Protokolle in der Computerverwaltung???

Dieses Thema im Forum "Sicherheit" wurde erstellt von Cidre, 1. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo Foren Freunde, kann mir jemand behilflich sein und zwar in der Computerverwaltung>System>Sicherheit> sind verschiedene Protokolle aufgeführt; z.B. wenn ich ein Protokoll mit Eigenschaften öffne , werden unter der Kategorie Beschreibung, diverse An- und Abmeldungen verschiedener Dienste und Programme beschrieben. Was mich wundert das unter Benutzer mehrere Einträge von Gast und Anonymous, An-und Abmeldungen statt finden.
    Sind das Trojaner die auf mein System zugreifen wollen und geblockt werden? Mein System wurde letzte Woche von "NACHI" infiziert und von mir erfolgreich entfernt. Ich habe danach noch einmal mein System gecheckt mit AntiVir, Trojancheck und Stingertool jedoch wurde nichts mehr gefunden.
    Mein BS ist WINXP/SP1 mit allen Updates und Patches die es momentan gibt.
    Im voraus besten Dank für Eure Hilfe :confused:
     
  2. Gast

    Gast Guest

  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Wolfgang77

    Die Gastkonten waren Gott sei Dank schon immer deaktiviert, trotzdem vielen Dank.
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Steele
    Ganz sicher bin ich mir nicht ob ich den Wurm entfernt habe. Möglich ist auch das einige wichtige Patches übersehen habe. Aber ich bin dabei dein verfasstes Sicherheitskonzept auf deiner Homepage umsetzen, allerdings bedarf dies noch einige Zeit und vieles Lesen um die Hintergründe zu verstehen.

    z.B. nach der Entfernung des WormNachi.B.1

    Ereignistyp: Erfolgsüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 540
    Datum: 01.03.2004
    Zeit: 17:07:50
    Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    Computer: KANADA
    Beschreibung:
    Erfolgreiche Netzwerkanmeldung:
    Benutzername:
    Domäne:
    Anmeldekennung: (0x0,0x22C8C)
    Anmeldetyp: 3
    Anmeldevorgang: NtLmSsp
    Authentifizierungspaket: NTLM
    Arbeitsstationsname:
    Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

    - Ereignistyp: Erfolgsüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 538
    Datum: 01.03.2004
    Zeit: 16:48:49
    Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    Computer: KANADA
    Beschreibung:
    Benutzerabmeldung:
    Benutzername: ANONYMOUS-ANMELDUNG
    Domäne: NT-AUTORITÄT
    Anmeldekennung: (0x0,0x26D53C)
    Anmeldetyp: 3

    Vor dem entfernen des Wurm:

    Ereignistyp: Erfolgsüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 538
    Datum: 29.02.2004
    Zeit: 21:37:20
    Benutzer: KANADA\Gast
    Computer: KANADA
    Beschreibung:
    Benutzerabmeldung:
    Benutzername: Gast
    Domäne: KANADA
    Anmeldekennung: (0x0,0x185B4C)
    Anmeldetyp: 3

    Ereignistyp: Erfolgsüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 540
    Datum: 29.02.2004
    Zeit: 13:00:28
    Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    Computer: KANADA
    Beschreibung:
    Erfolgreiche Netzwerkanmeldung:
    Benutzername:
    Domäne:
    Anmeldekennung: (0x0,0x10721F)
    Anmeldetyp: 3
    Anmeldevorgang: NtLmSsp
    Authentifizierungspaket: NTLM
    Arbeitsstationsname: FREY
    Anmelde-GUID: {00000000-0000-0000-0000-000000000000}


    Ereignistyp: Erfolgsüberw.
    Ereignisquelle: Security
    Ereigniskategorie: An-/Abmeldung
    Ereigniskennung: 540
    Datum: 28.02.2004
    Zeit: 12:23:30
    Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    Computer: KANADA
    Beschreibung:
    Erfolgreiche Netzwerkanmeldung:
    Benutzername:
    Domäne:
    Anmeldekennung: (0x0,0xF0571)
    Anmeldetyp: 3
    Anmeldevorgang: NtLmSsp
    Authentifizierungspaket: NTLM
    Arbeitsstationsname: MAMA-LAPTOP
    Anmelde-GUID: {00000000-0000-0000-0000-000000000000}

    und noch diverse andere Ereignisse.
     
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    Gastkonten sollten aus Sicherheitgründen immer deaktiviert werden.

    Zitat:
    "Sind das Trojaner die auf mein System zugreifen wollen und geblockt werden?"

    In der Ereignisanzeige sollte aufgezeichnet seien ob die Anmeldung erfolgreich war.. war sie das dann ist auch nichts geblockt worden.

    Grüße
    Wolfgang
     
  6. Gast

    Gast Guest

    Da du keine detaillierten Infos zu den Prozessen und Diensten nennst, ist das ein klarer Fall für Kommissar Glaskugel.
    Sicher?
    Waren das dieselben Updates und Patches wie VOR der Infektion? Dann nämlich hast du mindestens EINS nicht und das gibts schon ein paar Monate.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen