Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst XP - Eventlog (Sicherheit) läuft voll - was tun?

Mitglied: mad999

mad999 (Level 1) - Jetzt verbinden

02.02.2009, aktualisiert 11:42 Uhr, 8095 Aufrufe, 6 Kommentare

Hallo Leute,

bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.

Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:

Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff

Beschreibung:

Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen

Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.

Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.

Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..

Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert

Gruss
Martin
Mitglied: 16568
02.02.2009 um 12:44 Uhr
Wie wäre es, das Eventlog auf eine sinnvolle Größe zu beschränken, wie es jeder andere (gute) Admin auch macht...?


Lonesome Walker
Bitte warten ..
Mitglied: jgeorg
02.02.2009 um 13:32 Uhr
Hallo,

hast Du mal die Rechner mit Tools zum Auffinden von Trojanern, Rootkits etc. untersucht? Komisch ist das schon! Ich würde jedenfalls nachforschen.
Bitte warten ..
Mitglied: mad999
02.02.2009 um 17:34 Uhr
Habe mit dem RootkitRevealer getestet, aber leider nichts gefunden.

@Lonesome Walker:
Was meinst Du damit?
Ich habe die Einstellungen der Logs auf Windows-Standard belassen. Ein guter Administrator sucht und beseitigt den Fehler, anstatt die Loggrösse einfach nur heraufzusetzen......

Habe jetzt festgestellt, daß dies scheinbar nur auf PC's mit installiertem Corel Draw auftritt...

Hat noch jemand eine Idee??

Gruss
Mad999
Bitte warten ..
Mitglied: 16568
02.02.2009 um 19:27 Uhr
Zitat von mad999:
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......

Wer hat was von heraufsetzen geschrieben?
<ironie>
Was man NORMALERWEISE macht, mußt Du mir nicht schreiben, weil NORMALERWEISE weiß ein Admin auch, wie man bei sowas vorgeht, und schreibt nicht so Kinderkram-Fragen in ein Forum.
</ironie>

Wenn Du das Problem schon eingegrenzt hast, solltest Du es vielleicht mal mit einer Deinstallation probieren...?


Lonesome Walker
Bitte warten ..
Mitglied: Tonio6666
03.02.2009 um 11:22 Uhr
Hallo MAD!

So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!

Kontrolliere folgendes:

In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!


Gruß!

Tonio
Bitte warten ..
Mitglied: mad999
03.02.2009 um 16:13 Uhr
Vielen Dank Tonio !

Da kam ich nicht drauf, weil bei uns in der Domäne an den lokalen Richtlinien der Clients nichts gemacht wurde.

Beim Hinsehen war zu erkennen, das die Überwachung per GPO eingeschaltet wurde.

Mein Vorgänger hat leider die Default Domain Policy bearbeitet ((

Habe schon viele GPO's erstellt, aber die Default habe ich mir nie angesehen, da ich weiss, daß diese nicht bearbeitet werden sollte.......


Klasse Forum

Gruss
Mad999
Bitte warten ..
Ähnliche Inhalte
Windows Server
Wie kann ich das Eventlog reparieren?
Frage von joni2000deWindows Server3 Kommentare

Hallo, kann mir jemand beim meinem Problem wie in dieser Frage ganz unten beschrieben weiter helfen? Ich habe mich ...

Windows Server

Eventlog - bestimmte Events exportieren und Eventlog leeren

gelöst Frage von Xaero1982Windows Server8 Kommentare

Moin Zusammen, aufgrund eines ziemlichen GAUs (Ein unbekannter Nutzer hat die Daten aus einem Verzeichnis gelöscht) bin ich gezwungen ...

Windows 8

Einstellungen Eventlog

gelöst Frage von Wisch43Windows 84 Kommentare

Hallo miteinander, wie (wenn überhaupt) kann ich den Eventlog so einstellen, dass meine erstellte Benutzerdefinierte Ansicht beim Start des ...

Batch & Shell

Create Eventlog

Frage von hansis1Batch & Shell4 Kommentare

Hall! ich möchte mit einem Batch-Skritp einen Eventlog-Eintrag erstellen. Soweit so gut. Allerdings habe ich das Problem, dass ich ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 15 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless14 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Hyper-V
HyperV DC + DNS + AC
gelöst Frage von HardstylesHyper-V13 Kommentare

Hallo kann mir jemand sagen wieso meine Domänen Computer kein Internetzugang erhalten? Ich hab hier ein Server wo die ...