永恒之蓝WannaCry病毒导致Win2008R2系统蓝屏重启问题

问题描述

一台或多台服务器windows系统不定时蓝屏重启，application日志中有以下记录：

事件ID59，来源SideBySide：”c:\Windows\tasksche.exe”的激活上下文生成失败。在指令清单或策略文件”c:\Windows\tasksche.exe”的第 0 行出现错误。 无效的 Xml 语法。

系统日志中记录为蓝屏，事件ID1001，来源bugCheck检测错误主要有两种： 0x00000050，0x0000001e，C:\Windows下有dmp文件生成。

dmp文件解析结果主要为：Probably caused by : Unknown_Image ( srvnet!SrvNetWskReceiveComplete+7d )

因病毒会攻击系统，解析结果也可能指向ntkrnlmp.exe等系统进程。

检查发现C:\Windows下中存在这三个文件：mssecsvc.exe、qeriuwjhrf、tasksche.exe ，任务管理器中存在相关进程。

涉及范围

目前发生该问题的均为windows 2008R2操作系统

处理方案

确认存在病毒后请客户使用杀毒软件清除病毒，并检查局域网中其他服务器是否同样存在该病毒。

故障根因

永恒之蓝WannaCry病毒攻击失败导致操作系统蓝屏，srvnet!SrvNetWskReceiveComplete为该病毒使用到的一个函数。

建议与总结

该病毒变种较多，目前民用杀毒软件可能无法清理，且病毒会通过网络攻击触发蓝屏。

可采用以下方法避免再次受到攻击。

关闭445端口

升级MS17-010补丁

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010