6
XP - Eventlog (Sicherheit) läuft voll - was tun?
Hallo Leute,
bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.
Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:
Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff
Beschreibung:
Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen
Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.
Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.
Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..
Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert
Gruss
Martin
bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.
Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:
Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff
Beschreibung:
Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen
Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.
Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.
Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..
Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert
Gruss
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107798
Url: https://administrator.de/contentid/107798
Ausgedruckt am: 20.11.2024 um 06:11 Uhr
6 Kommentare
Neuester Kommentar
Wie wäre es, das Eventlog auf eine sinnvolle Größe zu beschränken, wie es jeder andere (gute) Admin auch macht...?
Lonesome Walker
Lonesome Walker
Hallo,
hast Du mal die Rechner mit Tools zum Auffinden von Trojanern, Rootkits etc. untersucht? Komisch ist das schon! Ich würde jedenfalls nachforschen.
hast Du mal die Rechner mit Tools zum Auffinden von Trojanern, Rootkits etc. untersucht? Komisch ist das schon! Ich würde jedenfalls nachforschen.
Habe mit dem RootkitRevealer getestet, aber leider nichts gefunden.
@lonesome Walker:
Was meinst Du damit?
Ich habe die Einstellungen der Logs auf Windows-Standard belassen. Ein guter Administrator sucht und beseitigt den Fehler, anstatt die Loggrösse einfach nur heraufzusetzen......
Habe jetzt festgestellt, daß dies scheinbar nur auf PC's mit installiertem Corel Draw auftritt...
Hat noch jemand eine Idee??
Gruss
Mad999
@lonesome Walker:
Was meinst Du damit?
Ich habe die Einstellungen der Logs auf Windows-Standard belassen. Ein guter Administrator sucht und beseitigt den Fehler, anstatt die Loggrösse einfach nur heraufzusetzen......
Habe jetzt festgestellt, daß dies scheinbar nur auf PC's mit installiertem Corel Draw auftritt...
Hat noch jemand eine Idee??
Gruss
Mad999
Zitat von @mad999:
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......
Wer hat was von heraufsetzen geschrieben?
<ironie>
Was man NORMALERWEISE macht, mußt Du mir nicht schreiben, weil NORMALERWEISE weiß ein Admin auch, wie man bei sowas vorgeht, und schreibt nicht so Kinderkram-Fragen in ein Forum.
</ironie>
Wenn Du das Problem schon eingegrenzt hast, solltest Du es vielleicht mal mit einer Deinstallation probieren...?
Lonesome Walker
Hallo MAD!
So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!
Kontrolliere folgendes:
In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!
Gruß!
Tonio
So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!
Kontrolliere folgendes:
In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!
Gruß!
Tonio
Vielen Dank Tonio !
Da kam ich nicht drauf, weil bei uns in der Domäne an den lokalen Richtlinien der Clients nichts gemacht wurde.
Beim Hinsehen war zu erkennen, das die Überwachung per GPO eingeschaltet wurde.
Mein Vorgänger hat leider die Default Domain Policy bearbeitet
((
Habe schon viele GPO's erstellt, aber die Default habe ich mir nie angesehen, da ich weiss, daß diese nicht bearbeitet werden sollte.......
Klasse Forum
Gruss
Mad999
Da kam ich nicht drauf, weil bei uns in der Domäne an den lokalen Richtlinien der Clients nichts gemacht wurde.
Beim Hinsehen war zu erkennen, das die Überwachung per GPO eingeschaltet wurde.
Mein Vorgänger hat leider die Default Domain Policy bearbeitet
((Habe schon viele GPO's erstellt, aber die Default habe ich mir nie angesehen, da ich weiss, daß diese nicht bearbeitet werden sollte.......
Klasse Forum
Gruss
Mad999
