Toon posts:

[NT4] Spoolss.exe neemt 100%cpu*

Pagina: 1
Acties:

Verwijderd

Topicstarter
De server hangt bijna volledig doordat spoolss alle cpu opslorpt.
Ik krijg dit proces niet gekild, noch gestopt via services menu.
Ik kan zelfs de startup niet editen, zodat de printspooler niet mee gestart wordt.

anyone ?

Verwijderd

google is uw vriend:
http://www.liutilities.co...o/processlibrary/spoolss/

toevallig een verkeerde versie van je printer ofzo geinstalleerd?

  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-04 13:07

mutsje

Certified Prutser

in de resource kit van NT4 zit SCList.exe hier kun je de proces id mee vinden met Kill.exe kun je dat proces dan killen. Let wel waarschijnlijk om je spooler weer op te starten moet je booten weet dat niet zeker.

  • leon1e
  • Registratie: December 2000
  • Laatst online: 06:39
Even een kleine titel edit :).

Verwijderd

Topicstarter
Verwijderd schreef op dinsdag 18 januari 2005 @ 13:38:
google is uw vriend:
http://www.liutilities.co...o/processlibrary/spoolss/

toevallig een verkeerde versie van je printer ofzo geinstalleerd?
Nee, ik heb de laatste week niets gewijzigd aan de printers die op dat toestel geinstalleerd staan.

--> mutse, is dat niet hetzelfde als wanneer ik het proces probeer te killen vanuit task manager ?

  • M.I.G.
  • Registratie: Augustus 2000
  • Laatst online: 06-01 13:48

M.I.G.

[like an alien]

Misschien een exploit?

http://www.insecure.org/s....remote.memmory.leak.html

http://www.winnetmag.com/...WindowsSecurity_9335.html
The Windows NT Spooler service (Spoolss.exe), (used for various printing activities), contains a number of security holes that allow for data overflows. These vulnerabilities are evident when someone passes data to various spooler service API"s and spoolss.exe does not check the size of the receiving buffer to make sure it can hold the incoming data. The API, explained in more detail below, can only be exploited locally. However, some of the overflows could be exploited remotely."

[ Voor 94% gewijzigd door M.I.G. op 18-01-2005 13:50 ]


  • zwippie
  • Registratie: Mei 2003
  • Niet online

zwippie

Electrons at work

Beetje loze opmerking, maar heb je SP6a wel geinstalleerd?
Spoolss.exe in NT kent (kende) nogal wat problemen, waaronder 100% usage als er bogus naar de printer werd gestuurd, door een willekeurige, niet-noodzakelijk-geauthoriseerde user. Met elk ServicePack werkte het echter weer wat beter. :)

How much can you compute with the "ultimate laptop" with 1 kg of mass and 1 liter of volume? Answer: not more than 10^51 operations per second on not more than 10^32 bits.


  • mutsje
  • Registratie: September 2000
  • Laatst online: 15-04 13:07

mutsje

Certified Prutser

Verwijderd schreef op dinsdag 18 januari 2005 @ 13:43:
[...]


Nee, ik heb de laatste week niets gewijzigd aan de printers die op dat toestel geinstalleerd staan.

--> mutse, is dat niet hetzelfde als wanneer ik het proces probeer te killen vanuit task manager ?
Neen dat is niet hetzelfde Kill.exe killt namelijk hard het proces :) als het daar niet mee wil zul je naar alle waarschijnlijkheid moeten booten.

Verwijderd

Topicstarter
ik heb hem gestopt gekregen, maar zodra ik hem herstart loopt hij weer vol.


Ben nu aan het updaten naar sp6a , op spyware aan het scannen en antivirus aan het laten draaien.

Verwijderd

Topicstarter
nop, geupdate , virussen noch spyware erop en hij neemt nog steeds 100% van het geheugen weg

  • leon1e
  • Registratie: December 2000
  • Laatst online: 06:39
Spooler directory ook even leeg gemaakt? Mischien zit er een kapot bestand in de wachtrij..

Verwijderd

Topicstarter
opgelost !

Er was een printserver uigevallen, van zodra ik deze connectie hiermee veranderde naar een file kon ik de printer deleten en kreeg ik weer mijn cpu vrij.

Toch wel zwak van windhoze.

Verwijderd

Topicstarter
leon1e schreef op dinsdag 18 januari 2005 @ 16:28:
Spooler directory ook even leeg gemaakt? Mischien zit er een kapot bestand in de wachtrij..
had ik al gedaan, voor zover moglijk.
thx anyway, ik kan vandaag op tijd naar huis ;)

Verwijderd

als je een lexmark printer aan die spooler hebt hangen dit linkje
zoniet, weer van die nutteloze informatie van me :)
edit
zoeken lukt wel, alleen dat lezen nog van me..
gaat om een lexmark print monitor...geen printer..beroepsdeformatie..
/edit
edit2..nog iets.
als je lexmark tcp/ip print poortjes gebruikt
Resolution:
Use Lexmark DLC ports or Microsoft TCP/IP printer ports (LPR) instead of Lexmark TCP/IP
/edit2

[ Voor 48% gewijzigd door Verwijderd op 18-01-2005 16:39 ]

Pagina: 1