Код события 1000 Ошибка приложения cmd.exe kernelbase.dll
Я обнаружил повторяющуюся ошибку в журналах событий моего сервера Windows 2012 R2 Hyper-V. Событие ошибки показано ниже.
Ошибка 16/12/2020 15:47:31 Ошибка приложения 1000 (100) Ошибка
имя приложения: CMD.exe, версия: 6.3.9600.17415, отметка времени: 0x545042b1 Имя сбойного модуля: KERNELBASE.dll, версия: 6.3.9600.19678, отметка времени: 0x5e82c88a Код исключения: 0xc0000142 Смещение ошибки: 0x00000000000ecf40 Идентификатор сбойного процесса: 0x3290 Ошибка время запуска приложения: 0x01d6d3c2c2c9aa7d Путь сбойного приложения: C: \ Windows \ System32 \ CMD.exe Путь сбойного модуля: KERNELBASE.dll Идентификатор отчета: 0164a878-3fb6-11eb-8109-cd63031d6b26 Ошибочный пакет заполнен name: Ошибка связанного с пакетом идентификатора приложения:
Похоже, это происходит в определенное время днем, примерно в 15–16 часов. Я проверил, есть ли какие-либо запланированные задачи, которые выполняются в это время, но не могу их идентифицировать. Я запустил сканирование SFC, чтобы проверить, не поврежден ли kernelbase.dll, но сканирование вернулось без проблем.
Кто-нибудь сталкивался с этой проблемой раньше? и если да, то можете ли вы посоветовать, что было сделано, чтобы исправить это?
Возможно, сначала вы захотите выяснить, кто на самом деле запускает cmd.exe, который не включен в событие. Я бы сначала заглянул в ваш журнал событий безопасности, чтобы узнать, есть ли у вас там 4688 и 4689 событий. Затем вы можете найти событие 4688, которое произошло примерно в то же время, когда произошла ошибка приложения (хотя возможно, что cmd.exe работал некоторое время, прежде чем произошел сбой).
Если просматривать журнал событий безопасности слишком утомительно, вы также можете установить бесплатную пробную версию EventSentry, которая упорядочивает события безопасности активности процессов и упрощает их поиск.
Событие 4688 может также включать аргументы командной строки, если групповая политика настроена таким образом (см. ссылку system32 выше), что должно помочь отследить причину.