Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

XP - Eventlog (Sicherheit) läuft voll - was tun?

Frage Microsoft Windows XP

Mitglied: mad999

mad999 (Level 1) - Jetzt verbinden

02.02.2009, aktualisiert 11:42 Uhr, 8031 Aufrufe, 6 Kommentare

Hallo Leute,

bei einigen XP-Clients in unserer Domäne läuft das Security-Eventlog voll, so daß sich nur noch ein Admin anmelden kann.

Es läuft voll, weil der folgende Fehler teilweise sekündlich geloggt wird:

Ereigniskennung 560
Quelle: Security
Kategorie: Objektzugriff

Beschreibung:

Geöffnetes Objekt:
Objektserver: SC Manager
Objekttyp: SC_MANAGER OBJECT
Objektname: ServicesActive
Handlekennung: -
Vorgangskennung: {0,671047}
Prozesskennung: 700
Abbilddateiname: C:\WINDOWS\system32\services.exe
Primärer Benutzername: PC25$
Primäre Domäne: Domäne
Primäre Anmeldekennung: (0x0,0x3E7)
Clientbenutzername: User5
Clientdomäne: Domäne
Clientanmeldekennung: (0x0,0xEA49)
Zugriffe: LÖSCHEN
LESEN_KONTROLLE
SCHREIBEN_DAC
SCHREIBEN_BESITZER
Zum Dienstcontroller verbinden
Neuen Dienst erstellen
Dienste auflisten
Dienstdatenbank für exklusiven Zugriff sperren
Zustand für Dienstdatenbanksperre abfragen
Letzten als funktionierend bekannten Zustand der Dienstdatenbank setzen

Hat da jemand von Euch eine Idee?
Der PC funktioniert sonst einwandfrei.
Bei den Meldungen ändert sich immer nur die Vorgangskennung.

Habe das securitylog nun gelöscht, damit der User wieder arbeiten kann.
Der Fehler tritt aber immer wieder auf.

Mich erstaunt etwas, was da scheinbar probiert wurde: Dienst erstellen, Dienste abfragen, SCHREIBEN_DAC u.s.w..

Kann das ein Einbruchsversuch von einem Schädling sein?
Eine Erfolgsüberwachung ist nicht konfiguriert

Gruss
Martin
Mitglied: 16568
02.02.2009 um 12:44 Uhr
Wie wäre es, das Eventlog auf eine sinnvolle Größe zu beschränken, wie es jeder andere (gute) Admin auch macht...?


Lonesome Walker
Bitte warten ..
Mitglied: jgeorg
02.02.2009 um 13:32 Uhr
Hallo,

hast Du mal die Rechner mit Tools zum Auffinden von Trojanern, Rootkits etc. untersucht? Komisch ist das schon! Ich würde jedenfalls nachforschen.
Bitte warten ..
Mitglied: mad999
02.02.2009 um 17:34 Uhr
Habe mit dem RootkitRevealer getestet, aber leider nichts gefunden.

@Lonesome Walker:
Was meinst Du damit?
Ich habe die Einstellungen der Logs auf Windows-Standard belassen. Ein guter Administrator sucht und beseitigt den Fehler, anstatt die Loggrösse einfach nur heraufzusetzen......

Habe jetzt festgestellt, daß dies scheinbar nur auf PC's mit installiertem Corel Draw auftritt...

Hat noch jemand eine Idee??

Gruss
Mad999
Bitte warten ..
Mitglied: 16568
02.02.2009 um 19:27 Uhr
Zitat von mad999:
Ein guter Administrator sucht und beseitigt den Fehler, anstatt die
Loggrösse einfach nur heraufzusetzen......

Wer hat was von heraufsetzen geschrieben?
<ironie>
Was man NORMALERWEISE macht, mußt Du mir nicht schreiben, weil NORMALERWEISE weiß ein Admin auch, wie man bei sowas vorgeht, und schreibt nicht so Kinderkram-Fragen in ein Forum.
</ironie>

Wenn Du das Problem schon eingegrenzt hast, solltest Du es vielleicht mal mit einer Deinstallation probieren...?


Lonesome Walker
Bitte warten ..
Mitglied: Tonio6666
03.02.2009 um 11:22 Uhr
Hallo MAD!

So wie Du das beschreibst ist das kein Trojaner oder sonstiges!
Anscheinend hat Dir jemand (corel ist da auch möglich) eine Systemrichtlinie geändert!
Das Sicherheitsprotokoll schreibt nun mit auf welche Dateien zugegriffen wird!

Kontrolliere folgendes:

In den Lokalen Sicherheitsrichtlinien unter "Lokale Richtlinien" -> "Überwachungsrichtlinien" -> "Objektzugriffsversuche überwachen"
Diese sollte als Standard auf "Keine Überwachung" stehen!


Gruß!

Tonio
Bitte warten ..
Mitglied: mad999
03.02.2009 um 16:13 Uhr
Vielen Dank Tonio !

Da kam ich nicht drauf, weil bei uns in der Domäne an den lokalen Richtlinien der Clients nichts gemacht wurde.

Beim Hinsehen war zu erkennen, das die Überwachung per GPO eingeschaltet wurde.

Mein Vorgänger hat leider die Default Domain Policy bearbeitet ((

Habe schon viele GPO's erstellt, aber die Default habe ich mir nie angesehen, da ich weiss, daß diese nicht bearbeitet werden sollte.......


Klasse Forum

Gruss
Mad999
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
Eventlog Druckjobs mit VBS auslesen (2)

Frage von joni2000de zum Thema Batch & Shell ...

Voice over IP
Mysterium Fax über VoIP - was man tun kann, damit es besser läuft (7)

Anleitung von LordGurke zum Thema Voice over IP ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...