iT邦幫忙

0

(急)SERVER 2008會自動關機

請問各為前輩:
近日發現SERVER會不明原因的關機,我查不到原因且看了些事件記錄如下
1.記錄檔名稱: System
來源: USER32
日期: 2014/7/29 下午 03:26:26
事件識別碼: 1074
工作類別: 無
等級: 資訊
關鍵字: 傳統
使用者: SERVER2\Administrator
電腦: SERVER2.MYWCPA.LOCAL
描述:
程序 C:\Windows\system32\winlogon.exe (SERVER2) 已代表使用者 SERVER2\Administrator,啟動電腦 SERVER2 的 關機,原因如下: 找不到這個原因的標題
理由代碼: 0x500ff
關機類型: 關機
2.記錄檔名稱: System
來源: USER32
日期: 2014/7/29 下午 03:26:17
事件識別碼: 1074
工作類別: 無
等級: 資訊
關鍵字: 傳統
使用者: SERVER2\Administrator
電腦: SERVER2.MYWCPA.LOCAL
描述:
程序 NetBak.exe 已代表使用者 SERVER2\Administrator,啟動電腦 SERVER2 的 關機,原因如下: 其他 (尚未計劃)
理由代碼: 0x0
關機類型: 關機
註解:
1.請問我該如何查詢原因,來源USER32是網段內的NB但是沒有在使用為什麼他能令SERVER關機?
2.我換了administrator密碼也是沒有用還是一樣關機,這是什麼原因?
3.USER32電腦不在線也會令SERVER關機原因何在? 我該怎樣去找詢造成關機的主因?請前輩指點一下...謝謝
4.如果是中毒那我該怎樣去把這支程式找出來?我搜尋不到防毒也掃不到...請問我該怎麼做呢?

蟹老闆 iT邦大師 1 級 ‧ 2014-07-30 09:27:14 檢舉
frank833834提到:
程序 NetBak.exe 已代表使用者 SERVER2\Administrator,啟動電腦 SERVER2 的 關機
會不會自動更新 Hotfix後自動關機!

2 個回答

2
CalvinKuo
iT邦大師 7 級 ‧ 2014-07-30 09:23:56
最佳解答

frank833834提到:
程序 NetBak.exe

應該是您的QNAP備份程式備份完啟動關機吧...
http://www.qnap.com/en/?sn=998

看更多先前的回應...收起先前的回應...

我查過了沒有關機選項...之前都好好的一直有在備是最近幾天才發生...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-30 09:47:19 檢舉

我沒有備份一樣關機

我補充一下,我把備份程式都關掉一樣會被關機不知是為什麼?每天只會被關機一次,且都是下午的時間13:00~16:00關機,且我也沒有任何排程為什麼一直被關機啊?還有哪可以檢查關機原因呢?會不會中毒了?但是我掃過兩次都沒有發現任何病毒!我該怎麼辦?真煩人!

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:15:39 檢舉

既然不備份也會關機,那先把這個備份程式移除試試吧...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:35:54 檢舉

對了,下午1點到4點這段時間關機的話,有事件可以貼上來嗎?
就算遠端用shutdown關你的2008也會有事件阿...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:44:13 檢舉

frank833834提到:
winlogon.exe

我忘了若系統中有兩個winlogon.exe,其中之一是病毒
http://www.pczone.com.tw/vbb3/thread/28/126372/
http://mamama6188otaku.pixnet.net/blog/post/7621013-%E6%B8%85%E9%99%A4%E8%B6%85%E9%9B%A3%E7%BA%8F%E6%AE%98%E7%9A%84%E6%9C%A8%E9%A6%AC%E7%A8%8B%E5%BC%8F-winlogon.exe-%E6%96%B9%E6%B3%95
可能是被隨身碟傳染的,可以公布你用的防毒軟體嗎?


winlogon.exe

我的winlogon.exe有兩個最下面都是小寫字,請問正常嗎?

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:08:46 檢舉

看來版大看了手動殺毒方法也不會砍...
既然是舊病毒,就用舊工具來殺殺看了...
http://www.trendmicro.com.tw/iclean/index.htm
您的防毒軟體大概是擋不住它的,兩種可能:
1.病毒比防毒軟體先安裝,這時防毒軟體不是裝不了,就是裝了也沒用。
2.防毒軟體掃不到...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:17:57 檢舉

想要看Winlogon.exe是不是正常的,最少要下面這種工具才行...
http://briian.com/6574/process-explorer.html

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:42:05 檢舉

若您的escan有找不到病毒問題... 我覺得花了錢買軟體就該請廠商服務一下吧。
http://www.escan.com.tw/News.aspx?newsId=07

我找了很多手動殺毒方法,都沒有他所說的那些程式或檔案,也看不出有什麼異常情況包括CPU及RAM等資源狀況都屬於很低的,現在就是不知道什麼時候他才會發作...看了好久都沒用,我有個疑問是來源的USER32是哪來的?我找不到?? AP網路DHCP表中也都沒有在名單內這個ACCOUNT USER32從哪來要怎找?

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 14:59:30 檢舉

另外,有兩個Winlogon會不會是有其他人登入....
遠端用Server\administrator帳號密碼下shutdown指令也可以做到:
http://support.microsoft.com/kb/2001061

這張圖是一台Win XP排程執行Shutdown -s -f關機的1074事件

兩個辦法:

  1. 找出排程刪掉.
  2. 改掉server2\administrator密碼.

密碼改了也是一樣關機狀況

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 16:15:02 檢舉
  1. 那QNAP備份程式移除了嗎?
  2. 關機事件只剩1了嗎?
0
enen1980
iT邦研究生 1 級 ‧ 2014-07-31 08:40:32

找找WINDOWS 有沒有SCHEDULE TASK, 去EVENT LOG 找13:00 LOGIN 的USER~然後DISABLE.應該暫時解決, 之後再想辦法吧.

REMARK: 一定有ACCOUNT 來執行PROCESS的

我是用Escan 防毒軟體完全沒掃到毒...請問如何解?

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 14:44:16 檢舉

若不是中毒,需要檢查 enen1980大 所說工作排程問題,不然就把Server2\administrator密碼改掉...(這樣沒改到密碼的排程工作就無法執行)
http://social.technet.microsoft.com/Forums/windowsserver/en-US/68c4a3af-0c7b-4112-a68b-6a0f9bab1751/user32-eventid-1074-winlogon-initiated-restart-of-server

我在主文中就有說過改密碼沒用...

我要發表回答

立即登入回答