CAPI2 Ereignis-ID 11

Mylin · Nov 29, 2009

Hallo Forum,

in der Ereignisanzeige taucht folgender Fehler regelmäßig auf.

Code:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" EventSourceName="Microsoft-Windows-CAPI2" /> 
  <EventID Qualifiers="49154">11</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2009-11-29T11:07:06.000Z" /> 
  <EventRecordID>48594</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="0" ThreadID="0" /> 
  <Channel>Application</Channel> 
  <Computer>Mylin-PC</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data>http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab</Data> 
  <Data>Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.</Data> 
  </EventData>
  </Event>

Nach Aktivierung des CAPI2- Protokoll stellte sich heraus, dass der Übeltäter der Scheduler von Antivir ist.

Code:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" /> 
  <EventID>82</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>82</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000400</Keywords> 
  <TimeCreated SystemTime="2009-11-29T11:07:06.910Z" /> 
  <EventRecordID>598406</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="1696" ThreadID="1772" /> 
  <Channel>Microsoft-Windows-CAPI2/Operational</Channel> 
  <Computer>Mario-PC</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <UserData>
- <CryptCATAdminEnumCatalogFromHash>
  <CATQueryInfo hash="AD906890D5E84969105849E73A60B3C88DB8D62D" targetFilePath="\Program Files\Avira\AntiVir Desktop\avwsc.exe" /> 
- <AdditionalInfo>
  <Action name="Call_CryptSvcCatDBEnumCatalogs_NotFound" parameter1="{127D0A1D-4EF2-11D1-8608-00C04FC295EE}" /> 
  <Action name="Call_CryptSvcCatDBEnumCatalogs_NotFound" parameter1="{F750E6C3-38EE-11D1-85E5-00C04FC295EE}" /> 
  </AdditionalInfo>
  <EventAuxInfo ProcessName="sched.exe" /> 
  <CorrelationAuxInfo TaskId="{463B7A4E-90D4-4E1D-B4EE-FB28236D0871}" SeqNumber="1" /> 
  <Result value="490">Element nicht gefunden.</Result> 
  </CryptCATAdminEnumCatalogFromHash>
  </UserData>
  </Event>

Code:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" /> 
  <EventID>11</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>11</Task> 
  <Opcode>2</Opcode> 
  <Keywords>0x8000000000000003</Keywords> 
  <TimeCreated SystemTime="2009-11-29T11:07:06.957Z" /> 
  <EventRecordID>598414</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="1696" ThreadID="1772" /> 
  <Channel>Microsoft-Windows-CAPI2/Operational</Channel> 
  <Computer>Mario-PC</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <UserData>
- <CertGetCertificateChain>
  <Certificate fileRef="28B350FA24D3296AF3B7377A1F6F60FA9579E788.cer" subjectName="Microsoft Certificate Trust List Publisher" /> 
- <AdditionalStore>
  <Certificate fileRef="28B350FA24D3296AF3B7377A1F6F60FA9579E788.cer" subjectName="Microsoft Certificate Trust List Publisher" /> 
  <Certificate fileRef="E87E7804D3749674DADDF0DB4311E022B70DFBC2.cer" subjectName="Microsoft Certificate Trust List PCA" /> 
  <Certificate fileRef="3EA99A60058275E0ED83B892A909449F8C33B245.cer" subjectName="Microsoft Timestamping PCA" /> 
  <Certificate fileRef="A1DC024FC8B2A76745D4661F663B8741C3D35313.cer" subjectName="Microsoft Timestamping Service" /> 
  <Certificate fileRef="A1DC024FC8B2A76745D4661F663B8741C3D35313.cer" subjectName="Microsoft Timestamping Service" /> 
  <Certificate fileRef="A43489159A520F0D93D032CCAF37E7FE20A8B419.cer" subjectName="Microsoft Root Authority" /> 
  <Certificate fileRef="A43489159A520F0D93D032CCAF37E7FE20A8B419.cer" subjectName="Microsoft Root Authority" /> 
  </AdditionalStore>
- <ExtendedKeyUsage>
  <Usage oid="1.3.6.1.4.1.311.10.3.9" name="Stammlistensignaturgeber" /> 
  </ExtendedKeyUsage>
  <Flags value="100" CERT_CHAIN_DISABLE_AUTH_ROOT_AUTO_UPDATE="true" /> 
  <ChainEngineInfo context="user" /> 
- <CertificateChain chainRef="{713EA977-76E9-47F7-8080-FA59410BD555}">
- <TrustStatus>
  <ErrorStatus value="1" CERT_TRUST_IS_NOT_TIME_VALID="true" /> 
  <InfoStatus value="100" CERT_TRUST_HAS_PREFERRED_ISSUER="true" /> 
  </TrustStatus>
- <ChainElement>
  <Certificate fileRef="28B350FA24D3296AF3B7377A1F6F60FA9579E788.cer" subjectName="Microsoft Certificate Trust List Publisher" /> 
- <TrustStatus>
  <ErrorStatus value="1" CERT_TRUST_IS_NOT_TIME_VALID="true" /> 
  <InfoStatus value="102" CERT_TRUST_HAS_KEY_MATCH_ISSUER="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" /> 
  </TrustStatus>
- <ApplicationUsage>
  <Usage oid="1.3.6.1.4.1.311.10.3.9" name="Stammlistensignaturgeber" /> 
  </ApplicationUsage>
  <IssuanceUsage /> 
  </ChainElement>
- <ChainElement>
  <Certificate fileRef="E87E7804D3749674DADDF0DB4311E022B70DFBC2.cer" subjectName="Microsoft Certificate Trust List PCA" /> 
- <TrustStatus>
  <ErrorStatus value="0" /> 
  <InfoStatus value="101" CERT_TRUST_HAS_EXACT_MATCH_ISSUER="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" /> 
  </TrustStatus>
- <ApplicationUsage>
  <Usage oid="1.3.6.1.4.1.311.10.3.9" name="Stammlistensignaturgeber" /> 
  <Usage oid="1.3.6.1.4.1.311.10.3.1" name="Microsoft-Vertrauenslistensignatur" /> 
  </ApplicationUsage>
  <IssuanceUsage /> 
  </ChainElement>
- <ChainElement>
  <Certificate fileRef="A43489159A520F0D93D032CCAF37E7FE20A8B419.cer" subjectName="Microsoft Root Authority" /> 
- <TrustStatus>
  <ErrorStatus value="0" /> 
  <InfoStatus value="109" CERT_TRUST_HAS_EXACT_MATCH_ISSUER="true" CERT_TRUST_IS_SELF_SIGNED="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" /> 
  </TrustStatus>
  <ApplicationUsage any="true" /> 
  <IssuanceUsage any="true" /> 
  </ChainElement>
  </CertificateChain>
  <EventAuxInfo ProcessName="sched.exe" /> 
  <CorrelationAuxInfo TaskId="{3E4A7DE9-DFF4-4A71-80AD-4A6307DC67DA}" SeqNumber="8" /> 
  <Result value="800B0101">Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.</Result> 
  </CertGetCertificateChain>
  </UserData>
  </Event>

Code:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" /> 
  <EventID>30</EventID> 
  <Version>0</Version> 
  <Level>2</Level> 
  <Task>30</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000001</Keywords> 
  <TimeCreated SystemTime="2009-11-29T11:07:06.957Z" /> 
  <EventRecordID>598415</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="1696" ThreadID="1772" /> 
  <Channel>Microsoft-Windows-CAPI2/Operational</Channel> 
  <Computer>Mario-PC</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
- <UserData>
- <CertVerifyCertificateChainPolicy>
  <Policy type="CERT_CHAIN_POLICY_BASE" constant="1" /> 
  <Certificate fileRef="28B350FA24D3296AF3B7377A1F6F60FA9579E788.cer" subjectName="Microsoft Certificate Trust List Publisher" /> 
  <CertificateChain chainRef="{713EA977-76E9-47F7-8080-FA59410BD555}" /> 
  <Flags value="14" CERT_CHAIN_POLICY_IGNORE_NOT_TIME_NESTED_FLAG="true" CERT_CHAIN_POLICY_ALLOW_UNKNOWN_CA_FLAG="true" /> 
  <Status chainIndex="0" elementIndex="0" /> 
  <EventAuxInfo ProcessName="sched.exe" /> 
  <CorrelationAuxInfo TaskId="{3E4A7DE9-DFF4-4A71-80AD-4A6307DC67DA}" SeqNumber="9" /> 
  <Result value="800B0101">Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.</Result> 
  </CertVerifyCertificateChainPolicy>
  </UserData>
  </Event>

Verwunderlich ist, dass in den Protokollen 2009-11-29T11:07:06.957Z steht und in der Ereignisanzeige 12:07:06.
Warum ist im Protokoll die Rede von Zulu-Zeit als Systemzeit?
Ist das der Auslöser für den Fehler?

Mylin

deoroller · Nov 30, 2009

Wird ein Zeitserver zur Synchronisation der Urzeit genutzt und welcher?
Ich würde es begrüßen, wenn du das jeweilige Ereignis einfach in die Zwischenablage kopierst und ins Forum einfügst. Der XML-Code erschwert mir das Lesen ungemein, auch wenn er "hoch technisch" aussieht und du das gewohnt bist. Mich schreckt das ab. Andere vielleicht auch.

Mylin · Nov 30, 2009

Über time.windows.com wird synchronisiert.

Mylin · Nov 30, 2009

Desweiteren ergab sich, dass die Zertifikatsvertrauensliste "Microsoft Certificate Trust List Publisher" ungültig ist, bzw. das Zertifikat, das diese Liste signiert hat.

Das Zertifikat der Signatur wäre für diesen Zweck nicht gültig.

Mylin · Apr 18, 2010

Mit Update von Antivir, auf die aktuelle Version (10), wurde der Fehler behoben. Er wurde also nicht, wie ursprünglich gedacht, von Microsoft verursacht sondern von Antivir.

Log in or Sign up

CAPI2 Ereignis-ID 11

Mylin Viertel Gigabyte

deoroller Wandelndes Forum

Mylin Viertel Gigabyte

Mylin Viertel Gigabyte

Attached Files:

$ungÃ¼ltig.cer.txt

Mylin Viertel Gigabyte

Share This Page