Logdateien unter XP

Dieses Thema Logdateien unter XP im Forum "Windows XP Forum" wurde erstellt von fmeyer, 5. Feb. 2005.

Thema: Logdateien unter XP Wer kann mir mit Infos oder Links weiterhelfen: Win XP-SP2 bietet an verschiedenen Stellen die Konfiruration von...

  1. Wer kann mir mit Infos oder Links weiterhelfen:

    Win XP-SP2 bietet an verschiedenen Stellen die Konfiruration von Logdateien an. Z. B. MMC Ereignisanzeige oder Leistungsprotokolle und Warnungen

    Ich verstehe aber nicht wie ich folgendes hinkriege.

    - Sofort-Meldung, wenn sich ein Benutzer anmeldet. Hintergrund: Ich hatte einen Trojaner (Proxy-Agent.d), der regelmäßig meine Firewall deaktivierte, und ein Hacker aktivierte ab und zu einen Gast-Account um meine DSL-Bandbreite zu mißbrauchen.

    - Logdatei und/oder Anzeige ausschließlich über An- und Abmeldungen
    - Logdatei über gestartete und gestoppte Prozesse - auch die, die nicht im Task-Manager zu sehen sind - und welche Prozesse diese wiederum starten oder stoppen.
    - Logdatei- über das Öffnen und Schließen von Ports
    - Übersicht/Logging über aktuelle Verbindungen und Zugänge von außen her.

    Es gibt eine Menge neuer MS-DOS-Befehle, die ich aber noch nicht so ganz verstehe. Gibt es schon fertige Skripte damit, die das können?

    Bestimmt weiß jemand Rat - wer kann mir Tips geben?

    [blue]verschoben aus Sonstiges[/blue]
     
  2. Sorry, aber ich glaub ich höre nicht richtig - was heisst denn da bitte regelmässig ?!?

    Cheers,
    Joshua
     
  3. OK - unregelmäßig.

    Der Agent besteht aus 3 Dateien (siehe Info-Link bei McAfee zu Proxy-Agent.d).

    http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=131176

    Das Programm swhost.exe wurde beim Hochfahren verdeckt über die Registry (HKLM/.../Run) gestartet.

    Ich gehe davon aus, dass der Prozess - oder von ihm nachgestartete - die Firewall beendete. Das geschah so ungefähr nach 15 Min. bis 2 Stunden. Den genauen Auslöser für diese Deaktivierung kenne ich aber nicht. Aber sicher war, dass die Firewall während einer längeren Sitzung beendet wurde. Die Firewall wurde auch beendet, wenn ich keine DSL-Verbindung aufgebaut hatte.

    Fakt ist nur - seit ich die Dateien und den Registry-Eintrag unschädlich gemacht habe, läuft die Firewall wieder ohne Unterbrechung.
     
  4. Um nicht vom Thema abzuweichen - nach wie vor interessiert mich, wie ich

    Logdateien konfigurieren und anzeigen

    kann, damit ich meinen Rechner gezielter überwachen kann.
     
  5. Die Ereignisanzeige ist dir aber schon bekannt ?!?

    Cheers,
    Joshua
     
  6. Ereignisanzeige kenne ich - aber sie aktualisiert sich nicht immer richtig und ich weiß noch nicht, wie ich die Infos filtern kann, und Sofort-Meldungen heraustriggern kann, die ich brauche.

    Die Ereignisanzeige zeigt auch nicht alles an. z. B.

    - dass und wann die Firewall beendet wurde,
    - welche IP-Adresse ein von außen her kommender Eindringling hat

    Diese Meldungen z. B. wären für mich wichtig, sofort zu bemerken:

    (...) NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Rechnername Erfolgreiche Netzwerkanmeldung (...)

    31.01.2005 14:47:53 Security Erfolgsüberw. An-/Abmeldung 538 Rechnername\Gast Rechnername

    (Anmerkung - eigentlich ist mein Gast-Konto deaktiviert!!!)

    31.01.2005 14:47:58 Security Erfolgsüberw. Richtlinienänderung 621 Rechnername\Benutzername
    Rechnername - Systemsicherheitszugriff gewährt:
    Gewährter Zugriff: SeDenyInteractiveLogonRight
    Geändertes Konto: Rechnername\Gast
    Zugewiesen von:
    Benutzername: Benutzername
    Domäne: Rechnername
    Anmeldekennung: (0x0,0x21704)

    ANONYMOUS-Anmeldungen habe ich immer noch - allerdings kann der Eindringling wohl nichts mehr machen. Wie kriege ich das abgedichtet? Welches Konto steckt dahinter? (Ich habe keinen ANONYMOUS-Benutzer)

    Auch diese 4-mal aufgetretene Meldung ist merkwürdig (Ereignisanzeige Anwendung):

    Fehler: Ein DCOM-Server konnte nicht gestartet werden: {B801CA65-A1FC-11D0-85AD-444553540000}. Fehler: %%3
    aufgetreten beim Starten dieses Befehls:
    E:\ACROBAT4\READER\ACRORD32.EXE -Embedding

    ... denn ich habe weder ein Laufwerk E:, noch habe ich versucht einen alten Acrobat-Reader zu starten. Diese Meldungen wurden fast zeitgleich mit den vier ANONYMOUS-Anmeldungen eingetragen.
     
Die Seite wird geladen...

Logdateien unter XP - Ähnliche Themen

Forum Datum
logdateien beobachten Windows Server-Systeme 24. März 2011
SP3 Update scheitert an Katalogdateien Windows-Updates 19. Aug. 2008
Plötzlich wurden 2 Dutzend ebd Logdateien kreiert Windows XP Forum 14. Okt. 2006
ServicePack2 lässt sich nicht installieren (Katalogdateien)) Windows-Updates 15. Aug. 2004
Logdateien NT 4 Server Windows Server-Systeme 4. Aug. 2004