Printserver und spoolsv.exe
Hallo zusammen
Da user Printserver im Moment wenig freier Speicherplatz auf dem Laufwerk C: hat, bin ich auf die Suche nach grossen Files gegangen. Dabei habe ich ein File mit > 1GB entdeckt mit dem Dateinamen:
spoolsv.exe20051101-072048-00.hdmp
Der letze Zugriff war noch im vergangenen Jahr. Es sind mehrere Files mit der gleichen Dateiendung vorhanden mit unterschiedlichen Daten und Grössen?
Für was werden diese Files verwendet? Können diese gelöscht werden?
Danke für Eure Hilfe
Gruss
analyzer
Da user Printserver im Moment wenig freier Speicherplatz auf dem Laufwerk C: hat, bin ich auf die Suche nach grossen Files gegangen. Dabei habe ich ein File mit > 1GB entdeckt mit dem Dateinamen:
spoolsv.exe20051101-072048-00.hdmp
Der letze Zugriff war noch im vergangenen Jahr. Es sind mehrere Files mit der gleichen Dateiendung vorhanden mit unterschiedlichen Daten und Grössen?
Für was werden diese Files verwendet? Können diese gelöscht werden?
Danke für Eure Hilfe
Gruss
analyzer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 30080
Url: https://administrator.de/contentid/30080
Ausgedruckt am: 13.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Moin analyzer,
Demnach hat es auf diesem Server wohl des öfteren Aussetzer gegeben - siehe auch im EventLog.
Tja, dann konnten wohl zu unterschiedlichen Abstürzen mal mehr, mal weniger Details gedumpt werden.
Nein, auf gar keinen Fall. Aufbewahrungspflicht für Windows-Crash-Dumpdateien beträgt 7 Jahre. *gg... das Lesen und Interpretieren einer Ein-GigaByte-Dump-Datei weitere 5 Jahre.
Andererseits... Du kannst Windows sowohl das Erzeugen wie auch das Nach-Hause-Senden von Error-Dumpdateien verbieten per Registry. Siehe in den einschlägigen Registry-Tweak-Foren.
Also, ohne Scherz... Hau wech den Mist.
Allerdings erst, wenn Du die eigentliche Ursache für das Crash & Burn lokalisiert und gefixt hast. Von wann ist denn die jüngste .hdmp-Datei?
Gruß
Biber
Für was werden diese Files verwendet?
Das sind die unkomprimierten Error-Dump-Dateien. Die komprimierten heißen .mdmp und werden (bzw. wurden) an M$ verschickt.Demnach hat es auf diesem Server wohl des öfteren Aussetzer gegeben - siehe auch im EventLog.
Es sind mehrere Files mit der gleichen Dateiendung vorhanden mit unterschiedlichen Daten und Grössen?
Tja, dann konnten wohl zu unterschiedlichen Abstürzen mal mehr, mal weniger Details gedumpt werden.
Können diese gelöscht werden?
Nein, auf gar keinen Fall. Aufbewahrungspflicht für Windows-Crash-Dumpdateien beträgt 7 Jahre. *gg... das Lesen und Interpretieren einer Ein-GigaByte-Dump-Datei weitere 5 Jahre.
Andererseits... Du kannst Windows sowohl das Erzeugen wie auch das Nach-Hause-Senden von Error-Dumpdateien verbieten per Registry. Siehe in den einschlägigen Registry-Tweak-Foren.
Also, ohne Scherz... Hau wech den Mist.
Allerdings erst, wenn Du die eigentliche Ursache für das Crash & Burn lokalisiert und gefixt hast. Von wann ist denn die jüngste .hdmp-Datei?
Gruß
Biber
Einige weitere Infos zu *.hdmp findest du hier http://filext.com/detaillist.php?extdetail=HDMP
dann finden sich in einigen viren foren hinweise auf einen schädling:
"When svchost.exe crashes, a message like this may appear on Windows XP:
"Generic Host Process for Win32 Services" error report...
When svchost.exe crashes, Windows may create memory dumps of the process. These files are usually called user.dmp, svchost.exe.hdmp, or svchost.exe.mdmp.
Because these files contain the exploit code that caused the crash, they may be detected as DcomRpc.exploit or MS03-026 Exploit.Trojan. These files are harmless, and can safely be deleted. " (Quelle: http://www.paules-pc-forum.de/phpBB2/ptopic,110771.html)
Ja ich weiß das letztere is nicht unbedingt so nützlich. eventuell hatte das system einen virus und ist daher abgestürzt.
dann finden sich in einigen viren foren hinweise auf einen schädling:
"When svchost.exe crashes, a message like this may appear on Windows XP:
"Generic Host Process for Win32 Services" error report...
When svchost.exe crashes, Windows may create memory dumps of the process. These files are usually called user.dmp, svchost.exe.hdmp, or svchost.exe.mdmp.
Because these files contain the exploit code that caused the crash, they may be detected as DcomRpc.exploit or MS03-026 Exploit.Trojan. These files are harmless, and can safely be deleted. " (Quelle: http://www.paules-pc-forum.de/phpBB2/ptopic,110771.html)
Ja ich weiß das letztere is nicht unbedingt so nützlich. eventuell hatte das system einen virus und ist daher abgestürzt.