5
Viele Fehler in der Ereignisanzeige! Virus ?
Hallo Leute,
ich habe viele Fehler und Warnungen in der Ereignisanzeige unter W2012. Es lohnt nicht die alle auszumerzen, da der Aufwand kleiner ist ein neues System auf zu setzten.
Jedoch würde ich gerne Erfahren wodurch diese ganzen Störungen verursacht werden.
Könnte es ein Virus bzw. andere Schadsoftware sein ?
AVG und Spybot hat nichts negatives gefunden.
Hier mal ein kleiner Auszug von den Meldungen.
Protokollname: Application
Quelle: Microsoft-Windows-User Profiles Service
Datum: 30.12.2015 10:25:43
Ereignis-ID: 1530
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.
Protokollname: Application
Quelle: sshd
Datum: 30.12.2015 10:08:15
Ereignis-ID: 0
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: MEDI-\cyg_server
Computer: Medi-
Beschreibung:
Die Beschreibung für die Ereignis-ID "0" aus der Quelle "sshd" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
sshd: PID 5976: error: Received disconnect from 116.110.127.232: 3: com.jcraft.jsch.JSchException: Auth fail
Protokollname: Microsoft-Windows-TerminalServices-PnPDevices/Admin
Quelle: Microsoft-Windows-TerminalServices-PnPDevices
Datum: 30.12.2015 08:31:44
Ereignis-ID: 36
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Die Umleitung weiterer unterstützter Geräte wurde durch eine Richtlinie deaktiviert.
Protokollname: Microsoft-Windows-PrintService/Admin
Quelle: Microsoft-Windows-PrintService
Datum: 30.12.2015 07:59:53
Ereignis-ID: 372
Aufgabenkategorie:Ein Dokument wird gedruckt
Ebene: Fehler
Schlüsselwörter:Klassisches Spoolerereignis,Dokumentdruckauftrag
Benutzer: MEDI-\i.xxx
Computer: Medi-
Beschreibung:
Das Dokument Dokument drucken im Besitz von i.xxx konnte nicht auf dem Drucker Brother HL-2030 series (umgeleitet 3) gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut.
Datentyp: RAW. Größe der Spooldatei in Bytes: 1061221. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\MEDI-. Vom Druckprozessor zurückgegebener Win32-Fehlercode: 122. Der an einen Systemaufruf übergebene Datenbereich ist zu klein.
Protokollname: Microsoft-Windows-DeviceSetupManager/Admin
Quelle: Microsoft-Windows-DeviceSetupManager
Datum: 30.12.2015 03:07:13
Ereignis-ID: 122
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Der Zugriff auf Treiber auf Windows Update wurde durch eine Richtlinie blockiert.
Gruß
Achim
ich habe viele Fehler und Warnungen in der Ereignisanzeige unter W2012. Es lohnt nicht die alle auszumerzen, da der Aufwand kleiner ist ein neues System auf zu setzten.
Jedoch würde ich gerne Erfahren wodurch diese ganzen Störungen verursacht werden.
Könnte es ein Virus bzw. andere Schadsoftware sein ?
AVG und Spybot hat nichts negatives gefunden.
Hier mal ein kleiner Auszug von den Meldungen.
Protokollname: Application
Quelle: Microsoft-Windows-User Profiles Service
Datum: 30.12.2015 10:25:43
Ereignis-ID: 1530
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß.
Protokollname: Application
Quelle: sshd
Datum: 30.12.2015 10:08:15
Ereignis-ID: 0
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: MEDI-\cyg_server
Computer: Medi-
Beschreibung:
Die Beschreibung für die Ereignis-ID "0" aus der Quelle "sshd" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
sshd: PID 5976: error: Received disconnect from 116.110.127.232: 3: com.jcraft.jsch.JSchException: Auth fail
Protokollname: Microsoft-Windows-TerminalServices-PnPDevices/Admin
Quelle: Microsoft-Windows-TerminalServices-PnPDevices
Datum: 30.12.2015 08:31:44
Ereignis-ID: 36
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Die Umleitung weiterer unterstützter Geräte wurde durch eine Richtlinie deaktiviert.
es sind keine Richtlinien deaktiviert !!! <<<
Protokollname: Microsoft-Windows-PrintService/Admin
Quelle: Microsoft-Windows-PrintService
Datum: 30.12.2015 07:59:53
Ereignis-ID: 372
Aufgabenkategorie:Ein Dokument wird gedruckt
Ebene: Fehler
Schlüsselwörter:Klassisches Spoolerereignis,Dokumentdruckauftrag
Benutzer: MEDI-\i.xxx
Computer: Medi-
Beschreibung:
Das Dokument Dokument drucken im Besitz von i.xxx konnte nicht auf dem Drucker Brother HL-2030 series (umgeleitet 3) gedruckt werden. Versuchen Sie erneut, das Dokument zu drucken, oder starten Sie den Druckspooler erneut.
Datentyp: RAW. Größe der Spooldatei in Bytes: 1061221. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\MEDI-. Vom Druckprozessor zurückgegebener Win32-Fehlercode: 122. Der an einen Systemaufruf übergebene Datenbereich ist zu klein.
Protokollname: Microsoft-Windows-DeviceSetupManager/Admin
Quelle: Microsoft-Windows-DeviceSetupManager
Datum: 30.12.2015 03:07:13
Ereignis-ID: 122
Aufgabenkategorie:Keine
Ebene: Warnung
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Medi-
Beschreibung:
Der Zugriff auf Treiber auf Windows Update wurde durch eine Richtlinie blockiert.
Gruß
Achim
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 291917
Url: https://administrator.de/contentid/291917
Printed on: April 26, 2024 at 14:04 o'clock
5 Comments
Latest comment
Ay,
Mach mal einen Offline-Scan, z.B. mit ct-Desinfect. Vielleicht erfährst du dann mehr.
Mach mal einen Offline-Scan, z.B. mit ct-Desinfect. Vielleicht erfährst du dann mehr.
Also der Fehler mit dem Drucker-Spool könnte normal sein, wenn du den Server als Printserver verwendest.
Bei dem Error mit sshd kommts mir vor als würde jemand versuchen sich zu verbinden und hat keine Recht bzw. das Passwort dazu.
Was mit der Richtline nicht passt kann ich dir ohne mehr Infos nicht sagen aber ich denke mal das der Server entweder schlecht installiert wurde oder evtl. einem Angriff zum opfer gefallen sein könnte.
Bei dem Error mit sshd kommts mir vor als würde jemand versuchen sich zu verbinden und hat keine Recht bzw. das Passwort dazu.
Was mit der Richtline nicht passt kann ich dir ohne mehr Infos nicht sagen aber ich denke mal das der Server entweder schlecht installiert wurde oder evtl. einem Angriff zum opfer gefallen sein könnte.
Der versuchte SSH-Zugriff kam laut IP-Adresse jedenfalls aus Hanoi/Vietnam. Wobei ich mir aber die Frage stelle was deine Firewall so alles von extern auf deinen Server durch lässt...
Zitat von @manuel-r:
Der versuchte SSH-Zugriff kam laut IP-Adresse jedenfalls aus Hanoi/Vietnam. Wobei ich mir aber die Frage stelle was deine Firewall so alles von extern auf deinen Server durch lässt...
Der versuchte SSH-Zugriff kam laut IP-Adresse jedenfalls aus Hanoi/Vietnam. Wobei ich mir aber die Frage stelle was deine Firewall so alles von extern auf deinen Server durch lässt...
Meine Kristallkugel sagt: "Da ist gar keine Firewall!" Vermutlich ist das ein gemieteter Server, der mit dem nackten Arsch im Internet steht.
lks
Hallo,
Nein. Das was in deinen Logs steht ist normal wenn du deinen Server so eingerichtet haben willst.
Virus oder ähnliches - ich kann aus den paar Sachen es nicht erkennen.
Gruß,
Peter
Nein. Das was in deinen Logs steht ist normal wenn du deinen Server so eingerichtet haben willst.
Quelle: sshd
sshd: PID 5976: error: Received disconnect from 116.110.127.232: 3: com.jcraft.jsch.JSchException: Auth fail
Soll der Server direkt per SSH erreicht werden dürfen/können?sshd: PID 5976: error: Received disconnect from 116.110.127.232: 3: com.jcraft.jsch.JSchException: Auth fail
Quelle: Microsoft-Windows-TerminalServices-PnPDevices
Die Umleitung weiterer unterstützter Geräte wurde durch eine Richtlinie deaktiviert.
Schau dir an was da entweder gar nicht oder durch das System schon existiert.Die Umleitung weiterer unterstützter Geräte wurde durch eine Richtlinie deaktiviert.
Quelle: Microsoft-Windows-DeviceSetupManager
Der Zugriff auf Treiber auf Windows Update wurde durch eine Richtlinie blockiert.
Und, gibt es diese Richtlinie auch nicht?Der Zugriff auf Treiber auf Windows Update wurde durch eine Richtlinie blockiert.
Virus oder ähnliches - ich kann aus den paar Sachen es nicht erkennen.
Gruß,
Peter