问题描述

一台或多台服务器windows系统不定时蓝屏重启,application日志中有以下记录:

事件ID59,来源SideBySide:”c:\Windows\tasksche.exe”的激活上下文生成失败。在指令清单或策略文件”c:\Windows\tasksche.exe”的第 0 行出现错误。 无效的 Xml 语法。

系统日志中记录为蓝屏,事件ID1001,来源bugCheck检测错误主要有两种: 0x00000050,0x0000001e,C:\Windows下有dmp文件生成。

dmp文件解析结果主要为:Probably caused by : Unknown_Image ( srvnet!SrvNetWskReceiveComplete+7d )

因病毒会攻击系统,解析结果也可能指向ntkrnlmp.exe等系统进程。

检查发现C:\Windows下中存在这三个文件:mssecsvc.exe、qeriuwjhrf、tasksche.exe ,任务管理器中存在相关进程。

涉及范围

目前发生该问题的均为windows 2008R2操作系统

处理方案

确认存在病毒后请客户使用杀毒软件清除病毒,并检查局域网中其他服务器是否同样存在该病毒。

故障根因

永恒之蓝WannaCry病毒攻击失败导致操作系统蓝屏,srvnet!SrvNetWskReceiveComplete为该病毒使用到的一个函数。

建议与总结

该病毒变种较多,目前民用杀毒软件可能无法清理,且病毒会通过网络攻击触发蓝屏。

可采用以下方法避免再次受到攻击。

关闭445端口

升级MS17-010补丁

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010