Windows server 2003 ошибка 333

Ошибка 333 появилась в системном журнале событий с выпуском Windows Server 2003 SP1 и быстро стала одной из наиболее частых причин обращения в службу технической поддержки Microsoft. В некоторых случаях на диагностику и устранение этой ошибки уходит несколько недель. В частности, приходится долго выяснять, к какой общей категории следует отнести данную ошибку. Ввиду непонятного описания диагностика занимает много времени. Ниже описано, как выяснить причину возникновения ошибки 333 для самостоятельного решения проблемы или получить информацию, которая повысит эффективность оказания технической поддержки.

Симптомы ошибки 333

Описание ошибки 333: «Неустранимый сбой операции ввода/вывода, запущенной реестром. Не удалось выполнить чтение, запись или запись буфера для одного из файлов, содержащих образ системного реестра». Это означает, что образ реестра, удерживаемый в памяти, не может быть записан на диск. Windows использует модуль отложенной записи для периодической записи измененных страниц памяти на диск. При отказе модуля отложенной записи в системном журнале событий регистрируется ошибка 333.

Симптомы, сопровождающие ошибку 333, включают:

• «Зависание» сервера — сервер полностью перестает реагировать на нажатие клавиш и движения мыши и становится полностью недоступен, требуя «жесткой» перезагрузки.

• Медленная работа сервера — сервер чрезвычайно медленно реагирует на действия и обработка информации значительно заторможена.

• Замедленное подключение к службам терминалов — регистрация пользователей в сеансе при подключении к серверу терминалов осуществляется с задержкой. После регистрации в сеансе работа может идти, как обычно, но сама регистрация занимает несколько минут вместо нескольких секунд.

• Ошибки 333 можно разбить на три категории:

• Истощение ресурсов памяти. При попытке выполнения записи измененных страниц из кэша на диск модулем отложенной записи оказалось недостаточно ресурсов. Часто этот тип проблемы сопровождается событием 2020 или 2019.

• Диск был занят или недоступен. Иногда занятый диск недостаточно быстро реагирует на запрос модуля отложенной записи на сохранение измененных страниц памяти.

• «Раздувание» реестра. Реестр неожиданно увеличивается в размере, все более затрудняя сохранение изменений на диск, что обычно случается на терминальных серверах.

Особенно неприятно, что события продолжают регистрироваться в системном журнале (много раз в минуту) до перезагрузки сервера. Достаточно одного отказа модуля отложенной записи, чтобы события начали наводнять системный журнал. Хотя причина отказа модуля отложенной записи могла быть кратковременной (например, пик использования памяти), ошибки 333 продолжают регистрироваться в журнале даже при нормальном использовании памяти. Это происходит потому, что системе известно о неудачной попытке синхронизации реестра, а также о том, что версия реестра, содержащаяся в памяти, не соответствует версии на диске. Поэтому количество и частота ошибок 333 не являются достоверным индикатором остроты проблемы. По умолчанию модуль отложенной записи пытается записывать на диск изменения каждые пять секунд.

Средства диагностики ошибок 333

Диагностируя ошибку 333, сначала необходимо определить, к какой общей категории ее следует отнести. Полезно также проверить системный журнал на наличие других событий, сопровождающих ошибку 333,?— например, события 2020, указывающего на отсутствие памяти выгружаемого страничного пула, либо события 2019, свидетельствующего об утечке памяти невыгружаемого страничного пула.

В диагностике ошибки 333 могут помочь следующие инструменты.

• Системный монитор. Отслеживаемые индикаторы — объекты системы, памяти, диска и процесса.

• Объект памяти. Отслеживается рост невыгружаемой или выгружаемой памяти.

• Объект процесса. Отслеживается непрерывный рост числа маркеров процесса непосредственно перед регистрацией ошибки 333.

• Объект системы. Счетчик «процент использования квоты реестра» указывает на долю используемой разрешенной квоты реестра. Чем больше эта доля, тем вероятнее, что проблема связана с разрастанием реестра.

• Физический диск. Отслеживается счетчик средней длины очереди ожидающих запросов к диску (Avg Disk Queue Length), указывающий на среднее число запросов чтения и записи. В случае всплеска показаний этого счетчика при возникновении проблемы следует проанализировать драйверы фильтра (т.?е. антивирусное программное обеспечение или программное обеспечение для резервного копирования) данной системы.

• Poolmon.exe. Эта команда, включенная в инструменты отладки Windows, используется для проверки использования пула памяти ядра по тэгу распределения пула. Применение poolmon.exe может вдвое сократить время диагностики, поскольку позволяет отыскать тэг, допускающий утечку памяти.

• Dureg.exe. Этот инструмент позволяет проследить размер каждой ветви реестра и выяснить, который из них занимает наибольшее пространство, чтобы определить, какая программа могла вызвать проблему.

Случай 1. Поиск драйвера, допускающего утечку памяти

Недавно я работал над проблемой полного зависания сервера Windows 2003 SP2 у одного из клиентов. Ошибку 333 сопровождало событие 2019 — сервер не смог выделить память из невыгружаемого пула памяти, так как он пуст. Наличие ошибки 2019 указывало на то, что проблема заключается в истощении ресурсов, поэтому следующим шагом был поиск драйвера, допускающего утечку памяти. Как показано на экране 1, выходные данные команды poolmon.exe позволяют определить тэг, резервирующий максимальный объем памяти.

Для быстрого определения тэга, допускающего утечку, следует воспользоваться параметром -b, чтобы выполнить сортировку выходных данных по числу потребляемых байтов для каждого тэга. В самом верху таблицы указан тэг, потребляющий максимальную память (в байтах).

Следующий шаг — использование встроенной утилиты Windows Findstr для нахождения драйвера, ассоциированного с тэгом NTID:

C:>findstr/m/s «NTID» *.sys

Параметр/m предписывает вывод только имени файла, а параметр /s предусматривает поиск только в текущей папке и ее вложенных папках. Выходным результатом Findstr оказался драйвер C:WINDOWSSYSTEM32DRIVERSCPQTEAM.?SYS.

Зная тэг распределения пула и имя драйвера, допускающего утечку памяти, мы осуществили простой поиск по контексту «NTID CPQTEAM». В результатах поиска была обнаружена ссылка на технический форум компании HP, где обсуждалась утечка памяти (forums13.itrc.hp.com/service/forums/questionanswer.do? admit=109447627+1227565774017+28353475& threadId=1147757), связанная с конкретной версией драйвера Cpqteam.sys.

Случай 2. Отслеживание интенсивного использования реестра

Не все ошибки с ID 333, однако, вызваны проблемами ресурсов. Некоторые из них нельзя связать с истощением памяти. Одна из подобных ситуаций в моей практике возникла на сервере служб терминалов, где ошибка 333 «наводняла» системный журнал. С помощью системного монитора удалось выяснить, что показатель «процент использования квоты реестра» превышает 98 (т. е. система использует более 98% разрешенной системной квоты на размер реестра). Установив, что система интенсивно использует реестр, мы вновь просмотрели записи в журнале событий приложений за период с момента возникновения проблемы, и среди них оказалось событие 1517, показанное на экране 2.

Событие 1517 указывает на то, что реестр не освобождается при завершении сеанса пользователей системы. Между этой информацией и показанием счетчика «процент использования квоты реестра» в системном мониторе существует взаимосвязь. Выполнив поиск в «справке и поддержке» Microsoft по контексту «1517» и «реестр», мы нашли статью на support.microsoft.com
/kb/944984 с решением данной проблемы.

Dureg.exe — еще одна утилита, широко используемая для диагностики ошибок 333. Выходные данные Dureg.exe нужно собрать один раз, еще до возникновения неполадок, а затем вновь — в ходе проблемного периода, чтобы определить, не наблюдается ли «раздувание» реестра. Первое выполнение dureg.exe (до обнаружения проблемы) выглядит так:

C:>dureg.exe/a
Size of HKEY_CLASSES_ROOT: 11627272
Size of HKEY_USERS: 56739224
Size of HKEY_LOCAL_MACHINE: 47719408
Total Registry data size: 115985904

Второй раз dureg.exe следует выполнить при возникновении замедленной регистрации в системе и появлении ошибок 333:

C:>dureg.exe/a
Size of HKEY_CLASSES_ROOT: 11879338
Size of HKEY_USERS: 335257592
Size of HKEY_LOCAL_MACHINE: 46006166
Total Registry data size: 392142994

Можно заметить увеличение размера раздела HKEY_USERS — с 56 до 334 Мбайт. Хотя этот факт не обязательно содержит решение возникшей проблемы, данная информация дает ценную отправную точку для проведения анализа, что может значительно ускорить процесс исправления ошибки.

В данном примере логично выполнить regedit и перейти в папку HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionTerminal ServerInstallSoftware. Затем следует искать дублированные разделы реестра, связанные с каким-либо приложением, поскольку значения этого раздела копируются в профиль пользователя (HKEY_USERS) при его входе в сеанс на терминальном сервере. Возможно, одно из приложений заполняет раздел Software значениями, что в результате вызывает «раздувание» реестра и ошибку 333. Одного лишь удаления дублированных значений из раздела HKEY_USERS недостаточно, поскольку при очередной регистрации пользователя дублированные разделы будут вновь копироваться из раздела Software в раздел HKEY_USERS, и проблема останется.

Ускоренное решение проблемы

Диагностика ошибок 333 может оказаться сложной, но теперь мы знаем, как облегчить этот процесс. С помощью системного монитора, команд poolmon.exe и dureg.exe можно выявить причины возникновения ошибок 333 и использовать эту информацию для более быстрого поиска решения.

Майкл Моралес (morales@microsoft.com) — старший инженер службы поддержки Microsoft Global Escalation Services. Специализируется на проблемах отладки и производительности Windows

Ошибка 333 относится к числу наиболее трудных для диагностики событий, регистрируемых в системном журнале Windows. С помощью системного монитора Microsoft, команд poolmon.exe и dureg.exe и рекомендаций специалиста Microsoft по технической поддержке можно ускорить процесс диагностики и устранения этой ошибки

First published on TECHNET on Oct 30, 2007

In previous posts we’ve discussed the

basics of memory management including an overview of kernel and user memory

,

pool resources

as well as

the /3GB switch

.   Continuing our discussion of memory management, we are going to examine an issue that we have been seeing more of on the Performance team — the Event ID 333 message.  As system memory increases, and applications and roles of the server become more important, access to the disk becomes more competitive between applications and the operating system.  As a result, you can start to see the Event ID 333 logged, and you are likely seeing other performance issues including server hangs, pauses, sluggish response times and more.  So today we’re going to discuss what the Event ID 333 is, possible causes and common solutions for both 32-bit and 64-bit systems.

The first thing to understand is what exactly an Event ID 333 is.  The event ID 333 is a System event error log that occurs when the registry is unable to complete a flush operation to the disk.  There are several reasons that this can fail and we’ll discuss them below.  So, what does the Event ID 333 look like?  In the system event log, you see at least one, and more likely multiple instances of the following:

Event ID 333’s are new to Windows Server 2003 Service Pack 1 and are written to the system event log if the Operating System is not able to flush out or write to the registry hive.  The symptoms that accompany an Event ID 333 can vary between server hangs, “Insufficient resources exist to complete the requested service” errors, SQL Databases stopping and starting, database queries are slow and sluggish operating system performance.  The apparent slow server performance is why the Performance team is engaged on the majority of the issues.  As mentioned previously, the Event ID 333 can occur on both x86 and x64 systems.

Now that we have a little background on what the Event ID 333 is and why it exists, we’re going to take a look at the causes. There are a number of different reasons for why a server is logging the Event ID 333’s — the majority of the issues are caused by one of the following:

• The disk hosting the system partition is not keeping up with the load (high disk queue lengths).  This can be determined using a Performance Monitor capture.  This can occur on both x64 and x86 systems.
• There is memory pressure.  In many cases there will also be issues with low Paged (Event 2020) or NonPaged (Event 2019) pool memory or low System PTE’s.  Using Performance Monitor can help to determine if you are low on System PTE’s.  This is more likely to occur on x86 systems dues to the memory limitations of the 32-bit address space
• A filter driver is keeping the registry from being flushed.  This can occur on both x64 and x86 systems
• A User account granted the “Lock system pages in memory” user right.  This can occur on both x64 and x86 systems

So — how do we go about resolving the Event ID 333 problem?  Depending on the particular scenario that is causing your issue, then you should perform one of the following:

Disk issues:

1. Enable Enhanced Performance Options

   for the physical disks that host the Operating System itself

2. Update your disk controller firmware and drivers.  Engage your hardware vendor to ensure that you are running the latest supported version and also to verify if there are any known issues.
3. Determine what process is taxing the disk by using Performance Monitor logging.  Examine the Process Object and review each processes I/O Data bytes/sec.  If a process exhibits an unusual amount of I/O compared to your server’s baseline performance, then investigate that process.  For non-Microsoft processes, contact the software vendor.

Maximize Kernel Memory and System PTE’s:

1. If you are using the /3GB switch on a 32-bit system, do you really need it?  As we discussed in our

   post on /3GB

   this switch may not be necessary.

   • Some software vendors recommend implementing the switch for their applications — verify with them that they have the IMAGE_FILE_LARGE_ADDRESS_AWARE flag set in their image header.  If they do not, then the application is only able to use the standard 2GB of user-mode memory — but the kernel is now limited to 1GB for no reason.
   • You can also check the virtual memory of the executable that is believed to take advantage of /3GB.  If the process is not exceeding 1.8GB of Virtual Memory then it is unlikely to be able to take advantage of the extra virtual memory.
   • If the /3GB switch is required (for example

     Exchange Servers that are configured as Mailbox Servers

     ) then add the /USERVA=2970 switch to give a portion of the User-mode memory to the Kernel to help guard against PTE Depletion.

     Microsoft KB Article 316739

     discusses the use of the /USERVA switch.
2. Adjust the allocation and use of PagedPool memory by making some registry changes that are outlined in

   Microsoft KB Article 312362

   .

3. Disable the Hot Add Memory feature

   to re-allocate reserved Paged Pool memory back to the Operating System.  When the Hot Add Memory feature is enabled, the operating system pre-allocates kernel resources to handle any future memory that may be added to the computer.  Kernel resources are allocated based on the capabilities of the computer instead of on the RAM that is actually installed.  The kernel may allocate significant resources to RAM that may never be installed.  Therefore, the Hot Add Memory feature may cause the maximum size of the paged pool to be much smaller than expected.

A filter driver is preventing the registry from being flushed:

A quick note on filter drivers — removing or disabling filter drivers without understanding the impact to the system can result in unexpected system behaviors including system hangs or bugchecks.  Examples of common programs that use filter and kernel drivers include Anti-virus software, Backup Software (including Microsoft Volume Shadow Copy) and

Version-2 printer drivers

.  For information on how to temporarily disable filter drivers, refer to

Microsoft KB Article 816071

.  Before disabling the filter drivers however, check to see if some of the 3rd party drivers are simply outdated.  The easiest way to check on these 3rd party filter drivers is to use our MPS Reporting utility to capture this information.

1. Download the MPSRPT_SETUPPerf.exe file from the

   Microsoft Product Support Reporting Tools page

   to the local machine.

2. Run the MPS Reports executable
3. Once the report has finished, you can extract the PStat.txt file from the .CAB file that is created and review the list of 3rd party filter / kernel drivers to see which ones may be outdated.  Contact the vendor for the filter driver to get the latest supported version and also to discuss any potential issues with the driver.

«Lock Pages in Memory» user right:

On x64 systems, the likelihood of a server running out of kernel memory or System PTE’s is far less than on an x86 system.  However, we have seen the Event 333 error occur on x64 systems as well.  Using the «!vm» debugger command when reviewing a memory dump of the server may indicate that the server is low on physical memory, even though performance monitor data indicates that there is plenty of available memory.  The sample output below illustrates this:

********** Running out of physical memory **********

To work around this behavior on x64 platforms or on servers with 4GB or less of physical RAM use the following steps:

1. Click on Start —> Run
2. Type Secpol.msc and click OK
3. Expand «Local Policies» then click on «User Rights Assignment»
4. Double click on «Lock pages in memory»
5. Highlight any user accounts listed and click on «Remove»
6. Click OK after all accounts have been removed
7. Reboot the system

NOTE: By default, the Windows Operating system does not grant this user right to any accounts.  The “Lock pages in memory” right is granted to the account used for SQL Services by the SQL 2005 RTM/SP1 Enterprise Edition install on 32bit systems.  If you are using SQL Enterprise on 32-bit servers with more than 4GB of RAM, the Lock Pages in Memory right is needed.  To help reduce the occurrence of the Event ID 333’s on these systems, ensure the user account you are using for the SQL services is only used for SQL. Check the access right for “Lock pages in memory” and only list the account used for SQL.  If System, or any other accounts are listed, remove them.  For x64 systems, remove all accounts listed.

Well that does it for this post.  As you can see the Event ID 333 has several causes and is usually one of many symptoms seen on servers experiencing performance problems.  By troubleshooting and eliminating Event ID 333’s, the overall performance of the server should improve.  Keep an eye on the Microsoft Knowledgebase — in the coming weeks, the majority of this information should be available in a KB Article.

— Aurthur Anderson

В этой статье приводится решение проблемы, из-за которой при активации Microsoft Windows Server 2003 через Интернет произошла ошибка.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 816897

Симптомы

При попытке активировать Windows Server 2003 через Интернет активация продукта Windows может быть неудачной и могут возникнуть следующие проблемы:

Вы получите сообщение с запросом имени пользователя и пароля.

Вы получите следующее сообщение об ошибке:

Не удается установить подключение к серверу активации. Проверьте параметры сети и убедитесь, что вы можете подключиться к Интернету, а затем попробуйте еще раз. Номер сообщения 32777.

Активация продукта Windows не будет успешной независимо от того, вводите ли вы имя пользователя и пароль.

Причина

Эта проблема возникает при обоих следующих условиях:

• На сервере включена конфигурация усиленной безопасности Microsoft Internet Explorer.
• Подключение к Интернету можно подключить через прокси-сервер, где включена базовая проверка подлинности.

Конфигурация усиленной безопасности Internet Explorer (также известная как усиление защиты Internet Explorer) использует отзыв сертификатов. Этот процесс искомого отзыва сертификата включает операцию иска URL-адреса. В этом случае ирисовка URL-адреса проходит через прокси-сервер и происходит за пределами явного контекста во входе пользователя. Поэтому при обычной проверке подлинности по ошибке вам будет предложено вводить имя и пароль учетной записи пользователя. Как пользователь, как правило, вы не знаете, что сертификаты проверяются, и вам может быть предложено несколько раз при проверке ряда сертификатов.

Для решения проблемы используйте один из указанных ниже способов.

Следующие методы перечислены в порядке, наиболее предпочтительном для наименее предпочтительного, при этом наиболее предпочтительный метод появляется первым.

Обходной путь 1. Не использовать базовую проверку подлинности

Избегайте использования базовой проверки подлинности на прокси-сервере. Если необходимо использовать базовую проверку подлинности, исключить URL-адреса для списков отзыва сертификатов (CRLs) из требования для базовой проверки подлинности. Для этого настройте на прокси-сервере следующий список списков списков неавтериалов:

• http://crl.microsoft.com/pki/crl/productsMicrosoftProductSecureServer.crl
• http://crl.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
• http://crl.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl
• http://www.microsoft.com/pki/crl/productsMicrosoftProductSecureServer.crl
• http://www.microsoft.com/pki/crl/products/MicrosoftProductSecureCommunications.crl
• http://www.microsoft.com/pki/crl/products/MicrosoftRootAuthority.crl

Обходной путь 2. Активация с помощью телефона

Если при попытке активировать Windows вы получите сообщение об ошибке, описанное в разделе «Признаки» этой статьи, нажмите кнопку «Телефон» в мастере активации Windows, чтобы активировать Windows по телефону.

Обходной путь 3. Отключение отзыва сертификатов в Internet Explorer

Отключите отзыв сертификатов в Internet Explorer, чтобы активация Windows была успешной. Для этого выполните следующие действия.

Корпорация Майкрософт рекомендует не отключать отзыв сертификатов в Internet Explorer.

Запустите Internet Explorer.

В меню Сервис выберите пункт Свойства обозревателя.

Перейдите на вкладку «Дополнительные», а затем в списке «Параметры» сберем следующие флажки:

• Проверка отзыва сертификата издателя
• Проверка отзыва сертификата сервера (требуется перезагрузка)

Чтобы выполнить поиск абонентской группы для пользователя в поле Абонентская группа (телефонный контекст), нажмите кнопку Обзор.

Запустите и перезапустите Internet Explorer.

В Internet Explorer выберите пункт «Параметры браузера» в меню «Инструменты».

Перейдите на вкладку «Дополнительные», а затем в списке «Параметры» выберите следующие флажки:

• Проверка отзыва сертификата издателя
• Проверка отзыва сертификата сервера (требуется перезагрузка)

Чтобы выполнить поиск абонентской группы для пользователя в поле Абонентская группа (телефонный контекст), нажмите кнопку Обзор.

Запустите и перезапустите Internet Explorer.

В системах Windows Server 2003, Windows 2000 и т. д. программа диагностики мгновенно завершает работу и отображается сообщение об ошибке «Stop error code 0x00000050» (PAGE_FAULT_IN_NONPAGED_AREA) или «Stop error code 0x0000000A.

Проблема

При попытке запуска одной из следующих программ диагностики программа мгновенно завершает работу.

Редактор реестра (Regedit.exe)

Диспетчер задач (Taskmgr.exe)

Программа настройки системы (Msconfig.exe)

Сведения о системе (Msinfo32.exe)

В процессе работы на компьютере также могут возникать следующие проблемы.

Компьютер автоматически перезагружается.

После входа в систему появляется следующее сообщение об ошибке.

Microsoft Windows
Система восстановлена после серьезной ошибки.
В журнале создана запись о данной ошибке.
Сообщите о проблеме в корпорацию Майкрософт.
Был подготовлен отчет об ошибке, который вы можете отправить нам для улучшения Microsoft Windows. Этот отчет будет рассмотрен с сохранением конфиденциальности и анонимности.
Для просмотра данных отчета об ошибке щелкните здесь.

После щелчка ссылки Щелкните здесь в нижней части окна сообщения появляется информация следующего вида:

Набор данных 1BCCode : 00000050 BCP1 : ffffff60 BCP2 : 00000000 BCP3 : 804fa26f BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

Набор данных 2BCCode : 0000000A BCP1 : ffffff94 BCP2 : 00000000 BCP3 : 00000000 BCP4 : 804e15ef OSVer : 5_1_2600 SP : 0_0 Product : 256_1

Появляется одно из следующих сообщений о фатальной ошибке:

Обнаружена ошибка, для предотвращения повреждения компьютера Windows завершит работу.
Техническая информация:

*** STOP: 0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA address 0x804fa26f in 0x50_nt!ObReferenceObjectSafe+e

Обнаружена ошибка, для предотвращения повреждения компьютера Windows завершит работу.
Техническая информация:

*** STOP: 0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL address 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a

При просмотре журнала системных событий в окне просмотра событий возможно появление одной из следующих записей:

Примечания

Реакция системы на возникновение фатальной ошибки зависит от параметров восстановления системы.
Для получения дополнительных сведений о настройке параметров восстановления щелкните следующий номер статьи базы знаний Майкрософт:

307973 Настройка механизма восстановления в Windows

Четыре параметра, перечисленные в круглых скобках в сообщении о фатальной ошибке, изменяются в зависимости от конфигурации компьютера.

Не все ошибки «Stop 0x0000000A» вызываются проблемой, которая описана в этой статье.
Для получения дополнительных сведений об устранении неполадок, связанных с ошибками Stop 0x0000000A в Windows ХР, щелкните следующий номер статьи базы знаний Майкрософт:

314063 Устранение неполадок, связанных с ошибкой Stop 0x0000000A в Windows XP

Причина

Проблема может возникать в случае, когда компьютер заражен одной из разновидностей вируса Sdbot.

Вирус Sdbot порождает скрытый процесс. Этот процесс закрывает программы, которые системные администраторы используют в целях диагностики и настройки системы. Также процесс может препятствовать запуску этих программ.

Имя файла вируса Sdbot может быть различным. Большинство разновидностей этого вируса устанавливает на компьютер драйвер Msdirectx.sys или Haxdrv.sys. Этот драйвер используется для сокрытия процесса, порождаемого вирусом. Чаще всего вирус использует имена Msdrv.exe и Sdkcore.exe. Эти разновидности вируса могут восстанавливать вирус после удаления файлов.

Решение

Для решения этой проблемы воспользуйтесь одним из приведенных ниже способов.

Для автоматического удаления некоторых разновидностей этого вируса запустите средство удаления вредоносных программ Microsoft.

Версия средства, выпущенная в апреле, может удалять некоторые разновидности этого вируса. Загрузить средство удаления вредоносных программ и получить о нем дополнительные сведения можно на следующих веб-узлах:

Внимание! Имя файла вируса Sdbot может быть различным. Возможно, потребуется изменение описанных ниже действий в соответствии с именем файла, используемого вирусом Sdbot.

Выполните следующие действия, чтобы загрузить компьютер в безопасном режиме.

В процессе загрузки несколько раз нажмите клавишу F8 (с интервалом в 1 секунду).

Откроется меню дополнительных вариантов загрузки Windows.

С помощью клавиш СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ выберите пункт «Безопасный режим» и нажмите клавишу ВВОД.

Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду regedit и нажмите кнопку ОК.

Найдите и удалите все параметры, содержащие имя файла Msdrv.exe или Sdkcore.exe, в следующих разделах реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesНапример, если параметр Ms Sound Drivers имеет значение msdrv.exe, удалите этот параметр.

Найдите и удалите все параметры, содержащие Msdirectx или Haxdrv, в следующих разделах реестра:

HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

Закройте редактор реестра.

Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.

В командной строке введите следующие команды. После каждой команды нажимайте клавишу ВВОД.

attrib -r -h -s %systemroot%system32msdirectx.sys
attrib -r -h -s %systemroot%system32haxdrv.sys
attrib -r -h -s %systemroot%system32msdrv.exe
attrib -r -h -s %systemroot%system32sdkcore.exeПримечание. На компьютере эти файлы могут находиться в разных папках. По полученным сведениям, файлы обнаружены в следующих папках:

C:Documents and Settings имя_пользователя

С помощью средства поиска найдите все экземпляры файлов Msdirectx.sys и Haxdrv.sys. Затем введите команды, заменив %systemroot%system32 на путь к каждому обнаруженному файлу.

Введите следующие команды, чтобы удалить эти файлы. После каждой команды нажимайте клавишу ВВОД.

del %systemroot%system32msdirectx.sys
del %systemroot%system32haxdrv.sys
del %systemroot%system32msdrv.exe
del %systemroot%system32sdkcore.exeЕсли в ходе выполнения этапа 7 обнаружены другие копии этих файлов, повторите эти команды, указав путь к каждому найденному файлу.

Обновите базы данных вирусов в программном обеспечении для удаления вирусов и шпионских программ, затем проведите полную проверку системы. Далее перечислены антивирусные программы, а также файлы, которые обнаруживаются этими программами, по состоянию на 7 апреля 2005 г.

Документация по ОС Windows

Записная книжка по ОС Windows

Ошибка 333 в журнале Windows 2003 server

Windows 2003 Server как диагностировать ошибку 333

Статья Майкла Моралеса — старший инженер службы поддержки Microsoft Global Escalation Services. Специализируется на проблемах отладки и производительности Windows

Ошибка 333 относится к числу наиболее трудных для диагностики событий, регистрируемых в системном журнале Windows. С помощью системного монитора Microsoft, команд poolmon.exe и dureg.exe и рекомендаций специалиста Microsoft по технической поддержке можно ускорить процесс диагностики и устранения этой ошибки

Ошибка 333 появилась в системном журнале событий с выпуском Windows Server 2003 SP1 и быстро стала одной из наиболее частых причин обращения в службу технической поддержки Microsoft. В некоторых случаях на диагностику и устранение этой ошибки уходит несколько недель. В частности, приходится долго выяснять, к какой общей категории следует отнести данную ошибку. Ввиду непонятного описания диагностика занимает много времени. Ниже описано, как выяснить причину возникновения ошибки 333 для самостоятельного решения проблемы или получить информацию, которая повысит эффективность оказания технической поддержки.
Симптомы ошибки 333
Описание ошибки 333: «Неустранимый сбой операции ввода/вывода, запущенной реестром. Не удалось выполнить чтение, запись или запись буфера для одного из файлов, содержащих образ системного реестра».

Это означает, что образ реестра, удерживаемый в памяти, не может быть записан на диск. Windows использует модуль отложенной записи для периодической записи измененных страниц памяти на диск. При отказе модуля отложенной записи в системном журнале событий регистрируется ошибка 333.

Симптомы, сопровождающие ошибку 333, включают:
«Зависание» сервера — сервер полностью перестает реагировать на нажатие клавиш и движения мыши и становится полностью недоступен, требуя «жесткой» перезагрузки.
Медленная работа сервера — сервер чрезвычайно медленно реагирует на действия и обработка информации значительно заторможена.
Замедленное подключение к службам терминалов — регистрация пользователей в сеансе при подключении к серверу терминалов осуществляется с задержкой. После регистрации в сеансе работа может идти, как обычно, но сама регистрация занимает несколько минут вместо нескольких секунд.

Ошибки 333 можно разбить на три категории:
Истощение ресурсов памяти. При попытке выполнения записи измененных страниц из кэша на диск модулем отложенной записи оказалось недостаточно ресурсов. Часто этот тип проблемы сопровождается событием 2020 или 2019.
Диск был занят или недоступен. Иногда занятый диск недостаточно быстро реагирует на запрос модуля отложенной записи на сохранение измененных страниц памяти.

«Раздувание» реестра. Реестр неожиданно увеличивается в размере, все более затрудняя сохранение изменений на диск, что обычно случается на терминальных серверах.
Особенно неприятно, что события продолжают регистрироваться в системном журнале (много раз в минуту) до перезагрузки сервера. Достаточно одного отказа модуля отложенной записи, чтобы события начали наводнять системный журнал. Хотя причина отказа модуля отложенной записи могла быть кратковременной (например, пик использования памяти), ошибки 333 продолжают регистрироваться в журнале даже при нормальном использовании памяти. Это происходит потому, что системе известно о неудачной попытке синхронизации реестра, а также о том, что версия реестра, содержащаяся в памяти, не соответствует версии на диске. Поэтому количество и частота ошибок 333 не являются достоверным индикатором остроты проблемы. По умолчанию модуль отложенной записи пытается записывать на диск изменения каждые пять секунд.

Средства диагностики ошибок 333

Диагностируя ошибку 333, сначала необходимо определить, к какой общей категории ее следует отнести. Полезно также проверить системный журнал на наличие других событий, сопровождающих ошибку 333, — например, события 2020, указывающего на отсутствие памяти выгружаемого страничного пула, либо события 2019, свидетельствующего об утечке памяти невыгружаемого страничного пула.
В диагностике ошибки 333 могут помочь следующие инструменты:
Системный монитор. Отслеживаемые индикаторы — объекты системы, памяти, диска и процесса.
Объект памяти. Отслеживается рост невыгружаемой или выгружаемой памяти.
Объект процесса. Отслеживается непрерывный рост числа маркеров процесса непосредственно перед регистрацией ошибки 333.
Объект системы. Счетчик «процент использования квоты реестра» указывает на долю используемой разрешенной квоты реестра. Чем больше эта доля, тем вероятнее, что проблема связана с разрастанием реестра.
Физический диск. Отслеживается счетчик средней длины очереди ожидающих запросов к диску (Avg Disk Queue Length), указывающий на среднее число запросов чтения и записи. В случае всплеска показаний этого счетчика при возникновении проблемы следует проанализировать драйверы фильтра (т. е. антивирусное программное обеспечение или программное обеспечение для резервного копирования) данной системы.

Здравствуйте.

У меня на терминальном сервере каждые 5 секунд в журнале системы возникает ошибка 333 от Application Popup

Читал http://www.eventid.net/display.asp?eventid=333&eventno=5757&source=Application%20Popup&phase=1, но толком не понял. Там как-то обще и про все. Плюс у меня нет аккаунта на eventid.net и мне не дают скачать обновления.

Может здесь мне подскажут как избавиться от ошибки 333 на архиважном сервере предприятия?

Заранее спасибо.

First published on TECHNET on Oct 30, 2007

In previous posts we’ve discussed the

basics of memory management including an overview of kernel and user memory

,

pool resources

as well as

the /3GB switch

.   Continuing our discussion of memory management, we are going to examine an issue that we have been seeing more of on the Performance team — the Event ID 333 message.  As system memory increases, and applications and roles of the server become more important, access to the disk becomes more competitive between applications and the operating system.  As a result, you can start to see the Event ID 333 logged, and you are likely seeing other performance issues including server hangs, pauses, sluggish response times and more.  So today we’re going to discuss what the Event ID 333 is, possible causes and common solutions for both 32-bit and 64-bit systems.

The first thing to understand is what exactly an Event ID 333 is.  The event ID 333 is a System event error log that occurs when the registry is unable to complete a flush operation to the disk.  There are several reasons that this can fail and we’ll discuss them below.  So, what does the Event ID 333 look like?  In the system event log, you see at least one, and more likely multiple instances of the following:

Event ID 333’s are new to Windows Server 2003 Service Pack 1 and are written to the system event log if the Operating System is not able to flush out or write to the registry hive.  The symptoms that accompany an Event ID 333 can vary between server hangs, “Insufficient resources exist to complete the requested service” errors, SQL Databases stopping and starting, database queries are slow and sluggish operating system performance.  The apparent slow server performance is why the Performance team is engaged on the majority of the issues.  As mentioned previously, the Event ID 333 can occur on both x86 and x64 systems.

Now that we have a little background on what the Event ID 333 is and why it exists, we’re going to take a look at the causes. There are a number of different reasons for why a server is logging the Event ID 333’s — the majority of the issues are caused by one of the following:

• The disk hosting the system partition is not keeping up with the load (high disk queue lengths).  This can be determined using a Performance Monitor capture.  This can occur on both x64 and x86 systems.
• There is memory pressure.  In many cases there will also be issues with low Paged (Event 2020) or NonPaged (Event 2019) pool memory or low System PTE’s.  Using Performance Monitor can help to determine if you are low on System PTE’s.  This is more likely to occur on x86 systems dues to the memory limitations of the 32-bit address space
• A filter driver is keeping the registry from being flushed.  This can occur on both x64 and x86 systems
• A User account granted the “Lock system pages in memory” user right.  This can occur on both x64 and x86 systems

So — how do we go about resolving the Event ID 333 problem?  Depending on the particular scenario that is causing your issue, then you should perform one of the following:

Disk issues:

1. Enable Enhanced Performance Options

   for the physical disks that host the Operating System itself

2. Update your disk controller firmware and drivers.  Engage your hardware vendor to ensure that you are running the latest supported version and also to verify if there are any known issues.
3. Determine what process is taxing the disk by using Performance Monitor logging.  Examine the Process Object and review each processes I/O Data bytes/sec.  If a process exhibits an unusual amount of I/O compared to your server’s baseline performance, then investigate that process.  For non-Microsoft processes, contact the software vendor.

Maximize Kernel Memory and System PTE’s:

1. If you are using the /3GB switch on a 32-bit system, do you really need it?  As we discussed in our

   post on /3GB

   this switch may not be necessary.

   • Some software vendors recommend implementing the switch for their applications — verify with them that they have the IMAGE_FILE_LARGE_ADDRESS_AWARE flag set in their image header.  If they do not, then the application is only able to use the standard 2GB of user-mode memory — but the kernel is now limited to 1GB for no reason.
   • You can also check the virtual memory of the executable that is believed to take advantage of /3GB.  If the process is not exceeding 1.8GB of Virtual Memory then it is unlikely to be able to take advantage of the extra virtual memory.
   • If the /3GB switch is required (for example

     Exchange Servers that are configured as Mailbox Servers

     ) then add the /USERVA=2970 switch to give a portion of the User-mode memory to the Kernel to help guard against PTE Depletion.

     Microsoft KB Article 316739

     discusses the use of the /USERVA switch.

2. Adjust the allocation and use of PagedPool memory by making some registry changes that are outlined in

   Microsoft KB Article 312362

   .

3. Disable the Hot Add Memory feature

   to re-allocate reserved Paged Pool memory back to the Operating System.  When the Hot Add Memory feature is enabled, the operating system pre-allocates kernel resources to handle any future memory that may be added to the computer.  Kernel resources are allocated based on the capabilities of the computer instead of on the RAM that is actually installed.  The kernel may allocate significant resources to RAM that may never be installed.  Therefore, the Hot Add Memory feature may cause the maximum size of the paged pool to be much smaller than expected.

A filter driver is preventing the registry from being flushed:

A quick note on filter drivers — removing or disabling filter drivers without understanding the impact to the system can result in unexpected system behaviors including system hangs or bugchecks.  Examples of common programs that use filter and kernel drivers include Anti-virus software, Backup Software (including Microsoft Volume Shadow Copy) and

Version-2 printer drivers

.  For information on how to temporarily disable filter drivers, refer to

Microsoft KB Article 816071

.  Before disabling the filter drivers however, check to see if some of the 3rd party drivers are simply outdated.  The easiest way to check on these 3rd party filter drivers is to use our MPS Reporting utility to capture this information.

1. Download the MPSRPT_SETUPPerf.exe file from the

   Microsoft Product Support Reporting Tools page

   to the local machine.

2. Run the MPS Reports executable
3. Once the report has finished, you can extract the PStat.txt file from the .CAB file that is created and review the list of 3rd party filter / kernel drivers to see which ones may be outdated.  Contact the vendor for the filter driver to get the latest supported version and also to discuss any potential issues with the driver.

«Lock Pages in Memory» user right:

On x64 systems, the likelihood of a server running out of kernel memory or System PTE’s is far less than on an x86 system.  However, we have seen the Event 333 error occur on x64 systems as well.  Using the «!vm» debugger command when reviewing a memory dump of the server may indicate that the server is low on physical memory, even though performance monitor data indicates that there is plenty of available memory.  The sample output below illustrates this:

15: kd> !vm

*** Virtual Memory Usage ***

Physical Memory: 2095394 ( 8381576 Kb)

Page File: ??C:pagefile.sys

Current: 4249600 Kb Free Space: 4154172 Kb

Minimum: 4249600 Kb Maximum: 4249600 Kb

Available Pages: 868200 ( 3472800 Kb)

ResAvail Pages: 250 ( 1000 Kb)

********** Running out of physical memory **********

To work around this behavior on x64 platforms or on servers with 4GB or less of physical RAM use the following steps:

1. Click on Start —> Run
2. Type Secpol.msc and click OK
3. Expand «Local Policies» then click on «User Rights Assignment»
4. Double click on «Lock pages in memory»
5. Highlight any user accounts listed and click on «Remove»
6. Click OK after all accounts have been removed
7. Reboot the system

NOTE: By default, the Windows Operating system does not grant this user right to any accounts.  The “Lock pages in memory” right is granted to the account used for SQL Services by the SQL 2005 RTM/SP1 Enterprise Edition install on 32bit systems.  If you are using SQL Enterprise on 32-bit servers with more than 4GB of RAM, the Lock Pages in Memory right is needed.  To help reduce the occurrence of the Event ID 333’s on these systems, ensure the user account you are using for the SQL services is only used for SQL. Check the access right for “Lock pages in memory” and only list the account used for SQL.  If System, or any other accounts are listed, remove them.  For x64 systems, remove all accounts listed.

Well that does it for this post.  As you can see the Event ID 333 has several causes and is usually one of many symptoms seen on servers experiencing performance problems.  By troubleshooting and eliminating Event ID 333’s, the overall performance of the server should improve.  Keep an eye on the Microsoft Knowledgebase — in the coming weeks, the majority of this information should be available in a KB Article.

— Aurthur Anderson

Вероятно многим администраторам знаком данный ID 333(жаль не 666).Знаком своей непонятностью и трудноустранимостью. Хотя как посмотреть.