事件 ID 1000 應用程序錯誤 cmd.exe kernelbase.dll
我在我的 Windows 2012 R2 Hyper-V 伺服器的事件日誌中遇到了再次發生的錯誤。錯誤事件如下所示。
錯誤 16/12/2020 15:47:31 應用程序錯誤 1000 (100) 故障
應用程序名稱:CMD.exe,版本:6.3.9600.17415,時間戳:0x545042b1 故障模組名稱:KERNELBASE.dll,版本:6.3.9600.19678,時間戳:0x5e82c88a 異常程式碼:0xc0000142 故障偏移量:0x00000000000ecf40 故障應用程序故障 ID:開始時間:0x01d6d3c2c2c9aa7d 錯誤應用程序路徑:C:\Windows\System32\CMD.exe 錯誤模組路徑:KERNELBASE.dll 報告 ID:0164a878-3fb6-11eb-8109-cd63031d6b26 錯誤包全名:錯誤包相對應用程序 ID:
它似乎發生在下午的某些時間,大約下午 3 點和 4 點左右。我檢查了此時是否有任何計劃任務正在執行但無法辨識任何任務。我執行了 SFC 掃描以查看 kernelbase.dll 是否已損壞,但掃描返回沒有問題。
有沒有人遇到過這個問題?如果是這樣,你能告訴我做了什麼來糾正它嗎?
您可能希望首先找出誰在實際執行 cmd.exe,該事件不包括在事件中。我會首先查看您的安全事件日誌,看看您那裡是否有4688 和 4689 事件。然後,您可以查找在應用程序錯誤發生的同時發生的 4688 事件(儘管 cmd.exe 可能在崩潰之前執行了一段時間)。
如果瀏覽安全事件日誌太乏味,那麼您還可以安裝EventSentry的免費試用版,它將流程活動安全事件規範化並使其更易於搜尋。
如果組策略以這種方式配置(參見上面的 system32 連結),則 4688 事件還可能包含命令行參數,這應該有助於追踪導致它的原因。