analyzer
Goto Top

Printserver und spoolsv.exe

Hallo zusammen

Da user Printserver im Moment wenig freier Speicherplatz auf dem Laufwerk C: hat, bin ich auf die Suche nach grossen Files gegangen. Dabei habe ich ein File mit > 1GB entdeckt mit dem Dateinamen:
spoolsv.exe20051101-072048-00.hdmp

Der letze Zugriff war noch im vergangenen Jahr. Es sind mehrere Files mit der gleichen Dateiendung vorhanden mit unterschiedlichen Daten und Grössen?
Für was werden diese Files verwendet? Können diese gelöscht werden?

Danke für Eure Hilfe

Gruss

analyzer

Content-ID: 30080

Url: https://administrator.de/contentid/30080

Ausgedruckt am: 13.11.2024 um 09:11 Uhr

Biber
Biber 10.04.2006 um 12:32:27 Uhr
Goto Top
Moin analyzer,

Für was werden diese Files verwendet?
Das sind die unkomprimierten Error-Dump-Dateien. Die komprimierten heißen .mdmp und werden (bzw. wurden) an M$ verschickt.
Demnach hat es auf diesem Server wohl des öfteren Aussetzer gegeben - siehe auch im EventLog.

Es sind mehrere Files mit der gleichen Dateiendung vorhanden mit unterschiedlichen Daten und Grössen?

Tja, dann konnten wohl zu unterschiedlichen Abstürzen mal mehr, mal weniger Details gedumpt werden.

Können diese gelöscht werden?

Nein, auf gar keinen Fall. Aufbewahrungspflicht für Windows-Crash-Dumpdateien beträgt 7 Jahre. *gg... das Lesen und Interpretieren einer Ein-GigaByte-Dump-Datei weitere 5 Jahre.

Andererseits... Du kannst Windows sowohl das Erzeugen wie auch das Nach-Hause-Senden von Error-Dumpdateien verbieten per Registry. Siehe in den einschlägigen Registry-Tweak-Foren.

Also, ohne Scherz... Hau wech den Mist.
Allerdings erst, wenn Du die eigentliche Ursache für das Crash & Burn lokalisiert und gefixt hast. Von wann ist denn die jüngste .hdmp-Datei?

Gruß
Biber
1476
1476 11.04.2006 um 10:14:02 Uhr
Goto Top
Einige weitere Infos zu *.hdmp findest du hier http://filext.com/detaillist.php?extdetail=HDMP

dann finden sich in einigen viren foren hinweise auf einen schädling:

"When svchost.exe crashes, a message like this may appear on Windows XP:

"Generic Host Process for Win32 Services" error report...

When svchost.exe crashes, Windows may create memory dumps of the process. These files are usually called user.dmp, svchost.exe.hdmp, or svchost.exe.mdmp.

Because these files contain the exploit code that caused the crash, they may be detected as DcomRpc.exploit or MS03-026 Exploit.Trojan. These files are harmless, and can safely be deleted. " (Quelle: http://www.paules-pc-forum.de/phpBB2/ptopic,110771.html)


Ja ich weiß das letztere is nicht unbedingt so nützlich. eventuell hatte das system einen virus und ist daher abgestürzt.