(急)SERVER 2008會自動關機

frank833834 2014-07-30 09:11:00 ‧ 10983 瀏覽

請問各為前輩：
近日發現SERVER會不明原因的關機，我查不到原因且看了些事件記錄如下
1.記錄檔名稱: System
來源: USER32
日期: 2014/7/29 下午 03:26:26
事件識別碼: 1074
工作類別: 無
等級: 資訊
關鍵字: 傳統
使用者: SERVER2\Administrator
電腦: SERVER2.MYWCPA.LOCAL
描述:
程序 C:\Windows\system32\winlogon.exe (SERVER2) 已代表使用者 SERVER2\Administrator，啟動電腦 SERVER2 的關機，原因如下: 找不到這個原因的標題
理由代碼: 0x500ff
關機類型: 關機
2.記錄檔名稱: System
來源: USER32
日期: 2014/7/29 下午 03:26:17
事件識別碼: 1074
工作類別: 無
等級: 資訊
關鍵字: 傳統
使用者: SERVER2\Administrator
電腦: SERVER2.MYWCPA.LOCAL
描述:
程序 NetBak.exe 已代表使用者 SERVER2\Administrator，啟動電腦 SERVER2 的關機，原因如下: 其他 (尚未計劃)
理由代碼: 0x0
關機類型: 關機
註解:
1.請問我該如何查詢原因，來源USER32是網段內的NB但是沒有在使用為什麼他能令SERVER關機?
2.我換了administrator密碼也是沒有用還是一樣關機，這是什麼原因?
3.USER32電腦不在線也會令SERVER關機原因何在? 我該怎樣去找詢造成關機的主因?請前輩指點一下...謝謝
4.如果是中毒那我該怎樣去把這支程式找出來?我搜尋不到防毒也掃不到...請問我該怎麼做呢?

蟹老闆 iT邦大師 1 級 ‧ 2014-07-30 09:27:14 檢舉

frank833834提到：
程序 NetBak.exe 已代表使用者 SERVER2\Administrator，啟動電腦 SERVER2 的關機

richardsuma iT邦大師 1 級 ‧ 2014-07-30 10:00:53 檢舉

會不會自動更新 Hotfix後自動關機！

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

CalvinKuo

iT邦大師 7 級 ‧ 2014-07-30 09:23:56

最佳解答

frank833834提到：
程序 NetBak.exe

應該是您的QNAP備份程式備份完啟動關機吧...
http://www.qnap.com/en/?sn=998

回應 17
分享
檢舉

看更多先前的回應...收起先前的回應...

frank833834 iT邦新手 5 級 ‧ 2014-07-30 09:26:12 檢舉

我查過了沒有關機選項...之前都好好的一直有在備是最近幾天才發生...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-30 09:47:19 檢舉

建議版大還是再檢查一下..
http://www.mobile01.com/topicdetail.php?f=494&t=2771789&last=36267638

看一下Log確認是哪個排程做的...
http://eu1.qnap.com/Storage/Manual/NetBak_Replicator_Manual_CHT.pdf

frank833834 iT邦新手 5 級 ‧ 2014-07-31 01:22:48 檢舉

我沒有備份一樣關機

frank833834 iT邦新手 5 級 ‧ 2014-07-31 03:40:13 檢舉

我補充一下，我把備份程式都關掉一樣會被關機不知是為什麼？每天只會被關機一次，且都是下午的時間13：00～16：00關機，且我也沒有任何排程為什麼一直被關機啊？還有哪可以檢查關機原因呢？會不會中毒了？但是我掃過兩次都沒有發現任何病毒！我該怎麼辦？真煩人！

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:15:39 檢舉

既然不備份也會關機，那先把這個備份程式移除試試吧...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:35:54 檢舉

對了，下午1點到4點這段時間關機的話，有事件可以貼上來嗎?
就算遠端用shutdown關你的2008也會有事件阿...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 09:44:13 檢舉

frank833834提到：
winlogon.exe

我忘了若系統中有兩個winlogon.exe，其中之一是病毒
http://www.pczone.com.tw/vbb3/thread/28/126372/
http://mamama6188otaku.pixnet.net/blog/post/7621013-%E6%B8%85%E9%99%A4%E8%B6%85%E9%9B%A3%E7%BA%8F%E6%AE%98%E7%9A%84%E6%9C%A8%E9%A6%AC%E7%A8%8B%E5%BC%8F-winlogon.exe-%E6%96%B9%E6%B3%95
可能是被隨身碟傳染的，可以公布你用的防毒軟體嗎?

frank833834 iT邦新手 5 級 ‧ 2014-07-31 12:24:03 檢舉

frank833834 iT邦新手 5 級 ‧ 2014-07-31 12:28:28 檢舉

winlogon.exe

我的winlogon.exe有兩個最下面都是小寫字，請問正常嗎?

frank833834 iT邦新手 5 級 ‧ 2014-07-31 12:29:03 檢舉

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:08:46 檢舉

看來版大看了手動殺毒方法也不會砍...
既然是舊病毒，就用舊工具來殺殺看了...
http://www.trendmicro.com.tw/iclean/index.htm
您的防毒軟體大概是擋不住它的，兩種可能:
1.病毒比防毒軟體先安裝，這時防毒軟體不是裝不了，就是裝了也沒用。
2.防毒軟體掃不到...

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:17:57 檢舉

想要看Winlogon.exe是不是正常的，最少要下面這種工具才行...
http://briian.com/6574/process-explorer.html

CalvinKuo iT邦大師 7 級 ‧ 2014-07-31 13:42:05 檢舉

若您的escan有找不到病毒問題... 我覺得花了錢買軟體就該請廠商服務一下吧。
http://www.escan.com.tw/News.aspx?newsId=07

frank833834 iT邦新手 5 級 ‧ 2014-07-31 14:10:15 檢舉

我找了很多手動殺毒方法，都沒有他所說的那些程式或檔案，也看不出有什麼異常情況包括CPU及RAM等資源狀況都屬於很低的，現在就是不知道什麼時候他才會發作...看了好久都沒用，我有個疑問是來源的USER32是哪來的?我找不到?? AP網路DHCP表中也都沒有在名單內這個ACCOUNT USER32從哪來要怎找?