[2000] Eventlog vol met perflib meldingen, reg probleem* - Windows clients

woensdag 13 juli 2005 10:43

Acties:

Verwijderd

Topicstarter

Al een geruime tijd heb ik het eventlog Application Log helemaal vol staan met de volgende melding:

Event Type: Error
Event Source: Perflib
Event Category: None
Event ID: 1008
Date: 13-7-2005
Time: 10:02:31
User: N/A
Computer: BEENENW2K
Description:
The Open Procedure for service "McShield" in DLL "C:\WINNT\system32\dssdata.dll" failed.
Performance data for this service will not be available. Status code returned is data DWORD 0.

De melding is van mcafee, ik heb McAfee VirusScan Enterprise 8.0.0 Engels op de server draaien.

Nu heb ik even lopen speuren op google en kwam daar dit linkje tegen:
http://www.eventid.net/di...70&source=Perflib&phase=1
Daar wordt verwezen naar dit linkje: https://knowledgemap.nai....20Terminal%20Server%204.0
daar staat dat ik LODCTR DSSDATA.INI in de command prompt moet in voeren.
Dit heb ik gedaan op de lokatie: c:\Program Files\Network Associates\VirusScan\ omdat daar dat dssdata.ini staat.

Wanneer ik dat in type krijg ik de volgende 2 melding in het eventlog:

Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3003
Date: 13-7-2005
Time: 10:03:28
User: N/A
Computer: BEENENW2K
Description:
The SYSTEM\CurrentControlSet\Services\McShield\Performance key could not be opened or accessed in order to install counter strings.The Win32 status returned by the call is in the Record Data as DWORD 0.

Event Type: Error
Event Source: LoadPerf
Event Category: None
Event ID: 3009
Date: 13-7-2005
Time: 10:03:28
User: N/A
Computer: BEENENW2K
Description:
Installing the performance counter strings for McShield failed. The Error code is DWORD 0 of the Record Data.

Die eerste melding is een beetje vreemd omdat CurrentControlSet niet bestaat. Wel bestaat CurrentControlSet001 en CurrentControlSet002. Op beide lokaties is een mapje is een mapje Performance aanwezig.

Nu heb ik ergens gelezen wanneer je die weg haald dat je ook van die meldingen af kan komen. Echter bij CurrentControlSet002\Services\McShield\Performance blijven de meldingen komen of wanneer ik gebruik maak van Disable Performance Counters dan gaan de foutmeldingen in het eventlog vrolijk door.

Bij CurrentControlSet001 krijg ik een fout melding als ik CurrentControlSet001\Services\McShield\Performance wil openen/verwijderen/renamen. (Cannot open Performance. Error while opening key.)

Ook heb ik dit programmaatje gedownload: http://www.microsoft.com/...s/existing/exctrlst-o.asp Deze laat niks zien wat maar te maken heeft met McAfee.

Extra Specs:
Windows 2000 server + SP4 English
McAfee VirusScan Enterprise 8.0.0 English

Ik wil graag deze eventmelding weg hebben omdat er elke paar seconden een melding komt, waardoor ik een ander klein probleem niet kan oplossen.

Zelf denk ik dat het probleem bij die controlset ligt, maar ik zou zo even niet weten hoe ik dat moet oplossen.
Het lieftst zou ik deze performance logging van mcshield graag uitzetten, maar niks lijkt te werken.

Wanneer iemand nog een goed advies heeft hoor ik het graag.

woensdag 13 juli 2005 10:54

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Via de Extensible Performance Counter List uit de resource kit, kun je zelf bepalen welke performance counters ge-enabled en ge-disabled moeten worden. Hiermee kun je dus alle McAfee counters uitschakelen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

woensdag 13 juli 2005 11:02

Acties:

Verwijderd

Topicstarter

Die heb ik gedownload(staat volgens mij ook in de topic start) maar daar komt geen verwijzing naar McAfee in voor. Erg raar dus.

Edit:
Ben nog even lopen speuren op het internet over dat ControlSets00x, en heb gezien dat hij ControlSets001 nu gebruikt om de instellingen weg te halen, en dat ControlSets002 de Last Know Good is.
En snap ik waarom die foutmelding komt, omdat er in het register bij dat ControlSets001 een foutmelding op treed. Dit gebeurt ook in CurrentControlSet
In deel 2 staat alles wel goed waarschijnlijk.
Nu is mijn vraag hoe kopieer ik die Mcshield instellingen van 2 naar 1 op een veilige manier.
Export -> aanpassen bestand -> inport werkt niet. Krijg ik weer die foutmelding in het register.

Edit 2:
Heb nog even regedt32 gebruikt (had er nog nooit van gehoord) want dat kwam ik ook ergens tegen op het internet. Daar werd iets verteld met rechten, maar dat kan ik ook niet op de 2 bepaalde mappen instellen. Dan krijg ik de melding: Unable to display security information.

[ Voor 93% gewijzigd door Verwijderd op 13-07-2005 14:46 . Reden: Kleine toevoeging ]

donderdag 14 juli 2005 11:23

Acties:

elevator

Officieel moto fan :)

In principe moet je de 'ControlSet001' enzo met rust laten - als je gewoon gebruik maakt van 'CurrentControlSet' dan is dat een alias ('link') naar je huidige, active CurrentControlSet en die zou je het beste moeten manipuleren

Verder welke foutmelding treed op? Dat je niet alle data kan exporteren uit CurrentControlSet is overigens normaal

donderdag 14 juli 2005 11:38

Acties:

Verwijderd

Topicstarter

Zodra ik die handeling uitvoer die vermeld staat op McAfeeee site dan krijg ik dat event 3003.
Daarin staat:
The SYSTEM\CurrentControlSet\Services\McShield\Performance key could not be opened or accessed in order to install counter strings

En dat klopt want als ik het register in ga, dan krijg ik de volgende foutmelding wanneer ik dat map aanklik: Cannot open Performance. Error while opening key.

Dit zelfde doet hij bij CurrentControlSet001. Maar wanneer ik dat zelfde mapje in CurrentControlSet002 open dan krijg ik wel alle data te zien wat achter Performance zit.

Ik denk omdat hij die SYSTEM\CurrentControlSet\Services\McShield\Performance map niet kan openen daarom al die perflib meldingen komen.

Dit is de reden waarom ik denk dat de fout in het register zit.

donderdag 14 juli 2005 11:39

Acties:

elevator

Officieel moto fan :)

OK - en als je die key eens wist (CurrentControlSet) ?

donderdag 14 juli 2005 11:41

Acties:

Verwijderd

Topicstarter

Wil niet dan krijg ik een foutmelding, zelfde geld voor renamen.
Cannot delete Performance: Error while deleting key.
Dan ga ik ervan uit dat je: SYSTEM\CurrentControlSet\Services\McShield\Performance bedoelt.

[ Voor 15% gewijzigd door Verwijderd op 14-07-2005 11:45 ]

donderdag 14 juli 2005 14:03

Acties:

elevator

Officieel moto fan :)

Ja - pak anders eens full control en permissions op die registry key?

woensdag 20 juli 2005 09:57

Acties:

Verwijderd

Topicstarter

Probleem is opgelost.
Dit weekend moest ik de server restarten, en heb ik alles nog een keer geprobeerd. Die eventmelding had achteraf niet iets met het probleem te maken wat in het register fout ging.

Na de restart kon ik wel bij de performance map in het register, deze heb ik verwijderd maar dat maakte niks uit. Toen terug gezet (had natuurlijk eerst backup gemaakt).

Toen met het tooltje: exctrlst.exe de performance counter voor McShield uitgezet. Dat hielp ook niet.

Vervolgens heb ik nog een keer geprobeerd om dit te doen:
LODCTR DSSDATA.INI in de command prompt ingevoerd op de lokatie: c:\Program Files\Network Associates\VirusScan\.
Daarna kwam er een melding in het eventlog dat de counter succesvol zijn geladen. Toen heb ik nog even in het register gekeken en dat dat er meer waarden waren dan de keer ervoor.

Nu 20 minuten later heb ik nog geen melding gehad in het event. En anders wat de tussenpoos maximaal 2 minuten.

Ik snap eigenlijks niet precies waarom het door de restart wel werkt omdat ik eigenlijks niks veranderd had kwa instellingen/update voor mcafee.

Maar goed het werkt, en iedereen toch bedankt voor de reacties.