Logdateien unter XP

Wer kann mir mit Infos oder Links weiterhelfen:

Win XP-SP2 bietet an verschiedenen Stellen die Konfiruration von Logdateien an. Z. B. MMC Ereignisanzeige oder Leistungsprotokolle und Warnungen

Ich verstehe aber nicht wie ich folgendes hinkriege.

- Sofort-Meldung, wenn sich ein Benutzer anmeldet. Hintergrund: Ich hatte einen Trojaner (Proxy-Agent.d), der regelmäßig meine Firewall deaktivierte, und ein Hacker aktivierte ab und zu einen Gast-Account um meine DSL-Bandbreite zu mißbrauchen.

- Logdatei und/oder Anzeige ausschließlich über An- und Abmeldungen
- Logdatei über gestartete und gestoppte Prozesse - auch die, die nicht im Task-Manager zu sehen sind - und welche Prozesse diese wiederum starten oder stoppen.
- Logdatei- über das Öffnen und Schließen von Ports
- Übersicht/Logging über aktuelle Verbindungen und Zugänge von außen her.

Es gibt eine Menge neuer MS-DOS-Befehle, die ich aber noch nicht so ganz verstehe. Gibt es schon fertige Skripte damit, die das können?

Bestimmt weiß jemand Rat - wer kann mir Tips geben?

[blue]verschoben aus Sonstiges[/blue]

fmeyer schrieb:

...Hintergrund: Ich hatte einen Trojaner (Proxy-Agent.d), der regelmäßig meine Firewall deaktivierte, und ein Hacker aktivierte ab und zu einen Gast-Account um meine DSL-Bandbreite zu mißbrauchen.....

Zum Vergrößern anklicken....

Sorry, aber ich glaub ich höre nicht richtig - was heisst denn da bitte regelmässig ?!?

Cheers,
Joshua

OK - unregelmäßig.

Der Agent besteht aus 3 Dateien (siehe Info-Link bei McAfee zu Proxy-Agent.d).

http://de.mcafee.com/virusInfo/default.asp?id=description&virus_k=131176

Das Programm swhost.exe wurde beim Hochfahren verdeckt über die Registry (HKLM/.../Run) gestartet.

Ich gehe davon aus, dass der Prozess - oder von ihm nachgestartete - die Firewall beendete. Das geschah so ungefähr nach 15 Min. bis 2 Stunden. Den genauen Auslöser für diese Deaktivierung kenne ich aber nicht. Aber sicher war, dass die Firewall während einer längeren Sitzung beendet wurde. Die Firewall wurde auch beendet, wenn ich keine DSL-Verbindung aufgebaut hatte.

Fakt ist nur - seit ich die Dateien und den Registry-Eintrag unschädlich gemacht habe, läuft die Firewall wieder ohne Unterbrechung.

Um nicht vom Thema abzuweichen - nach wie vor interessiert mich, wie ich

Logdateien konfigurieren und anzeigen

kann, damit ich meinen Rechner gezielter überwachen kann.

Die Ereignisanzeige ist dir aber schon bekannt ?!?

Cheers,
Joshua

Ereignisanzeige kenne ich - aber sie aktualisiert sich nicht immer richtig und ich weiß noch nicht, wie ich die Infos filtern kann, und Sofort-Meldungen heraustriggern kann, die ich brauche.

Die Ereignisanzeige zeigt auch nicht alles an. z. B.

- dass und wann die Firewall beendet wurde,
- welche IP-Adresse ein von außen her kommender Eindringling hat

Diese Meldungen z. B. wären für mich wichtig, sofort zu bemerken:

(...) NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Rechnername Erfolgreiche Netzwerkanmeldung (...)

31.01.2005 14:47:53 Security Erfolgsüberw. An-/Abmeldung 538 Rechnername\Gast Rechnername

(Anmerkung - eigentlich ist mein Gast-Konto deaktiviert!!!)

31.01.2005 14:47:58 Security Erfolgsüberw. Richtlinienänderung 621 Rechnername\Benutzername
Rechnername - Systemsicherheitszugriff gewährt:
Gewährter Zugriff: SeDenyInteractiveLogonRight
Geändertes Konto: Rechnername\Gast
Zugewiesen von:
Benutzername: Benutzername
Domäne: Rechnername
Anmeldekennung: (0x0,0x21704)

ANONYMOUS-Anmeldungen habe ich immer noch - allerdings kann der Eindringling wohl nichts mehr machen. Wie kriege ich das abgedichtet? Welches Konto steckt dahinter? (Ich habe keinen ANONYMOUS-Benutzer)

Auch diese 4-mal aufgetretene Meldung ist merkwürdig (Ereignisanzeige Anwendung):

Fehler: Ein DCOM-Server konnte nicht gestartet werden: {B801CA65-A1FC-11D0-85AD-444553540000}. Fehler: %%3
aufgetreten beim Starten dieses Befehls:
E:\ACROBAT4\READER\ACRORD32.EXE -Embedding

... denn ich habe weder ein Laufwerk E:, noch habe ich versucht einen alten Acrobat-Reader zu starten. Diese Meldungen wurden fast zeitgleich mit den vier ANONYMOUS-Anmeldungen eingetragen.