Forum
Merhaba Arkadaşlar,
İlginç bir problemim var.
Windows Server 2003 Ent. Edi. SP2 ve bütün yamaları yapılmış bir sunucum var.
5 gündür gece yarısı 00:01 de sunucu kapanıyor. logları inceledim. aşağıdaki gibi:
Event ID :26 /application popup
Application popup: Automatic System Shutdown : System shutdown due to <Realtime Clock> in 60 seconds!
Event ID: 1074 / user32
The process winlogon.exe has initiated the power off of computer SERVERNAME on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0xc0030000
Shutdown Type: power off
Comment: System shutdown due to a <Realtime Clock> event
Virus taraması yaptırdım. Üzerinde aktif ve veritabanı güncel bir AV var. Sasser, Blaster removal tool ile arama yaptırdım fakat bir sonuç çıkmadı.
Neden olabilir. Fikri olan var mı acaba?
Teşekkürler.
Merhaba
Server üzerinde herhangi bir schedule tanımı var mı ?
İyi Çalışmalar
Merhaba,
http://support.microsoft.com/kb/293814&prev=/search%3Fq%3DThe%2Bprocess%2Bwinlogon.exe%2Bhas%2Binitiated%2Bthe%2Bpower%2Boff%2Bof%2Bcomputer%2BSERVERNAME%2Bon%2Bbehalf%2Bof%2Buser%2BNT%2BAUTHORITY%255CSYSTEM%2Bfor%2Bthe%2Bfollowing%2Breason:%2BNo%2Btitle%2Bfor%2Bthis%2Breason%2Bcould%2Bbe%2Bfound%26hl%3Dtr%26prmd%3Ddf&rurl=translate.google.com.tr&usg=ALkJrhhNr6EIBnEBP6FKOBZz0odge4973 Q"> http://translate.googleusercontent.com/translate_c?hl=tr&sl=en&u=http://support.microsoft.com/kb/293814&prev=/search%3Fq%3DThe%2Bprocess%2Bwinlogon.exe%2Bhas%2Binitiated%2Bthe%2Bpower%2Boff%2Bof%2Bcomputer%2BSERVERNAME%2Bon%2Bbehalf%2Bof%2Buser%2BNT%2BAUTHORITY%255CSYSTEM%2Bfor%2Bthe%2Bfollowing%2Breason:%2BNo%2Btitle%2Bfor%2Bthis%2Breason%2Bcould%2Bbe%2Bfound%26hl%3Dtr%26prmd%3Ddf&rurl=translate.google.com.tr&usg=ALkJrhhNr6EIBnEBP6FKOBZz0odge4973Q bu linki inceleyebilirsiniz.
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Merhaba,
Onuda kontrol ettim. Yok.
Teşekkürler.
bi gün otur başına 00:01' de ne oluyor gözünle gör bence. shutdown -s komutunu verirsen böyle yapar. scheduleddan arkadaşın kastettiği de odur. bu tür bi durum varsa silmen gerek. aynı saatte bu tür bişey oluyorsa, shutdown -a ile kesebilirsin.
Sisteminizde bir worm soz konusu da olabilir... Geniş kapsamli taramadan geçiriniz ...
Dediğim gibi o saat ayarlanmış bir schedule yok.
Sistemi izlediğimde 00:01 de sistem 60 saniyeden geriye saymaya başlıyor ve shutdown oluyor, Tıpkı, sasser yada blaster bulaşmış makinede çıkan ekran gibi bir uyarı çıkıyor ve kapanıyor.
herhangi bir zararlı yazılım olabilir ihtimaline karşı detaylı bir arama yaptırdım fakat herhangi bir şey bulamadım.
Network de bulunan başka bir makinadan gelen bir virüs, servislerden birisini kapatıyor ve kapanan servis sonuduca server shutdown oluyor olabilir. Daha önce böyle birşey başıma geldi ve sorunlu client i bulup network bağlantısını kestim. detaylı bir temizlikten sonra sorun düzeldi. Eğer mümkünse o saatte serverın networkünü kapatın ve izleyin, bakalım ne olacak.
Network de bulunan başka bir makinadan gelen bir virüs, servislerden birisini kapatıyor ve kapanan servis sonuduca server shutdown oluyor olabilir. Daha önce böyle birşey başıma geldi ve sorunlu client i bulup network bağlantısını kestim. detaylı bir temizlikten sonra sorun düzeldi. Eğer mümkünse o saatte serverın networkünü kapatın ve izleyin, bakalım ne olacak.
Hangi virüs programını kullanıyorsunuz acaba?
Nod32 işinizi görecektir.
Symantec Endpoint Protection kullanıyoruz.
farklı bir antivirüs yazılımı ile tekrar tarama yaptırın SEP malesef bu tür sorunlarda başarılı değil 🙁
yaklaşık 2 sene önceye kadar symantec endpoint protection kullanıyordum ve son zamanlarda exchange sunucu ile outlook kullanıcıları arasında sık sık bağlantı kopması veya sabah saatlarinde kullanıcıların exchange sunucuya logon olamaması tarzında sorunlar yaşıyordum.Sep'i rafa kaldırıp trend micro'ya geçince sep'in bulamadığı virüsleride buldu ve exchange outlook arasındaki sorun çözüldü.Arkadaşların dediği gibi farklı bir programla sistemi tarayın bu program trend micro da olabilir....
Event'lara düşen ID'yi incelediniz mi? Ben bazı yabancı forumlara da baktım genelde event id:1074 alınmış ve bazı çözüm yolları anlatılmış. Event ID'ye göre bir arama yapmakta fayda var. Saygılarımla.
Değerli arkadaşlar merhaba,
SEP'i bu kadar da kötülemeyelim 🙂 Ben kullanıyorum ve memnunum, stabil çalışıyor. Bu noktada Erdem'in de belirttiği gibi eventlardan yola çıkalım. Birde windows updateleri bilhassa securityleri yapın.
Keyifli çalışmalar.