mad999
Goto Top

XP - Eventlog (Sicherheit) läuft voll - was tun?

Hallo Leute,

bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.

Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:

Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff

Beschreibung:

Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen

Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.

Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.

Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..

Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert

Gruss
Martin

Content-ID: 107798

Url: https://administrator.de/forum/xp-eventlog-sicherheit-laeuft-voll-was-tun-107798.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

16568
16568 02.02.2009 um 12:44:21 Uhr
Goto Top
Wie wäre es, das Eventlog auf eine sinnvolle Größe zu beschränken, wie es jeder andere (gute) Admin auch macht...?


Lonesome Walker
jgeorg
jgeorg 02.02.2009 um 13:32:52 Uhr
Goto Top
Hallo,

hast Du mal die Rechner mit Tools zum Auffinden von Trojanern, Rootkits etc. untersucht? Komisch ist das schon! Ich würde jedenfalls nachforschen.
mad999
mad999 02.02.2009 um 17:34:12 Uhr
Goto Top
Habe mit dem RootkitRevealer getestet, aber leider nichts gefunden.

@lonesome Walker:
Was meinst Du damit?
Ich habe die Einstellungen der Logs auf Windows-Standard belassen. Ein guter Administrator sucht und beseitigt den Fehler, anstatt die Loggrösse einfach nur heraufzusetzen......

Habe jetzt festgestellt, daß dies scheinbar nur auf PC's mit installiertem Corel Draw auftritt...

Hat noch jemand eine Idee??

Gruss
Mad999
16568
16568 02.02.2009 um 19:27:38 Uhr
Goto Top
Zitat von @mad999:
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......

Wer hat was von heraufsetzen geschrieben?
<ironie>
Was man NORMALERWEISE macht, mußt Du mir nicht schreiben, weil NORMALERWEISE weiß ein Admin auch, wie man bei sowas vorgeht, und schreibt nicht so Kinderkram-Fragen in ein Forum.
</ironie>

Wenn Du das Problem schon eingegrenzt hast, solltest Du es vielleicht mal mit einer Deinstallation probieren...?


Lonesome Walker
Tonio6666
Tonio6666 03.02.2009 um 11:22:36 Uhr
Goto Top
Hallo MAD!

So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!

Kontrolliere folgendes:

In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!


Gruß!

Tonio
mad999
mad999 03.02.2009 um 16:13:07 Uhr
Goto Top
Vielen Dank Tonio !

Da kam ich nicht drauf, weil bei uns in der Domäne an den lokalen Richtlinien der Clients nichts gemacht wurde.

Beim Hinsehen war zu erkennen, das die Überwachung per GPO eingeschaltet wurde.

Mein Vorgänger hat leider die Default Domain Policy bearbeitet face-sad((

Habe schon viele GPO's erstellt, aber die Default habe ich mir nie angesehen, da ich weiss, daß diese nicht bearbeitet werden sollte.......


Klasse Forum

Gruss
Mad999