Archiv verlassen und diese Seite im Standarddesign anzeigen : eventlog überflutet mit ID4672 und ID4624 - Angriff?
Klingone mit Klampfe
2010-10-15, 20:18:36
Hallo zusammen,
ein Bild sollte genügen:
http://www.abload.de/img/zwischenablage-1lnbt.png
Jemand eine Idee was da los sein könnte? Eine kurze Google-Recherche brachte mich nicht weiter.
Der KmK
EDIT: Das geht scheinbar schon seit Juli so :|
EDIT2: Wurde schon einmal gefragt: http://www.forum-3dcenter.org/vbulletin/showthread.php?t=493501 - also doch harmlos?
FeuerHoden
2010-10-15, 21:33:14
Hab ich bei mir auf XP genau so nur mit anderen IDs.
Anhand der Zeiten kombiniere ich in meinem Fall dass sich diese Meldung auf das starten einer Anwendung bezieht die mit Administratorrechten ausgeführt wird was ja beim Systemuser der Fall ist.
Schau mal im Taskmanager nach ob sich nicht irgendein Windows Dienst permanent startet und beendet. Das kann Windows Update sein, der Indexierungsdienst, uvm.
Hast du einen Antivirus mit Echtzeitüberwachung? Kann sein dass der bei jeder Dateiänderung seinen Guard einschaltet und wieder beendet, kann aber auch sein das irgendein Programm in einer Schleife hängt.
Wenn du dem nachgehen willst ist das Prozedere simpel aber langwierig: Jede Anwendung, jeden Dienst, jedes Gadget, jedes Systemtool abschalten und schauen was passiert.
Klingone mit Klampfe
2010-10-16, 01:17:17
Okay, wenn es wirklich nur dieser "system user" und kein Nutzer von außerhalb ist, kann Win7 sich meinetwegen das Log mit diesem Nonsens vollklatschen. Von k10stat über den Virenscanner (momentan MSE) bis zum SATA-Treiber kann das ja alles mögliche sein, wenn ich das richtig verstehe.
Einherjer
2010-10-16, 08:34:40
Diese Logs kenn ich auch.
Haben bei mir sogar mal soweit geführt das man sich nur mehr als Administrator am Rechner anmelden konnte weil das Ereignisprotokoll voll war von diesem Mist.
Glaube aber nicht dass es sich um etwas bösartiges handelt.
sei laut
2010-10-16, 11:29:56
Okay, wenn es wirklich nur dieser "system user" und kein Nutzer von außerhalb ist, kann Win7 sich meinetwegen das Log mit diesem Nonsens vollklatschen.
In den Ereignissen steht drin, wer sich da anmeldet. Aber diese spezielle Anmeldung ist typisch für den System-Benutzer.
Klingone mit Klampfe
2010-10-16, 12:41:01
Ja, da steht überall mehr oder weniger dasselbe drin:
Neue Anmeldung:
Sicherheits-ID: SYSTEM
Kontoname: SYSTEM
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e7
Anmelde-GUID: {00000000-0000-0000-0000-000000000000}
vBulletin®, Copyright ©2000-2025, Jelsoft Enterprises Ltd.