Ereignisanzeige eindeutig zu voll

Nabend Leute,

ich stelle grade fest, dass die Ereignisanzeige auf dem PC hier förmlich überläuft! Was kann man denn da machen, ich erklär mal eben wie es da aussieht:
Anwendungsprotokoll
Die Informationen lasse ich mal weg, wichtiger sind mir die Warnungen und Fehler! Ich schreib einfach mal alles hin und fange vorne an!

Fehler 1:
Quelle: perflib
Ereignis-ID: 1015
Beschreibung: "Das Zeitlimit für die Zusammenstellung der Leistungsdaten "RemoteAccess" in der Bibliothek "C:\WINNT\System32\rasctrs.dll" ist abgelaufen. Möglicherweise ist mit dem erweiterbaren Leistungsindikator oder dem Dienst, mit dem die Daten zusammengestellt werden, ein Problem aufgetreten."
Häufigkeit: unregelmäßig ca. alle 2-7 Tage

Fehler 2:
Quelle: Microsoft Windows Media Player
Ereignis-ID: 1000
Beschreibung: "Die Beschreibung der Ereigniskennung (1000) in (Microsoft Windows Media Player) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Ereignisinformationen: wmplayer.exe; 9.0.0.2980; lmpgspl.ax; 4.0.0.77; 00003b18." <- Ist das jetzt gut oder schlecht!?
Häufigkeit: 3 mal an einem einzigen Tag, seitdem nichtmehr, scheint eine Ausnahme gewesen zu sein...

Warnung 1:
Quelle: winmgmt
Ereignis-ID: 61
Beschreibung: "WMI-ADAP konnte die Leistungsbibliothek "PerfDisk" aufgrund einer Zeitüberschreitung in Funktion "open" nicht verarbeiten."
Häufigkeit: Permanent, oft mehrmals am Tag

Soweit mal das Anwendungsprotokoll... Das Sicherheitsprotokoll ist übrigens leer!

Systemprotokoll:
Ein Fehler, der fast das komplette Protokoll füllt (sicher einige hundert Einträge seit Oktober):
Quelle: DCOM
Ereignis-ID: 10003
Beschreibung: "Zugriff verweigert beim Versuch, einen DCOM-Server unter Verwendung von DefaultLaunchPermssion zu starten. Server:
{00020906-0000-0000-C000-000000000046}
Benutzer: Unavailable/Unavailable, SID=Unavailable."
Häufigkeit: Mehrmals am Tag

Und zum Schluss noch eine Warnung, die erst seit zwei Tagen auftritt, dafür gleich 10 mal
Quelle: Disk
Ereignis-ID: 34
Beschreibung: "Der Treiber hat den Schreibcache auf dem Gerät \Device\Harddisk2\DR8 deaktiviert."

Fertig, das wars! Ist das nicht zu viel? Also wenn sich jemand aufraffen würde, mir zu erklären wo das alles herkommt, das wäre super! Auch zu einem von den Fehlern, wenn ihr entweder zu faul seid alles zu lesen (was ich verstehe ) oder euch zum Rest nix einfällt, kein Problem!
Nun gut, danke fürs lesen und danke für jede Hilfe!
Gruß...

 

Hi !

der erste ist nicht wirklich wichtig, siehe http://support.microsoft.com/default.aspx?scid=kb;de;226494

P.S. grundsätzlich für solche Einträge:

http://www.eventid.net/display.asp?

 

Hallo,

bei der Ereignis-ID 10003 solltest du in Erfahrung bringen welche Software oder auch Schädling (Trojaner, Würmer usw.) versucht einen DCOM-Server zu starten.

Gelingt dir das nicht einen Zusammenhang herzustellen kannst du auch versuchsweise DCOM deaktivieren und schauen wie die Maschine reagiert (ob die Funktionalität beeinträchtigt wird). Gehe wie folgt vor:

Der folgende Registrierungswert wird zum Aktivieren bzw. Deaktivieren von DCOM auf allen Betriebssystemen verwendet:

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM
Wenn Sie diesen Wert in N ändern, wird DCOM nach dem Neustarten des Betriebssystems deaktiviert.

http://support.microsoft.com/default.aspx?scid=kb;de;825750

Kritisch sehe ich die Meldung:

Quelle: Disk
Ereignis-ID: 34
Beschreibung: "Der Treiber hat den Schreibcache auf dem Gerät \Device\Harddisk2\DR8 deaktiviert."

Was ist das für eine Festplatte und was hast du vor zwei Tagen an dem System geändert... ???.

Grüße
UKW

 

Hallo nochmal,

Was könnte das sein, das versucht einen DCOM Server zu starten, also so grob richtungsmäßig meine ich! Ich halte mich nämlich für Viren- und Müllfrei... zumindest AVK, Ad-aware, Spybot und Brain 2.0 sehen das so, da mag ich mich nicht widersetzen! Wenns hilft kann ich aber mal ein Hijack This log machen... das sticky im Viren-Board hab ich schon gelesen!
Also vielleicht deaktiviere ich DCOM einfach mal, hoffe da passiert nix ernsthaftes!
Und das mit der Festplatte... das ist eine externe USB-Platte! Was ich verändert hab könnte ich nicht sagen, nur dass ich die Platte weg hatte und kurz an meinem anderen Rechner gebraucht habe! Danach hab ich sie wieder an den selben USB-Port gehängt wie immer! Könnte es damit was zu tun haben? Dass sich da ein Schädling eingenistet hat, wo sie am anderen PC war, kann eigentlich fast nicht sein, der hängt nicht am I-Net und kriegt auch sonst nix "von aussen", bis auf diese USB-Platte eben! Das ist ein reiner mp3-Player, sozusagen zwangsläufig virenfrei

 

Hallo,

die ID 10003 (DCOM) ist ein komplexes Thema, es sind detaillierte Untersuchungen und Tests notwendig um die Ursache zu finden.

Zuerst solltest du schauen ob die "mdm.exe" (Machine Debug Manager) auf deinem System vorhanden ist. Bei einem gepatchten Win2K System mit Update gegen Sasser/Blaster (DCOM / RPC Patch) sofern keine Firewall auf deinem System läuft und du nicht hinter einem Router hängst (Port 135 blocken), sind diese Meldungen typisch für eine
durch das MS Update geblockte Sasser/Blaster Attacke. Kontrolliere ob es einen Zusammenhang gibt zwischen Internetverbindung und den Einträgen im Ereignisprotokoll.

Bei Protecus.de (Security Forum) kannst du dich in die Materie einlesen unter:
http://board.protecus.de/showtopic.php?threadid=12561

Grüße
UKW