monaco 10 Geschrieben 3. Oktober 2003 Melden Teilen Geschrieben 3. Oktober 2003 Hallo bin neu hier und auf der suche nach einer problemlösung auf einen beitrag bei euch gestossen, der aber schon ein knappes jahr alt ist und mein problem nicht wirklich gelöst hat. also nochmal: irgendein programm oder prozess schreibt eine protokolldatei > \system32\LogFiles\WMI\trace.log, die ins unendliche wächst mit einer geschwindigkeit von mehreren MB/sec, bis die platte voll ist. die WMI ist es nicht, die schreibt brav ihrer logbücher > \system32\WBEM\logs\(sind auch alle auf 64k begrenzt - reicht völlig) bootvis ist es auch nicht, war nie auf dem system installiert. apache schreibt zwar auch eine trace.log, ist aber auch nicht auf dem system. auch das einzelne beenden der prozesse über den taskmanager hat nicht zur isolierung des verursachers geführt (das löschen der logdatei ist nicht möglich, solange das verursachende programm darauf schreibt) norton findet keinen virus und adaware auch keinen trojaner wer kennt das problem oder hat einen lösungsvorschlag? thx im vorraus, monaco Zitieren Link zu diesem Kommentar
auer 10 Geschrieben 3. Oktober 2003 Melden Teilen Geschrieben 3. Oktober 2003 Ich sehe bloß die Möglichkeit, mit einem Tool wie FileMon, das einem alle Schreibzugriffe überwacht (gibt's bei http://www.sysinternals.com) herauszufinden, welcher Prozeß da so arbeitet. Oder alle möglichen Dienste der Reihe über den Dienstmanager anhalten und sehen, ob die Logs verschwinden. Dann Start im abgesicherten Modus - wird dann immer noch geloggt? Prinzipiell kann jedes Programm solche Aktivitäten starten, irgendeine Exe/Dll muß ja dafür verantwortlich sein. Falls im abgesicherten Modus die Aktivität verschwindet: Die Datei mal löschen, bsp. einen Unterordner trace.log anlegen, so daß keine Datei mehr erzeugt werden kann und wieder normal starten - dann müßte das Programm ja crashen. Oder es fängt mit einer anderen Datei an -> Rechner rasch herunterfahren und sich die noch kleine Datei ansehen. [Ergänzung] Im TaskMgr kann man sich diverse zusätzliche Spalten einblenden lassen - etwa E/A, da müßte eigentlich ein Prozeß sichtbar sein. ------------- Gruß, Auer Zitieren Link zu diesem Kommentar
monaco 10 Geschrieben 4. Oktober 2003 Autor Melden Teilen Geschrieben 4. Oktober 2003 Hallo Auer erst mal vielen Dank für die schnelle antwort. das tool kannte ich noch nicht, ist klasse. das beenden der einzelnen dienste hat leider keinen erfolg gebracht (auch vorher schon probiert). liegt wohl daran, dass die services von svcHost ständig automatisch gestartet werden. allerdings konnte ich eine überdurchschnittliche aktivität des aufrufs von rpcss über svcHost mit hilfe des tools feststellen. auf der microsoft knowledge base ist unter http://support.microsoft.com/default.aspx?scid=kb;DE;823980 eine sicherheitslücke des RemoteProcedurCall beschrieben, die den datenaustausch über TCP/IP betrifft. welche ports bei mir eventuell betroffen sind, konnte ich noch nicht herausfinden. einen bekannten wurmvirus konnte ich bis jetzt auch nicht scannen. manchmal ist eine neuinstallation wohl die schnellere lösung (wenn auch nicht besonders elegant) die verzeichnisstruktur wird übrigens nach löschen immer wieder neu angelegt! grüsse und vielen dank monaco ps: der trick mit dem verzeichnis gleichen namens funktioniert. es wird dort keine neue logdatei angelegt! nur welche dll probleme macht weiß ich immer noch nicht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.