Hallo Zusammen,
mal eine etwas kuriose Sache:
Habe hier ein Image einer 1909 (18363.900) Installation welche ich auf dasselbe Gerät wiederherstelle.
Genauer gesagt nur die Windows Partition, die UEFI Partitionen (100MB System, 16MB MSR, Recovery) habe ich belassen - stammen von einer 2004 Installation.
Sobald das Gerät online geht, dauert es nur wenige Minuten bis die acpi.sys gelöscht wird, woraufhin das System dann natürlich nicht mehr bootet.
Weiters lässt sich (vorher) z.B. auch die mmc nicht mehr öffnen (Meldung: "Diese App wurde aus Sicherheitsgründen blockiert").
Umgekehrt (C: vom 2004, der Rest vom 1909 Image) kommt es nicht zu diesem Verhalten.
Klingt natürlich nach einer fiesen Schadsoftware oder gar Fremdzugriff, aber lt. Sysinternals Process Monitor wird die acpi.sys von wuauserv also von Windows Update gelöscht.
Was noch nichts heißt, schließlich könnte der Dienst auch zweckentfremdet werden, aber das System ist scheinbar sauber.
Das Windows Ereignisprotokoll ist zum Zeitpunkt der Löschung unauffällig.
Habe schon einiges versucht, Treiberupdates über WU und im Gerätemanager deaktiviert, uvm. - alles ohne Erfolg.
Was hilft ist natürlich den Dienst wuauserv zu deaktivieren, ist aber natürlich auch keine Lösung.
Strange Sache... mal abgesehen davon, dass gerade bei einem Versionsschritt es sowieso sinnvoll ist die komplette Platte wiederherzustellen,
(also auch die UEFI Partitionen vom Image der 1909 zu übernehmen), frage ich mich schon was der eigentliche Grund für dieses Verhalten ist.
Hat jemand schon mal zufälligerweise ähnliches erlebt oder eine Erklärung dafür?
Danke und Grüße,
Martin
mal eine etwas kuriose Sache:
Habe hier ein Image einer 1909 (18363.900) Installation welche ich auf dasselbe Gerät wiederherstelle.
Genauer gesagt nur die Windows Partition, die UEFI Partitionen (100MB System, 16MB MSR, Recovery) habe ich belassen - stammen von einer 2004 Installation.
Sobald das Gerät online geht, dauert es nur wenige Minuten bis die acpi.sys gelöscht wird, woraufhin das System dann natürlich nicht mehr bootet.
Weiters lässt sich (vorher) z.B. auch die mmc nicht mehr öffnen (Meldung: "Diese App wurde aus Sicherheitsgründen blockiert").
Umgekehrt (C: vom 2004, der Rest vom 1909 Image) kommt es nicht zu diesem Verhalten.
Klingt natürlich nach einer fiesen Schadsoftware oder gar Fremdzugriff, aber lt. Sysinternals Process Monitor wird die acpi.sys von wuauserv also von Windows Update gelöscht.
Was noch nichts heißt, schließlich könnte der Dienst auch zweckentfremdet werden, aber das System ist scheinbar sauber.
Das Windows Ereignisprotokoll ist zum Zeitpunkt der Löschung unauffällig.
Habe schon einiges versucht, Treiberupdates über WU und im Gerätemanager deaktiviert, uvm. - alles ohne Erfolg.
Was hilft ist natürlich den Dienst wuauserv zu deaktivieren, ist aber natürlich auch keine Lösung.
Strange Sache... mal abgesehen davon, dass gerade bei einem Versionsschritt es sowieso sinnvoll ist die komplette Platte wiederherzustellen,
(also auch die UEFI Partitionen vom Image der 1909 zu übernehmen), frage ich mich schon was der eigentliche Grund für dieses Verhalten ist.
Hat jemand schon mal zufälligerweise ähnliches erlebt oder eine Erklärung dafür?
Danke und Grüße,
Martin
