Ok, i just did that.
but it just happend again. Do you have some more advices?
Would be great!
Code:
Protokollname: System
Quelle: Microsoft-Windows-Kernel-Power
Datum: 26.02.2012 21:01:01
Ereignis-ID: 41
Aufgabenkategorie:(63)
Ebene: Kritisch
Schlüsselwörter:(2)
Benutzer: SYSTEM
Computer: Andre-PC
Beschreibung:
Das System wurde neu gestartet, ohne dass es zuvor ordnungsgemäß heruntergefahren wurde. Dieser Fehler kann auftreten, wenn das System nicht mehr reagiert hat oder abgestürzt ist oder die Stromzufuhr unerwartet unterbrochen wurde.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331C3B3A-2005-44C2-AC5E-77220C37D6B4}" />
<EventID>41</EventID>
<Version>2</Version>
<Level>1</Level>
<Task>63</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000002</Keywords>
<TimeCreated SystemTime="2012-02-26T20:01:01.340803300Z" />
<EventRecordID>41055</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="8" />
<Channel>System</Channel>
<Computer>Andre-PC</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="BugcheckCode">0</Data>
<Data Name="BugcheckParameter1">0x0</Data>
<Data Name="BugcheckParameter2">0x0</Data>
<Data Name="BugcheckParameter3">0x0</Data>
<Data Name="BugcheckParameter4">0x0</Data>
<Data Name="SleepInProgress">false</Data>
<Data Name="PowerButtonTimestamp">0</Data>
</EventData>
</Event>
i also found some new things there:
Code:
Protokollname: System
Quelle: Microsoft-Windows-DistributedCOM
Datum: 26.02.2012 21:02:06
Ereignis-ID: 10016
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: Andre-PC
Beschreibung:
Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-18) für Benutzer NT-AUTORITÄT\SYSTEM von Adresse LocalHost (unter Verwendung von LRPC) keine Berechtigung zum Start (Lokal) für die COM-Serveranwendung mit CLSID
{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}
und APPID
{344ED43D-D086-4961-86A6-1106F4ACAD9B}
gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" />
<EventID Qualifiers="49152">10016</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-02-26T20:02:06.000000000Z" />
<EventRecordID>41134</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>System</Channel>
<Computer>Andre-PC</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="param1">Anwendungsspezifisch</Data>
<Data Name="param2">Lokal</Data>
<Data Name="param3">Start</Data>
<Data Name="param4">{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}</Data>
<Data Name="param5">{344ED43D-D086-4961-86A6-1106F4ACAD9B}</Data>
<Data Name="param6">NT-AUTORITÄT</Data>
<Data Name="param7">SYSTEM</Data>
<Data Name="param8">S-1-5-18</Data>
<Data Name="param9">LocalHost (unter Verwendung von LRPC)</Data>
</EventData>
</Event>
Code:
Protokollname: Microsoft-Windows-Kernel-EventTracing/Admin
Quelle: Microsoft-Windows-Kernel-EventTracing
Datum: 26.02.2012 21:02:36
Ereignis-ID: 4
Aufgabenkategorie:Protokollierung
Ebene: Warnung
Schlüsselwörter:Sitzung
Benutzer: SYSTEM
Computer: Andre-PC
Beschreibung:
Die maximal zulässige Dateigröße für die Sitzung "ReadyBoot" wurde erreicht. Daher können Ereignisse für die Datei "C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl" verloren gehen (nicht protokolliert werden). Die maximale Dateigröße ist derzeit auf 20971520 Bytes festgelegt.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
<EventID>4</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>1</Task>
<Opcode>10</Opcode>
<Keywords>0x8000000000000010</Keywords>
<TimeCreated SystemTime="2012-02-26T20:02:36.149261400Z" />
<EventRecordID>232</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="176" />
<Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
<Computer>Andre-PC</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="SessionName">ReadyBoot</Data>
<Data Name="FileName">C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl</Data>
<Data Name="ErrorCode">3221225864</Data>
<Data Name="LoggingMode">0</Data>
<Data Name="MaxFileSize">20971520</Data>
</EventData>
</Event>
Code:
Protokollname: Microsoft-Windows-Kernel-EventTracing/Admin
Quelle: Microsoft-Windows-Kernel-EventTracing
Datum: 26.02.2012 21:02:36
Ereignis-ID: 3
Aufgabenkategorie:Sitzung
Ebene: Fehler
Schlüsselwörter:Sitzung
Benutzer: SYSTEM
Computer: Andre-PC
Beschreibung:
Die Sitzung "ReadyBoot" wurde aufgrund des folgenden Fehlers beendet: 0xC0000188.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
<EventID>3</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>2</Task>
<Opcode>14</Opcode>
<Keywords>0x8000000000000010</Keywords>
<TimeCreated SystemTime="2012-02-26T20:02:36.149261400Z" />
<EventRecordID>233</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="176" />
<Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
<Computer>Andre-PC</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data Name="SessionName">ReadyBoot</Data>
<Data Name="FileName">C:\Windows\Prefetch\ReadyBoot\ReadyBoot.etl</Data>
<Data Name="ErrorCode">3221225864</Data>
<Data Name="LoggingMode">0</Data>
</EventData>
</Event>
Code:
Protokollname: Microsoft-Windows-Dhcp-Client/Admin
Quelle: Microsoft-Windows-Dhcp-Client
Datum: 26.02.2012 21:03:09
Ereignis-ID: 1001
Aufgabenkategorie:Adressenkonfigurations-Statusereignis
Ebene: Fehler
Schlüsselwörter:
Benutzer: LOKALER DIENST
Computer: Andre-PC
Beschreibung:
Dem Computer wurde (vom DHCP-Server) keine Adresse aus dem Netzwerk für die Netzwerkkarte mit der Netzwerkadresse 0x002683125BDD zugewiesen. Fehler: 0x79. Der Computer versucht, weiterhin selbständig eine Adresse vom Netzwerkadressserver (DHCP-Server) abzurufen.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Dhcp-Client" Guid="{15A7A4F8-0072-4EAB-ABAD-F98A4D666AED}" />
<EventID>1001</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>3</Task>
<Opcode>75</Opcode>
<Keywords>0x4000000000000000</Keywords>
<TimeCreated SystemTime="2012-02-26T20:03:09.081881900Z" />
<EventRecordID>218</EventRecordID>
<Correlation />
<Execution ProcessID="1020" ThreadID="3764" />
<Channel>Microsoft-Windows-Dhcp-Client/Admin</Channel>
<Computer>Andre-PC</Computer>
<Security UserID="S-1-5-19" />
</System>
<EventData>
<Data Name="HWLength">6</Data>
<Data Name="HWAddress">002683125BDD</Data>
<Data Name="StatusCode">121</Data>
</EventData>
</Event>
Code:
Protokollname: System
Quelle: EventLog
Datum: 26.02.2012 21:01:04
Ereignis-ID: 6008
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: Andre-PC
Beschreibung:
Das System wurde zuvor am 26.02.2012 um 20:59:50 unerwartet heruntergefahren.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="EventLog" />
<EventID Qualifiers="32768">6008</EventID>
<Level>2</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-02-26T20:01:04.000000000Z" />
<EventRecordID>41051</EventRecordID>
<Channel>System</Channel>
<Computer>Andre-PC</Computer>
<Security />
</System>
<EventData>
<Data>20:59:50</Data>
<Data>26.02.2012</Data>
<Data>
</Data>
<Data>
</Data>
<Data>665</Data>
<Data>
</Data>
<Data>
</Data>
<Binary>DC07020000001A0014003B0032002F02DC07020000001A0013003B0032002F023C0000003C000000000000000000000000000000000000000100000000000000</Binary>
</EventData>
</Event>