Win7 HP: Kernel-Event-Tracing Ereignis-ID 3

Richard Fonfara

unread,

Oct 20, 2013, 11:31:11 AM10/20/13

to

Hallo,

seit ein paar Tagen fällt mir die im Betreff genannte Meldung in der
Ereignisanzeige auf. Lt. www.eventid.net soll man in C:/program
data/microsoft/microsoft security essentials/support/ eine Datei namens
MSSEOOBE.etl finden und löschen und Ruhe wär'. Aber der Pfad lautet bei
mir .../microsoft security client/... und diese Datei findet sich auf
der ganzen Partition nicht (mit Agent Ransack gesucht).

Wie bringe ich diese Meldung zum Verschwinden? MSSE sollte um 17 Uhr
laufen; ich habe aber nichts davon gemerkt.

--
Freundliche Grüße

Richard Fonfara

Pegasus

unread,

Oct 20, 2013, 12:45:57 PM10/20/13

to

Richard Fonfara:

> und diese Datei findet sich auf
> der ganzen Partition nicht (mit Agent Ransack gesucht).

Auf der "ganzen Partition" gibt es viele Orte, die nur mit Adminrechten
oder gar nur mit Systemrechten einsehbar sind. Überall dort wird Ransack
also außen vor sein, sofern man ihm nicht Adminrechte oder Systemrechte
gibt.

Herrand Petrowitsch

unread,

Oct 20, 2013, 1:28:17 PM10/20/13

to

"Richard Fonfara" schrieb

> [...]

> MSSE sollte um 17 Uhr
> laufen; ich habe aber nichts davon gemerkt.

Wann ist MSSE aus jetziger Sicht zuletzt "gelaufen" (wie auch immer)?

Nur auf Verdacht:
Kontrolliere die Uhrzeit deines Windows gegen die Rechnerzeit im BIOS.
Bestehen da Unterschiede?

Aus dem Header deines Postings:
| Date: Sun, 20 Oct 2013 17:31:11 +0200
| Injection-Date: Sun, 20 Oct 2013 15:31:11 +0000 (UTC)

Möglicherweise besteht da ein Zusammenhang.

--
Gruß Herrand

Richard Fonfara

unread,

Oct 20, 2013, 3:57:28 PM10/20/13

to

Am 20.10.2013 19:28, schrieb Herrand Petrowitsch:
> "Richard Fonfara" schrieb
>
>> [...]
>> MSSE sollte um 17 Uhr
>> laufen; ich habe aber nichts davon gemerkt.
>
> Wann ist MSSE aus jetziger Sicht zuletzt "gelaufen" (wie auch immer)?

Es sollte heute das erste Mal laufen.

>
> Nur auf Verdacht:
> Kontrolliere die Uhrzeit deines Windows gegen die Rechnerzeit im BIOS.
> Bestehen da Unterschiede?

Nein, Linux, BIOS und Windows benutzen die gleiche Uhrzeit (local time).

>
> Aus dem Header deines Postings:
> | Date: Sun, 20 Oct 2013 17:31:11 +0200
> | Injection-Date: Sun, 20 Oct 2013 15:31:11 +0000 (UTC)
>
> Möglicherweise besteht da ein Zusammenhang.
>

Zu UTC besteht ja in der Tat wegen Sommerzeit 2 Stunden Versatz. Oder
interpretiere ich da jetzt was flachs?

Richard Fonfara

unread,

Oct 20, 2013, 5:04:41 PM10/20/13

to

Am 20.10.2013 18:45, schrieb Pegasus:
> Richard Fonfara:
>
>> und diese Datei findet sich auf
>> der ganzen Partition nicht (mit Agent Ransack gesucht).
>
> Auf der "ganzen Partition" gibt es viele Orte, die nur mit Adminrechten

> oder gar nur mit Systemrechten einsehbar sind. �berall dort wird Ransack
> also au�en vor sein, sofern man ihm nicht Adminrechte oder Systemrechte
> gibt.
>
Auch wenn Agent Ransack mit Adminrechten l�uft, findet er nichts.

--
Freundliche Gr��e

Richard Fonfara

Richard Fonfara

unread,

Oct 22, 2013, 4:10:20 AM10/22/13

to

Am 20.10.2013 19:28, schrieb Herrand Petrowitsch:

> "Richard Fonfara" schrieb
>
>> [...]
>> MSSE sollte um 17 Uhr
>> laufen; ich habe aber nichts davon gemerkt.
>
> Wann ist MSSE aus jetziger Sicht zuletzt "gelaufen" (wie auch immer)?

Mittlerweile habe ich MSSE manuell laufen lassen. Die Meldung kommt aber
immer noch.

Irgendwelche Ideen, wie man die wegkriegt?

Thomas Krenzel

unread,

Oct 22, 2013, 5:27:34 AM10/22/13

to

Am 20.10.2013 23:04, schrieb Richard Fonfara:
> Am 20.10.2013 18:45, schrieb Pegasus:
>> Richard Fonfara:
>>
>>> und diese Datei findet sich auf
>>> der ganzen Partition nicht (mit Agent Ransack gesucht).
>>
>> Auf der "ganzen Partition" gibt es viele Orte, die nur mit Adminrechten

>> oder gar nur mit Systemrechten einsehbar sind. Überall dort wird Ransack

>> also außen vor sein, sofern man ihm nicht Adminrechte oder Systemrechte
>> gibt.
>>
> Auch wenn Agent Ransack mit Adminrechten läuft, findet er nichts.

Hallo,

bei mir ist diese Datei hier zu finden, übrigens mit dem
Windows-Commander als Normal-User in einer Domäne gesucht nach '*.etl':

c:\Users\All Users\Microsoft\Microsoft Security
Essentials\Support\MSSEOOBE.etl

allerdings unter Win764ultimate.

Warum ist das denn so wichtig mit dieser Meldung? Kernel Event
tracing... das muss kein Fehler sein. Diese *.etl sind Logfiles, soweit
ich das gesehen habe.

Thomas Krenzel

unread,

Oct 22, 2013, 5:27:58 AM10/22/13

to

Am 20.10.2013 23:04, schrieb Richard Fonfara:

> Am 20.10.2013 18:45, schrieb Pegasus:
>> Richard Fonfara:
>>
>>> und diese Datei findet sich auf
>>> der ganzen Partition nicht (mit Agent Ransack gesucht).
>>
>> Auf der "ganzen Partition" gibt es viele Orte, die nur mit Adminrechten

>> oder gar nur mit Systemrechten einsehbar sind. Überall dort wird Ransack

>> also außen vor sein, sofern man ihm nicht Adminrechte oder Systemrechte
>> gibt.
>>

> Auch wenn Agent Ransack mit Adminrechten läuft, findet er nichts.

Hallo,

bei mir ist diese Datei hier zu finden, übrigens mit dem
Windows-Commander als Normal-User in einer Domäne gesucht nach '*.etl':

c:\Users\All Users\Microsoft\Microsoft Security
Essentials\Support\MSSEOOBE.etl

allerdings unter Win764ultimate.

Warum ist das denn so wichtig mit dieser Meldung? Kernel Event
tracing... das muss kein Fehler sein. Diese *.etl sind Logfiles, soweit
ich das gesehen habe.

Gruß
T+

Richard Fonfara

unread,

Oct 22, 2013, 5:48:00 AM10/22/13

to

Am 22.10.2013 11:27, schrieb Thomas Krenzel:
> Am 20.10.2013 23:04, schrieb Richard Fonfara:
>> Am 20.10.2013 18:45, schrieb Pegasus:
>>> Richard Fonfara:
>>>
>>>> und diese Datei findet sich auf
>>>> der ganzen Partition nicht (mit Agent Ransack gesucht).
>>>
>>> Auf der "ganzen Partition" gibt es viele Orte, die nur mit Adminrechten
>>> oder gar nur mit Systemrechten einsehbar sind. Überall dort wird Ransack
>>> also außen vor sein, sofern man ihm nicht Adminrechte oder Systemrechte
>>> gibt.
>>>
>> Auch wenn Agent Ransack mit Adminrechten läuft, findet er nichts.
>
> Hallo,
>
> bei mir ist diese Datei hier zu finden, übrigens mit dem
> Windows-Commander als Normal-User in einer Domäne gesucht nach '*.etl':
>
> c:\Users\All Users\Microsoft\Microsoft Security
> Essentials\Support\MSSEOOBE.etl
>
> allerdings unter Win764ultimate.

Offenbar gibt es diesen Pfad nur unter Ultimate, unter HP heißt er wohl
- wie bei mir - ...\Microsoft Security Client\...

>
> Warum ist das denn so wichtig mit dieser Meldung? Kernel Event
> tracing... das muss kein Fehler sein. Diese *.etl sind Logfiles, soweit
> ich das gesehen habe.
>

Nein, ein Fehler ist das nicht, sondern eine Warnung. Aber auch
Warnungen sollte man m. E. nachgehen, sonst sind sie ja sinnlos.

Thomas Krenzel

unread,

Oct 22, 2013, 5:54:46 AM10/22/13

to

Tja, dann geh der mal nach ;)

T+

Pegasus

unread,

Oct 22, 2013, 6:04:45 AM10/22/13

to

Richard Fonfara:

> Mittlerweile habe ich MSSE manuell laufen lassen.

MSE wird doch beim Windows-Start automatisch mitgestartet.

> Die Meldung kommt aber
> immer noch.
> Irgendwelche Ideen, wie man die wegkriegt?

Ich hab hier auch viele Meldungen. Da h�tte ich viel zu tun, die alle
wegzubekommen. Siehe auch:
http://answers.microsoft.com/de-de/protect/forum/mse-protect_start/fehler-id-3-in-der-ereignisanzeige/2a710457-7672-4e9f-97ef-3351153f0fbd

Richard Fonfara

unread,

Oct 22, 2013, 6:33:33 AM10/22/13

to

Am 22.10.2013 12:04, schrieb Pegasus:
> Richard Fonfara:

>
>> Die Meldung kommt aber
>> immer noch.
>> Irgendwelche Ideen, wie man die wegkriegt?
>

> Ich hab hier auch viele Meldungen. Da hätte ich viel zu tun, die alle

> wegzubekommen. Siehe auch:
> http://answers.microsoft.com/de-de/protect/forum/mse-protect_start/fehler-id-3-in-der-ereignisanzeige/2a710457-7672-4e9f-97ef-3351153f0fbd
>

OK, ich war wohl zu pingelig. Danke für die Info.