, 20:08	# 11
BRaven Guest Сообщения: n/a	KomatoZo он шаманил - копался в бд чего-то исправлял. копался долго а потом зачем то что то начальнику показывал. зря в общем. потому что на следующий день ему опять пришлось все настраивать ибо у начальника шаловливые ручки. впрочем сейчас меня эта проблема интересует чисто из повышения образованности ибо вылетает теперь 1С иногда, думаю (даже не проверял - лень) вылетает в тот момент когда служба рестартится. А 1С весь полностью висит на моем коллеге - пусть мучается ибо нефиг просвещать того кого не надо.

12.09.2006, 09:01	# 12
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	BRaven Ну если 1С на BDF ВИСИТ, то вполне может. Хотя в 1С я уже совсем не гуру =) Ок. Если что появится - свитите - попробуем доразбираться. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

12.09.2006, 11:04	# 13
BRaven Guest Сообщения: n/a	KomatoZo Что есть BDF? А служба как оказалось после рестора примерно через минуту опять падает открыл лог и офигел от кол-ва ерроров.

12.09.2006, 11:16	# 14
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Ну она на SQL у Вас работает или как? Я с пятницы в отпуске, поэтому начинать расследованием с применением поддержки MS смысла не вижу. Придется Вам или своими силами решить или дождаться пока здесь кто-нибудь посоветует что-либо. Ну или я выйду через пару недель, тогда и MS за патч-корд дернем =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

12.09.2006, 11:32	# 15
BRaven Guest Сообщения: n/a	угу, SQL.

03.10.2006, 16:39	# 16
BRaven Guest Сообщения: n/a	Блин. Ну вот. 1С на меня повесили как на крайнего Проблема в силе

03.10.2006, 16:42	# 17
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Ок, я как раз вышел из отпуска. Завтра начнем-с... =) __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

03.10.2006, 23:31	# 18
Dr.God ::VIP:: Creator Регистрация: 30.05.2004 Адрес: Alongside Сообщения: 2 598	msvcrt.dll - это модуль, содержащий базовые фичи, которые используются многими программами. Соответственно, неверное обращение через него может быть причиной ошибки. Такие вещи хорошо мониторить утилитой Filemon. Есть шанс обнаружить тёмную лошадку в момент падения сервиса. Если мониторинг обращений к файлам не помог, можно попробовать отследить запрос на остановку сервиса через реестр. Юзаем Regmon. SP есть? __________________ Оверклокинг Windows XP