This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

error code e03d000f

Hallo,

 

ich bin gerade am Testen der Enterprise Console mit Endpoint Protection.

Problem:

Systemüberprüfung sowie beim On-Demand-Scan (geplanter Scan)

 

auf Win7,Win10 Rechnern

####################################

Sophos Anti-Virus-Status 

Code e03d000f

Der On-Access-Treiber konnte kein Identitätstoken für die Datei \Device\HarddiskVolume2\Windows\System32\xxxxxxx erstellen.

####################################

xxxxx=unterschiedliche Dateien pro System

 

hat dazu jemand eine Lösung?

 

Vielen Dank

 

Grüße

 



This thread was automatically locked due to age.
Parents
  • Hallo Mario Seibt,

    es könnte durch den On-Demand Scan ausgelöst werden, der Fehler tritt jedoch beim On-Access Scan auf, wie es auch in der Message steht.
    Das tritt normalerweise (aber normal ist es nicht) bei Ressourcenknappheit auf (hier der entsprechende Artikel). Wie gesagt, normal ist das nicht. Wir haben einige Tausend Endpoints, nicht wenige mehrere Jahre alt, und mehr als eine Handvoll dieser Fehler pro Woche habe ich nie gesehen.

    Christian

  • Hallo Christian,

     

    Systeme haben:

    8GB Ram

    SSD Festplatten

     

    normale Office Rechner.

    Auslagerungsdatei wird vom System verwaltet--> kann ich aber auch noch Testen wenn ich feste Werte eingebe.

    also sollte es an den Systemen wegen zu wenig Ressourcen nicht liegen!?

    hm....

  • Hallo Mario Seibt,

    sollte eigentlich reichen. Ohne Grund tritt das aber nicht auf, schon gar nicht gehäuft. Tritt das auch ohne einen angeforderten Scan auf?

    Christian

  • Hallo Christian,

    das Problem triitt aktuell nur bei "Vollständiger Systemüberprüfung" udn bei "geplante Scans" auf.

     

    unter W10 mit angepasster Auslagerungsdatei 8129MB --> reboot --> Vollständiger Systemüberprüfung

    Ergebnis:

     Sophos Anti-Virus-Status Zeitstempel Code Beschreibung
    14.11.2018 15:34:22 e03d000f Der On-Access-Treiber konnte kein Identitätstoken für die Datei \Device\HarddiskVolume2\WINDOWS\System32\shell32.dll erstellen.

     

    hm...

  • Hallo Mario Seibt,

    ich werde nachdenken müssen, bin ja nicht Sophos. Ich melde mich morgen wieder.

    Christian

  • Hallo Mario Seibt,

    wie viele solche Meldungen gibt es bei einer Systemüberprüfung? Sind die mehr oder weniger gleichmäßig verteilt über die Laufzeit oder gehäuft zu einem bestimmten Zeitpunkt? Wenn ich es richtig verstehe, sind die Fehler reproduzierbar - d.h. es treten bei jedem Scan Fehler auf, die Dateien sind nicht notwendigerweise die selben.

    Ich würde einen benannten Scan erstellen (ScansNeuen Scan einrichten, Computer auswählen). Wäre interessant, ob der Fehler auch im Log dieses Scans vermerkt ist. Wäre vielleicht sinnvoll, wenn möglich während des Scans das On-Access Debug Logging aufzudrehen. Das könnte einen zusätzliche Hinweis geben, was passiert.

    Davon abgesehen - ist im Windows Event Log neben den On-Access Treiber Einträgen etwas Auffälliges?

    Christian

Reply
  • Hallo Mario Seibt,

    wie viele solche Meldungen gibt es bei einer Systemüberprüfung? Sind die mehr oder weniger gleichmäßig verteilt über die Laufzeit oder gehäuft zu einem bestimmten Zeitpunkt? Wenn ich es richtig verstehe, sind die Fehler reproduzierbar - d.h. es treten bei jedem Scan Fehler auf, die Dateien sind nicht notwendigerweise die selben.

    Ich würde einen benannten Scan erstellen (ScansNeuen Scan einrichten, Computer auswählen). Wäre interessant, ob der Fehler auch im Log dieses Scans vermerkt ist. Wäre vielleicht sinnvoll, wenn möglich während des Scans das On-Access Debug Logging aufzudrehen. Das könnte einen zusätzliche Hinweis geben, was passiert.

    Davon abgesehen - ist im Windows Event Log neben den On-Access Treiber Einträgen etwas Auffälliges?

    Christian

Children
  • Hi,

     

    ich habe jetzt noch x Einstellungen geändert und heute waren alle Scans in Ordnung.

     

    jetzt muss ich nur noch den Fehler reproduzieren :-)

     

    Ich teste weiter... dauert aber eine Weile melde mich dann später zurück

     

    Danke für deine Hilfe.

     

    Grüße

  • Hallo,

     

    so hier die Rückmeldung ( kam eine Woche nicht dazu )

     

    das Problem besteht nach wie vor auf allen Rechnern.

    das Problem trifft auch auf, wenn der Rechner hochgefahren wird.

    nur wenn ich das System32 Verzeichnis aus dem Scan rausnehme ist ruhe. --> sollte aber wohl nicht die Lösung sein?

     

    hier mal die Einstellungen der Fehler.

     

     

     

    Grüße

  • Hallo Hallo Mario Seibt,

    sonderbar, hab ich noch nicht gesehen (aber ich bin ja auch nicht der Sophos Support). Ich habe auch keine Idee, warum es offensichtlich immer die selben Dateien erwischt.

    Sind das alle Meldungen? Für manche Codes schickt der Endpoint nur eine Message innerhalb einer bestimmten Zeitspanne falls sie gehäuft auftreten. Ich glaube zwar nicht, das das hier zutrifft, zur Sicherheit würde ich im lokalen SAV.txt nachsehen.

    Schon im Event Log nachgesehen, ob gleichzeitig auch andere Windows- oder Anwendungs-Meldungen kommen? Oder gar das Debug Logging probiert? Gibt es irgendeine Software, die auf \system32\ aufpasst?

    Christian