fsb
Goto Top

Symantec Antivirus / PC Anywhere führt auf server 2003 zu Abstürzen

Hallo,

hatte bei einer firma einigen Ärger mit Symantec Software. Es war relativ schwierig an die Lösung zu kommen, deswegen dieser Artikel an alle die das gleich Problem haben:

Wenn Symantec Antivirus 8.1 oder 9.0 (zB. Corporate Edition) und Symantec PC Anywhere 11.5 auf einem Windows Server 2003 installiert sind, kann das zu krassen Abstürzen führen. Manchmal startet der Server dann nur noch mit Bluescreen und solche Scherze.

Schuld ist eine Datei die von PC Anywhere 11.5 installiert, aber nur von Antivirus benutzt wird. Sobald Antivirus auf die zugreift: Peng!

Lösung: beides restlos deinstallieren, Antivirus wieder installieren, wenn möglich auf PC Anywhere verzichten oder sich von Symantec eine Version von PC Anywhere ohne die Datei "symevent" schicken lassen. Das mit dem Deinstallieren und Neuinstallieren von Antivirus muss natürlich nicht auf Anhieb klappen, es gibt da ein Tool von Symantec, das alle Daten aus der registry löscht, es kann einem aber den Server auch zerschiesen, also vorher SICHERN!!!

Content-ID: 8616

Url: https://administrator.de/tutorial/symantec-antivirus-pc-anywhere-fuehrt-auf-server-2003-zu-abstuerzen-8616.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

fritzo
fritzo 28.03.2005 um 09:11:52 Uhr
Goto Top
Hi,

zu diesem Problem, das schon seit einiger Zeit und anscheinend in verschiedenen Programmen und Versionen von Norton / Symantec auftritt, gibt es den KB-Artikel 239415 von Microsoft.

Bei symevent.sys handelt es sich um einen VxD-Gerätetreiber für das Powermanagement, der eine Komponente des Norton CrashGuard darstellt und beim Booten in einigen Fällen eine Exception verursachen kann. Er liegt bei einer Standardinstallation im Verzeichnis %systemroot%\system32\drivers.

Symantec stellt auf seinen Seiten jeweils die neueste Version des Symevnt-Installers bereit, der das Problem beheben soll.

Grüße,
fritzo
fsb
fsb 28.03.2005 um 13:29:36 Uhr
Goto Top
Hallo,

das klingt auch interessant. Bei dem Problem das ich meine, taucht aber die Fehlermeldung

STOP 0x00000020 (0x00000000, 0x0000fffe, 0x00000000, 0x00000001)
KERNEL_APC_PENDING_DURING_EXIT

auf. Das Problem exisitiert laut Symantec erst seit etwa Ende letzten Jahres. Eine kurze Beschreibung des Problems gibt's auf der Homepage von Symantec unter dem Artikel 2005011413594848

Grüße
fsb
fritzo
fritzo 28.03.2005 um 18:56:19 Uhr
Goto Top
Hi,

stimmt, es handelt sich um einen ähnlichen, aber anderen Fehler. Scheinbar hat der Treiber in diesem Fall noch einen APC auf dem Stack liegen (negativer Wert) und beendet ihn nicht (Wert wäre dann Null):


Bug Check 0x20: KERNEL_APC_PENDING_DURING_EXIT

The KERNEL_APC_PENDING_DURING_EXIT bug check has a value of 0x00000020. This indicates that an asynchronous procedure call (APC) was still pending when a thread exited. Parameters:

The following parameters are displayed on the blue screen.
Parameter Description
1 The address of the APC found pending during exit
2 The thread's APC disable count
3 The current IRQL
4 Reserved

Cause
The key data item is the thread's APC disable count (Parameter 2). If this is non-zero, it will indicate the source of the problem.

The APC disable count is decremented each time a driver calls KeEnterCriticalRegion, KeInitializeMutex, or FsRtlEnterFileSystem. The APC disable count is incremented each time a driver calls KeLeaveCriticalRegion, KeReleaseMutex, or FsRtlExitFileSystem.

Since these calls should always be in pairs, this value should be zero when a thread exits. A negative value indicates that a driver has disabled APC calls without re-enabling them. A positive value indicates that the reverse is true.

If you ever see this error, be very suspicious of all drivers installed on the machine ? especially unusual or non-standard drivers.

This current IRQL (Parameter 3) should be zero. If it is not, that a driver's cancellation routine may have caused this bug check by returning at an elevated IRQL. In this case, carefully note what was running (and what was closing) at the time of the crash, and note all of the installed drivers at the time of the crash. The cause in this case is usually a severe bug in a driver.

Quelle: http://msdn.microsoft.com, Bug Check Codes

Hier noch der entsprechende KB-Artikel von Symantec, der auch dazu rät, alle Symantec-Produkte erst einmal zu deinstallieren und dann PCAnywhere ohne dem Symevent-Treiber neu zu installieren. Falls sich der Treiber nicht richtig deinstallieren lässt, muß das manuell vorgenommen werden; hierzu gibt es auch eine Beschreibung.

So, jetzt ist es aber komplett ;)

Grüße,
fritzo
Ritchy
Ritchy 06.04.2005 um 17:56:57 Uhr
Goto Top
Hallo,

es reicht aus die richtige Symevnt.sys einzuspielen und zwar die Version 11.4.0.11. Die neuste Version nutzt nichts, es muss genau die 11.4.0.11 sein. Selbst getestet...

Die gibts hier: ftp://ftp.symantec.com/public/english_us_canada/linked_files/ent_sec/symevent/v11.4.0.11/sevinst.exe

Befehl: "sevinst NAVNT" oder "sevinst SAVCE", je nach Antivirus Version, sollte aber auch nur für pcAnywhere 11.5 gehen.

mfg
Ritchy
fritzo
fritzo 06.04.2005 um 20:14:47 Uhr
Goto Top
Hi,

hm - jetzt haben wir evtl. widersprüchliche Aussagen im Thread.. der eine Vorschlag besteht darin, den Gerätetreiber runterzuwerfen, der andere darin, ihn mit einer bestimmten Version zu ersetzen. Wie kriegen wir da jetzt Klarheit rein?! Oder geht evtl das eine wie das andere?

Grüße,
fritzo
fsb
fsb 06.04.2005 um 20:34:54 Uhr
Goto Top
Also mir wurde von Symantec empfohlen alles zu deinstallieren (auch mit NoNav, s.o.).
Es gibt aber auch unterschiedliche Auswirkungen des Problems. Bei manchen geht der Server einfach aus und fährt wieder hoch, bei anderen gibt's einen bluescreen beim hochfahren und es läuft nur noch der abgesicherte Modus.
Man kann ja versuchen, erst die Datei neu zu installieren, wenn's nicht hilft, runter mit allem.

Ich hab PCA nicht mehr laufen!!!
Ritchy
Ritchy 06.04.2005 um 21:46:18 Uhr
Goto Top
Hallo nochmal,

also ich hatte den Fehler: KERNEL_APC_PENDING_DURING_EXIT

meist mitten im runterfahren, bzw. neustarten, was dann darin resultierte, dass es mir die Exchange Datenbank zerschossen hat.

Als Hauptauslöser des Problems konnte ich pcAnywhere 11.5 entlarven. Wenn man die Reihenfoge einhält, erst pcAnywhere 11.5 und dann Antivir 9.x funktioniert es unter Umständen. Auch könnte eine installierte 11.5 unter Umständen mit der SYMEVENT.SYS 11.4.0.11 laufen.

Ich habe jedoch jetzt auf 11.5 verzichtet und 11.0 laufen, dazu noch Antivir Corp. 9.02.

Der Symevent-Treiber ist die Version 11.4.0.11 und jetzt gibt es keine Probleme mehr.

Ihr könnt das gut mit ERUNT v. Lars Hederer testen. Wenn ihr versucht NTREGOPT auszuführen, sollte bei falscher Symevent.sys der obige Fehler: KERNEL_APC_PENDING_DURING_EXIT kommen.

Versuche mit der neuesten Version sind bei mir fehlgeschlagen, es funktionierte nur mit der 11.4.0.11 in Kombination mit Symantec Security Client (Antivirus) 9.02.1000.

mfg
Ritchy
cpu4u
cpu4u 06.06.2005 um 07:33:55 Uhr
Goto Top
Als ich diesen Thread fand, hätte ich den TFT umarmen können...

Genau diesen dämlichen Sch... habe ich auch erlebt! Wenn wir in den USA wären, hätte ich den Server an Ort und Stelle erlegt. Dabei war dieser ja gänzlich schuldlos.
Bei mir trat der Bluescreen immer beim runterfahren auf und zusätzlich sporadisch so alle 1-10 stunden. Nichts aber auch garnichts wies auf einen Zusammenhang mit Symantec hin!


Für diese Art der Qualen sollte es ein Schmerzensgeld geben, welches Symantec sicher locker verkraften kann, da wir ja seit Jahren mit dem Verkauf derer Produkte für volle Kassen sorgten.

Ganz herzlichen Dank @fsb und alle Beteiligten, für die Veröffentlichung, ohne die ich jetzt bestimmt den 4. Server angeschleppt hätte...
fsb
fsb 06.06.2005 um 08:30:57 Uhr
Goto Top
aber gerne dochface-smile
zeroblue2005
zeroblue2005 06.08.2005 um 23:37:49 Uhr
Goto Top
Ich schließe mich der Umarmung von cpu4 an lol,

habe jetzt 12 stunden damit gekämpft und keiner wusste eine antwort. bei mir machte sich das so bemerbar, dass beim abmelden des clienten der bluescreen kamm (ca. 1 - 10 min.) Hatte direkt 3 Produkte von symantec drauf lol. Na ja nach der desinstall von antivir 8.0 war es dann gut. pcanyware 11.5 läuft aber noch ohne probleme und Ghost 2003 auch. ich werde mal die antiviren software von symantec weglassen und dann mal sehen wie es weitergeht!!! danke an alle

zeroblue2005
tfunke
tfunke 29.08.2005 um 10:51:28 Uhr
Goto Top
Ich hatte den Spaß ebenfalls, auf dem Server ist allerdings sooo viel funktionsuntüchtig geworden, dass ich alles neu machen musste!!!
Na ja, so konnte ich wenigstens überprüfen, ob die Sicherungen auch wirklich i.O. waren.

AM BESTEN KEIN PCANYWHERE INSTALLIEREN ! ! ! (Mein persönlicher Tip: VNCviewer)

Gruß
joebigfoot
joebigfoot 11.04.2006 um 19:42:23 Uhr
Goto Top
Du bist nicht der erste dem das mit Symantec Antivirus passiert bei mir kommt Symantec Protukte nicht mehr auf die Festplatte.Ein Bekannte von mir hatte sich ihren Rechner damit komplett zusammengeschossen.Kein Symantec Antivirus mehr.Gibt nur Ärger damit leider.Die Programme aus der Steinzeit mit Dos waren sehr gut ab XP nur mehr Ärger und Frust.
Joebigfoot