Ereignisanzeige eindeutig zu voll

Dieses Thema im Forum "Windows NT / 95 / 98 / 2000 / ME" wurde erstellt von ankeforever, 15. Januar 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ankeforever

    ankeforever Viertel Gigabyte

    Registriert seit:
    25. Juli 2004
    Beiträge:
    2.958
    Nabend Leute,

    ich stelle grade fest, dass die Ereignisanzeige auf dem PC hier förmlich überläuft! Was kann man denn da machen, ich erklär mal eben wie es da aussieht:
    Anwendungsprotokoll
    Die Informationen lasse ich mal weg, wichtiger sind mir die Warnungen und Fehler! Ich schreib einfach mal alles hin und fange vorne an! ;)

    Fehler 1:
    Quelle: perflib
    Ereignis-ID: 1015
    Beschreibung: "Das Zeitlimit für die Zusammenstellung der Leistungsdaten "RemoteAccess" in der Bibliothek "C:\WINNT\System32\rasctrs.dll" ist abgelaufen. Möglicherweise ist mit dem erweiterbaren Leistungsindikator oder dem Dienst, mit dem die Daten zusammengestellt werden, ein Problem aufgetreten."
    Häufigkeit: unregelmäßig ca. alle 2-7 Tage

    Fehler 2:
    Quelle: Microsoft Windows Media Player
    Ereignis-ID: 1000
    Beschreibung: "Die Beschreibung der Ereigniskennung (1000) in (Microsoft Windows Media Player) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Ereignisinformationen: wmplayer.exe; 9.0.0.2980; lmpgspl.ax; 4.0.0.77; 00003b18." <- Ist das jetzt gut oder schlecht!? :rolleyes:
    Häufigkeit: 3 mal an einem einzigen Tag, seitdem nichtmehr, scheint eine Ausnahme gewesen zu sein...

    Warnung 1:
    Quelle: winmgmt
    Ereignis-ID: 61
    Beschreibung: "WMI-ADAP konnte die Leistungsbibliothek "PerfDisk" aufgrund einer Zeitüberschreitung in Funktion "open" nicht verarbeiten."
    Häufigkeit: Permanent, oft mehrmals am Tag

    Soweit mal das Anwendungsprotokoll... Das Sicherheitsprotokoll ist übrigens leer! ;)

    Systemprotokoll:
    Ein Fehler, der fast das komplette Protokoll füllt (sicher einige hundert Einträge seit Oktober):
    Quelle: DCOM
    Ereignis-ID: 10003
    Beschreibung: "Zugriff verweigert beim Versuch, einen DCOM-Server unter Verwendung von DefaultLaunchPermssion zu starten. Server:
    {00020906-0000-0000-C000-000000000046}
    Benutzer: Unavailable/Unavailable, SID=Unavailable."
    Häufigkeit: Mehrmals am Tag

    Und zum Schluss noch eine Warnung, die erst seit zwei Tagen auftritt, dafür gleich 10 mal :rolleyes:
    Quelle: Disk
    Ereignis-ID: 34
    Beschreibung: "Der Treiber hat den Schreibcache auf dem Gerät \Device\Harddisk2\DR8 deaktiviert."

    Fertig, das wars! Ist das nicht zu viel? Also wenn sich jemand aufraffen würde, mir zu erklären wo das alles herkommt, das wäre super! Auch zu einem von den Fehlern, wenn ihr entweder zu faul seid alles zu lesen (was ich verstehe :D) oder euch zum Rest nix einfällt, kein Problem! :)
    Nun gut, danke fürs lesen und danke für jede Hilfe!
    Gruß...
     
  2. Scasi

    Scasi Ganzes Gigabyte

    Registriert seit:
    1. August 2004
    Beiträge:
    19.432
  3. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Hallo,

    bei der Ereignis-ID 10003 solltest du in Erfahrung bringen welche Software oder auch Schädling (Trojaner, Würmer usw.) versucht einen DCOM-Server zu starten.

    Gelingt dir das nicht einen Zusammenhang herzustellen kannst du auch versuchsweise DCOM deaktivieren und schauen wie die Maschine reagiert (ob die Funktionalität beeinträchtigt wird). Gehe wie folgt vor:

    Der folgende Registrierungswert wird zum Aktivieren bzw. Deaktivieren von DCOM auf allen Betriebssystemen verwendet:

    HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM
    Wenn Sie diesen Wert in N ändern, wird DCOM nach dem Neustarten des Betriebssystems deaktiviert.

    http://support.microsoft.com/default.aspx?scid=kb;de;825750

    Kritisch sehe ich die Meldung:

    Quelle: Disk
    Ereignis-ID: 34
    Beschreibung: "Der Treiber hat den Schreibcache auf dem Gerät \Device\Harddisk2\DR8 deaktiviert."

    Was ist das für eine Festplatte und was hast du vor zwei Tagen an dem System geändert... ???.

    Grüße
    UKW
     
  4. ankeforever

    ankeforever Viertel Gigabyte

    Registriert seit:
    25. Juli 2004
    Beiträge:
    2.958
    Hallo nochmal,

    Was könnte das sein, das versucht einen DCOM Server zu starten, also so grob richtungsmäßig meine ich! Ich halte mich nämlich für Viren- und Müllfrei... zumindest AVK, Ad-aware, Spybot und Brain 2.0 sehen das so, da mag ich mich nicht widersetzen! ;) Wenns hilft kann ich aber mal ein Hijack This log machen... das sticky im Viren-Board hab ich schon gelesen! :)
    Also vielleicht deaktiviere ich DCOM einfach mal, hoffe da passiert nix ernsthaftes!
    Und das mit der Festplatte... das ist eine externe USB-Platte! Was ich verändert hab könnte ich nicht sagen, nur dass ich die Platte weg hatte und kurz an meinem anderen Rechner gebraucht habe! Danach hab ich sie wieder an den selben USB-Port gehängt wie immer! Könnte es damit was zu tun haben? Dass sich da ein Schädling eingenistet hat, wo sie am anderen PC war, kann eigentlich fast nicht sein, der hängt nicht am I-Net und kriegt auch sonst nix "von aussen", bis auf diese USB-Platte eben! Das ist ein reiner mp3-Player, sozusagen zwangsläufig virenfrei ;)
     
  5. UKW

    UKW Megabyte

    Registriert seit:
    27. August 2003
    Beiträge:
    1.438
    Hallo,

    die ID 10003 (DCOM) ist ein komplexes Thema, es sind detaillierte Untersuchungen und Tests notwendig um die Ursache zu finden.

    Zuerst solltest du schauen ob die "mdm.exe" (Machine Debug Manager) auf deinem System vorhanden ist. Bei einem gepatchten Win2K System mit Update gegen Sasser/Blaster (DCOM / RPC Patch) sofern keine Firewall auf deinem System läuft und du nicht hinter einem Router hängst (Port 135 blocken), sind diese Meldungen typisch für eine
    durch das MS Update geblockte Sasser/Blaster Attacke. Kontrolliere ob es einen Zusammenhang gibt zwischen Internetverbindung und den Einträgen im Ereignisprotokoll.

    Bei Protecus.de (Security Forum) kannst du dich in die Materie einlesen unter:
    http://board.protecus.de/showtopic.php?threadid=12561

    Grüße
    UKW
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen