[2003 SP2] csrss.exe Unable to locate component - Serversoftware en clouddiensten

woensdag 5 augustus 2009 14:26

Acties:

Topicstarter

Hallo,

Sinds vanochtend was mijn server erg traag, hierna heb ik geprobeerd RDP deze server te benaderen. Dit was niet mogelijk. Hierna kwam ik erachter dat de volgende melding op het scherm stond.

CSRSS.exe Unable to locate component
The application failed to start because winsrv was not found.
Re-installing the application may fix the problem.

Melding is heel duidelijk en het is allemaal leuk een aardig maar beide bestanden zijn bestanden uit de system32 map.

Tot nu toe heb ik hier nog geen aktie op ondernomen omdat er constant gebruikers gebruik maken van de server (wat nog wel gewoon goed werkt).

Natuurlijk ben ik ook al met google naar een oplossing gaan zoeken. Maar steeds kom ik bij hetzelfde probleem uit en dat is de installatie van SP2 op een XP machine. Dat is bij mij niet van toepassing. Ook is er recent geen sp of update geweest.

Heeft er iemand ervaring met dit probleem?

woensdag 5 augustus 2009 16:23

Acties:

Adelbert

Topicstarter

winsrv.dll en csrss.exe staan nog gewoon in de system32 map

.

Het csrss bestand bevind zich ook alleen in system32 dus een trojan is ook zo goed als uit te sluiten.

[ Voor 48% gewijzigd door Adelbert op 05-08-2009 16:39 ]

woensdag 5 augustus 2009 16:38

Acties:

Turdie

Al een sfc /scannow gedraaid? Windows Server 2003 CD, moet in je cd-rom speler zitten.

Ook meldingen uit je event-logs zou wel handig zijn, die kun je gemakkelijk kopieren en opzoeken op EventID.net. Ook raad ik je aan een volledige virusscan te draaien.

[ Voor 111% gewijzigd door Turdie op 05-08-2009 16:45 ]

woensdag 5 augustus 2009 16:56

Acties:

Adelbert

Topicstarter

Ik kom er ook pas net in.

Ik heb nog geen scannnow gedraaid.

Hele eventlog vol met ID 100. Remote probeert er iets of iemand constant in te loggen

.

Deze melding:
http://www.eventid.net/di...entid=100&source=MSFTPSVC

[ Voor 33% gewijzigd door Adelbert op 05-08-2009 16:58 ]

woensdag 5 augustus 2009 17:01

Acties:

alt-92

ye olde farte

Exact hetzelfde? Zet anders je FTP gewoon uit, en ga maar eens goed scannen op rootkits.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 5 augustus 2009 17:02

Acties:

Adelbert

Topicstarter

Niet exact hetzelfde.... Verschillende loginnamen.

FTP uigezet.

Merk nu ook dat CPU usage constant op 100% staat, terwijl ik RDP geen processen zie.

[ Voor 53% gewijzigd door Adelbert op 05-08-2009 17:10 ]

donderdag 6 augustus 2009 09:43

Acties:

alt-92

ye olde farte

Dat wordt debuggen dus

Pak iets als process monitor erbij en zorg dat je voldoende permissies hebt anders zie je alsnog te weinig

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 6 augustus 2009 10:02

Acties:

Adelbert

Topicstarter

Het maakt niet uit of ik RDP erop zit of niet, de proccessenlijst blijft leeg. Ja beschik over admin rechten.

Ik wil eigenlijk de server vanavond rebooten, alleen ben ik bang dat ie dan niet meer op komt. De eerste foutmelding lijd tot veel bluescreens (zegt ome google).

[ Voor 3% gewijzigd door Adelbert op 06-08-2009 11:07 ]

donderdag 6 augustus 2009 15:18

Acties:

Adelbert

Topicstarter

Oke, er is al weer beweging in te krijgen. Het logboek wordt er echter niet minder vol van. Ongeveer elke minuut komt er een eventid 333 bij.

Volgens eventid.net zou microsoft hier een hotfix voor hebben alleen krijg ik deze niet gevonden. Sinds dat ms de bing zoekfunctie op hun site hebben is het een drama vind ik.

Dit zou ook een oplossing van de zaak moeten zijn:

1. Open MSCONFIG (Start -> Run -> type msconfig and press Enter).
2. On the services tab, check the box “Hide All Microsoft Service”.
3. Disable all the remaining services.
4. Reboot the system.
5. Check if this resolved the issue.
6. If it did resolve the issue, browse through the disabled services and bring them back online one at a time to see which one was causing the issue.

Vanavond maar eens doorlopen

donderdag 6 augustus 2009 16:30

Acties:

alt-92

ye olde farte

Bedoel je soms MSKB 970054: Many events with ID 333 are added to the System log on a Windows Server 2003-based computer of bedoel je een ander MSKB nummertje?
En heb je het dan over een hotfix voor/tegen die Event 100 melding, of wat anders?

Denk ook even verder... als je inderdaad page pool depletion krijgt of dergelijke fouten, en dat gecombineerd met een constante stroom aan FTP logons (zijn die overigens terecht, of niet?) kijk dan of er niet een security gerelateerd probleem is op je machine.

[ Voor 32% gewijzigd door alt-92 op 06-08-2009 16:32 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 6 augustus 2009 20:46

Acties:

Adelbert

Topicstarter

De FTP logons zijn niet terecht. Dat het een security probleem is daar begint het steeds meer op te lijken.

Ja die bedoel ik alt-92, ik heb heel microsoft afgezocht naar "event id 333" maar daar was weinig over te vinden. Blijkbaar heb ik dan toch de verkeerde zoektermen gebruikt

. Morgen ga ik deze fix installeren en dan zien we weer verder.

Bedankt alvast.

vrijdag 7 augustus 2009 12:27

Acties:

Adelbert

Topicstarter

McAfee heeft na een volledige scan niets geks gevonden.
Spybot heeft ook alleen wat cookies gevonden, verder niks bijzonders.

vrijdag 7 augustus 2009 13:39

Acties:

Dutch2007

sysinternals rootkit search gedaan?

vrijdag 7 augustus 2009 13:46

Acties:

Adelbert

Topicstarter

Voor mij onbekend, wat bedoel je daarmee?

McAfee zoekt toch ook naar rootkits.

edit: tool gevonden, ga het gelijk proberen.
CPU weer gewoon normaal na de scan van McAfee en Spybot.

[ Voor 39% gewijzigd door Adelbert op 07-08-2009 14:17 ]

vrijdag 7 augustus 2009 14:25

Acties:

Adelbert

Topicstarter

Dutch2007 schreef op vrijdag 07 augustus 2009 @ 13:39:
sysinternals rootkit search gedaan?

Dit is het log bestand:

code:

HKLM\SECURITY\Policy\Secrets\SAC*   3/8/2009 6:52 PM    0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*   3/8/2009 6:52 PM    0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SCM:{148f1a14-53f3-4074-a573-e1ccd344e1d0}*    3/8/2009 6:37 PM    0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SCM:{3D14228D-FBE1-11D0-995D-00C04FD919C1}*    3/8/2009 6:36 PM    0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SCM:{76db1bf3-e820-4765-a1b2-0b16a86b1950}*    3/9/2009 1:08 PM    0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{5645C8C2-E277-11CF-8FDA-00AA00A14F93}\InprocServer32\ThreadingModel    3/27/2009 11:53 AM  5 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\LastAliveUptime  8/7/2009 1:55 PM    4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\LastAliveStamp   8/7/2009 1:55 PM    16 bytes    Data mismatch between Windows API and raw hive data.
D:\Keriomailserver\store\archive\2009-Aug\#msgs\00001114.eml    8/7/2009 2:07 PM    5.13 KB Hidden from Windows API.
D:\Keriomailserver\store\archive\2009-Aug\#msgs\00001115.eml    8/7/2009 2:08 PM    35.96 KB    Visible in directory index, but not Windows API or MFT.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\Junk E-mail\#msgs\000000d8.eml  8/7/2009 2:07 PM    5.13 KB Hidden from Windows API.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\#msgs\00000ac8.eml    7/9/2009 3:34 PM    7.46 KB Visible in Windows API, but not in MFT or directory index.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\#msgs\00000b47.eml    8/6/2009 2:58 PM    10.19 KB    Visible in Windows API, but not in MFT or directory index.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\status.fld    8/7/2009 2:06 PM    179 bytes   Hidden from Windows API.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\Van alles wat\#msgs\0000055d.eml  8/6/2009 2:58 PM    10.19 KB    Hidden from Windows API.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\Van alles wat\#msgs\0000055e.eml  7/9/2009 3:34 PM    7.46 KB Visible in directory index, but not Windows API or MFT.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\Van alles wat\index.fld   8/7/2009 2:03 PM    142.43 KB   Visible in Windows API, directory index, but not in MFT.
D:\Keriomailserver\store\mail\bedrijfx.nl\userx\INBOX\Van alles wat\status.fld  8/7/2009 2:06 PM    183 bytes   Hidden from Windows API.

vrijdag 7 augustus 2009 14:39

Acties:

Dutch2007

lees net dat het aanbevolen is om de server niet te gebruiken als de scan draait, (dus even rond 7 ofzo als er niemand op werkt), de scan doen

http://pcpitstop.invisionzone.com/index.php?showtopic=107463

iemand deed dat daar wel, en kreeg 27K aan bestanden gevonden

http://www.pcworld.com/ar..._the_scoop_on_snoops.html - uitleg over het programma & hoe te interpreteren

If you see other files that carry a description of "Hidden from Windows API," however, that could be cause for concern. These files might be located in a temporary folder, the Windows folder, or elsewhere on the hard drive. If you see some of these files, you should try to navigate to their location(s) using Windows Explorer, and simply look to see if you can see them there. If you can't see the files using Explorer, that could indicate the presence of file-hiding software. But it's not a smoking gun.

[ Voor 58% gewijzigd door Dutch2007 op 07-08-2009 14:42 ]

vrijdag 7 augustus 2009 14:48

Acties:

Adelbert

Topicstarter

Oke, ga ik dat doen Dutch2007.

Dit log bestand is iig niet erg spannend zover ik het snap. De mail die eventueel geinfecteerd zou zijn heb ik al verwijderd (dus alle files op de D schijf).

Ik houd dan alleen die register bestanden over en die worden ook gevonden op een schone machine

maandag 10 augustus 2009 09:09

Acties:

Adelbert

Topicstarter

Het nieuwe log is kleiner dan voordat ik een aantal dingen verwijderd heb.

code:

HKLM\SECURITY\Policy\Secrets\SAC*:
   Description: Key name contains embedded nulls (*)
   Date:        3/8/2009 6:52 PM
   Size:        0 bytes
HKLM\SECURITY\Policy\Secrets\SAI*:
   Description: Key name contains embedded nulls (*)
   Date:        3/8/2009 6:52 PM
   Size:        0 bytes
HKLM\SECURITY\Policy\Secrets\SCM:{148f1a14-53f3-4074-a573-e1ccd344e1d0}*:
   Description: Key name contains embedded nulls (*)
   Date:        3/8/2009 6:37 PM
   Size:        0 bytes
HKLM\SECURITY\Policy\Secrets\SCM:{3D14228D-FBE1-11D0-995D-00C04FD919C1}*:
   Description: Key name contains embedded nulls (*)
   Date:        3/8/2009 6:36 PM
   Size:        0 bytes
HKLM\SECURITY\Policy\Secrets\SCM:{76db1bf3-e820-4765-a1b2-0b16a86b1950}*:
   Description: Key name contains embedded nulls (*)
   Date:        3/9/2009 1:08 PM
   Size:        0 bytes
HKLM\SOFTWARE\Classes\CLSID\{5645C8C2-E277-11CF-8FDA-00AA00A14F93}\InprocServer32\ThreadingModel:
   Description: Data mismatch between Windows API and raw hive data.
   Date:        3/27/2009 11:53 AM
   Size:        5 bytes
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\LastAliveUptime:
   Description: Data mismatch between Windows API and raw hive data.
   Date:        8/7/2009 5:59 PM
   Size:        4 bytes
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\LastAliveStamp:
   Description: Data mismatch between Windows API and raw hive data.
   Date:        8/7/2009 5:59 PM
   Size:        16 bytes

Het enige waar ik nu nog last van heb is dat er geen processen in de taskmanager staan en dat ik eventid 333 krijg.

edit: volgens het sysinternals forum zijn het "false positives".

maandag 10 augustus 2009 13:34

Acties:

Adelbert

Topicstarter

Na de MS hotfix, sfc scannow en een reboot lijkt alles opgelost te zijn.

Bedankt voor het meedenken $_/-\o_$

[ Voor 6% gewijzigd door Adelbert op 10-08-2009 13:35 ]

Pagina: 1

Reageer