H. Hennig 10 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Hallo, wir haben auf einem Kundenserver (W2k8r2) folgendes Problem: Täglich, immer zu unterschiedlichen Zeiten und im Abstand von meheren Stunden werden 5 Dateien nach C:\Windows\Temp geschrieben. Diese Dateine haben alle die selbe Systax als Dateinamen: cab_<3-stellige Zahl>_<1 Ziffer>. Eine der Dateien ist IMMER exatkt 131.540 KB groß, die vier anderen Datein je 0 Byte. Da diese Dateien nicht mehr gelöscht werden wird C: nach und nach zugemüllt und uns bleibt nichts anderes übrig als diese Dateien regelmäßig von Hand zu löschen. Ich habe eine 131.540 KB große Datei mal im Hexeditor geöffnet. Die Datei besteht komplett aud Binärzeichen, keine Zeichen in Klartext die irgendwelche Rückschlüsse zulassen würden. Folgende Software ist auf dem Sever installiert: - Trend Micro Worry Free Busines - Cremasoft Z1 (Praxissoftware Zahnarzt) Cremasoft sagt, dass diese Dateien nicht von ihrer Software produziert werden. Trend Micro haben wir auf diversen Systemen und nirgendwo anders dieses Problem. Dazu habe ich folgende Fragen: - Kennt jemand Dateien mit einer derartigen Namenssyntax und kann mir sagen, wo diese Dateien herkommen? - Gibt es eine Möglichkeit festzustellen, welches Programm diese Dateien erzeugt? H.H. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Hi, mit dem Process Monitor / Process Excplorer von Sysinternals solltest du dem Ersteller auf die Schliche kommen. Gibt zur Zeit der Erstellung irgendwelche Einträge in der Ereignisanzeige? Gruß Jan Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Hi, als Ursache könnte die "sfc.exe" in Frage kommen. Wirf auch mal einen Blick in den Ordner "C:\windows\logs\cbs". Da diese Dateien nicht mehr gelöscht werden wird C: nach und nach zugemüllt und uns bleibt nichts anderes übrig als diese Dateien regelmäßig von Hand zu löschen. Hm, erstelle doch eine kleine Batchdatei zum löschen und in der Aufgabenplanung eine zeitlich gesteuerte Aufgabe dafür. Alles, was unter C:\Windows\Temp liegt sollte unkritisch sein. Gruß Sebastian Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 11. Mai 2016 Autor Melden Teilen Geschrieben 11. Mai 2016 @testperson In der Ereignisanzeige sind keine Einträge zu finden die mit der Erstellung dieser Dateien in Verbindung gebracht werden könnten. Wie soll ich mit dem Processexplorer der Dateierstellung auf die Schliche kommen? Ich müsste diesen dazu ja den ganzen Tag lang laufen lassen um dann alle Ereignisse (das werden dann tausende sein) nach den entsprechenden dateinamen zu filtern. Meintest du das? @Sanches Wieso sfc? Dieser Server ist der einzige, wo das Phänomän auftaucht. An das Löschen per Batch habe ich auch schon gedacht. Löschvorgänge automatisiere ich nur nicht so gerne weil das dann etwas unkontrollierbar ist. In c:\windows\logs\cbs werde ich mich mal umsehen. Vieleicht finde ich da etwas. Vielen Dank H.H. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Prüf mal, ob die Files das CAB-Format haben. Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Nunja, das Löschen von (Temporär-)Dateien würde ich jetzt nicht als "unkontrollierbar" bezeichnen. Du könntest ja die Files zunächst verschieben und sie zeitversetzt erst löschen. Zusätzlich könntest du dies alles ja protokollieren (lassen). Wenn du etwas mehr Sicherheit haben möchtest, könntest du ja nur die Dateien löschen, welche älter als X Tage sind. Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 11. Mai 2016 Autor Melden Teilen Geschrieben 11. Mai 2016 @zahni: Nein, es ist kein cab-Format. Hatte ich auch schon gedacht, konnte ich aber nicht entpacken. @Sanches: Ich habe immer ein ungutes gefühl wenn Batchdateien auf einem Server etwas löschen. Ich weiß, dass das etwas albern ist. Ist aber so. Deshalb wäre es mir lieber wenn ich die Ursache für das Problem finden kann. H.H. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 Ich habe immer ein ungutes gefühl wenn Batchdateien auf einem Server etwas löschen. Ich weiß, dass das etwas albern ist. Ist aber so. Deshalb wäre es mir lieber wenn ich die Ursache für das Problem finden kann. Dann lass den ProcessMonitor bzw. Prozess Explorer von Sysinternals mitlaufen, wie testperson schon vorgeschlagen hat. Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 11. Mai 2016 Melden Teilen Geschrieben 11. Mai 2016 (bearbeitet) Und die Makecab.exe wird sicherlich ausgeführt ;) Ich hab folgendes gemacht: 1. Windows Update Dienst beenden 2. Nach C:\Windows\Logs\CBS wechseln 3. Alle Log-Files löschen (falls du möchtest, kopier die vorher weg) 4. Weder in den Temp Ordner wechseln 5. alle cab_blabla löschen 6. Windows Update Dienst starten bearbeitet 11. Mai 2016 von OliverHu Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 In der Zwischenzeit habe ich auch festgestellt, dass min. Windows Update in diese Logdateien schreibt und besagte Dateien in Windows\temp von sfc kommen könnten. Kann ich beim Server 2008R2 die Dateien in Windows\logs\cbs einfach löschen? Die Informationen in Internet dazu sind sehr unterschiedlich (von nicht löschen bis alles kann gelöscht werden). H.H. Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Wie sagt man so schön: Nur muuuut ;) Wie ich schon schrub, kannst du diese ja vorher wegkopieren... Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 @OliverHu ... Du bist lustig. Wenn es schief geht und der Server steht habe ich ein Problem. Es handelt sich um den einzigen Server im Netzwerk, Arztpraxis, DC, Praxissoftware usw.. Sowas kann mich dann schon mal eine Nachtschicht kosten und ob das der Kunde dann bezahlen will darf bezweifelt werden. Zitieren Link zu diesem Kommentar
Sanches 22 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Wenn es schief geht und der Server steht habe ich ein Problem. Es handelt sich um den einzigen Server im Netzwerk, Arztpraxis, DC, Praxissoftware usw. Wie geschrieben, muss du erstmal nichts löschen, verschieben reicht ja zunächst. Oder: Erstelle ein vorheriges Backup des Servers. Sollte dann was nicht gehen, kannst du ne Rücksicherung machen. Bleibt dann nur zu hoffen, das das Backup auch alles richtig gemacht hat und der Restore problemlos klappt (bitte entschuldige meinen Sarkasmus). @OliverHu: Ggf. sollte auch der Dienst "Windows Modules Installer" dabei eine Rolle spiele. Gruß Sebastian Zitieren Link zu diesem Kommentar
OliverHu 19 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Ich hatte das Problem bei rund 10 Maschinen, laufen immer noch... ;) Zitieren Link zu diesem Kommentar
H. Hennig 10 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 Selbst wenn ich die Daten erstmal nur verschiebe ist noch nicht gesagt, dass im Fehlerfall ein Zurückkopieren hilft. Auf dem einzigen Server in einer produktiven Umgebung Dateien löschen, in der Hoffnung das nichts schief geht - das sollte man (es sei denn es gibt wirklich wichtige Gründe) tunlichst vermeiden. Sich dann noch, nach dem Motto "wenn es schief geht kann ich ja das Backup zurück spielen" auf ein Backup verlassen halte ich für fahrlässig. Wenn Eure Kunden solche Spiele mitmachen und bezahlen habt Ihr großes Glück, seit aber nicht in der freien Wirtschaft als Dienstleister unterwegs. Entschuldigt wenn ich das so sagen muss, entspricht aber nicht nur meinen Erfahrungen. Interessant ist die Fragen: Kann ich diese Dateien definitiv löschen ja/nein? Hat das schon jemand gemacht? Gibt es da Erfahrungen? H.H. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.