wxpuser
16-08-2008, 19:34
Добрый день.
У меня возникла пара вопросов по сюрпризам от Лучшей ОС :)
В логах событий безопасности появились следующие сообщения,
единственные за 6 часов, когда на компьютере был запущен только uTorrent.
Соответственно, хотелось бы знать, почему и зачем explorer (pid 1548) вдруг запускает rundll32
и появляется сообщение об использовании (или получении) привилегий на завершение работы,
учитывая что нигде не предусмотрено автоматическое отключение (перезагрузка и т.д),
в настройках питания может выключаться только монитор.
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 16.08.2008
Time: 7:59:46
User: HOST\user
Computer: HOST
Description:
A new process has been created:
New Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
Creator Process ID: 1548 - explorer.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 577
Date: 16.08.2008
Time: 7:59:47
User: HOST\user
Computer: HOST
Description:
Privileged Service Called:
Server: Security
Service: -
Primary User Name: user
Primary Domain: HOST
Primary Logon ID: (0x0,0x14097)
Client User Name: -
Client Domain: -
Client Logon ID: -
Privileges: SeShutdownPrivilege
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 16.08.2008
Time: 7:59:53
User: HOST\user
Computer: HOST
Description:
A process has exited:
Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
Второй сюрприз - появление следующего файла.
z:\Documents and Settings\user\Local Settings\Application Data\
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
На форумах пишут, что это файл истории Windows Media Player 8 и,
так как изначально в XP была восьмая версия, этот файл остался.
Остается закономерный вопрос, почему этот файл появляется на компьтере с WMP9,
который никогда не запускался, и почему он появляется только спустя некоторое время.
В очередной раз наткнувшись на него, машинально удалил, вместо того,
чтобы посмотреть время создания и посмотреть в логах событий безопасности,
что за процессы запускались в это время.
Переустанавливать всё из-за одного файла, сами понимаете, не практично :)
Может, у кого-то есть соображения на этот счёт?
Система - Win XP SP3
У меня возникла пара вопросов по сюрпризам от Лучшей ОС :)
В логах событий безопасности появились следующие сообщения,
единственные за 6 часов, когда на компьютере был запущен только uTorrent.
Соответственно, хотелось бы знать, почему и зачем explorer (pid 1548) вдруг запускает rundll32
и появляется сообщение об использовании (или получении) привилегий на завершение работы,
учитывая что нигде не предусмотрено автоматическое отключение (перезагрузка и т.д),
в настройках питания может выключаться только монитор.
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 592
Date: 16.08.2008
Time: 7:59:46
User: HOST\user
Computer: HOST
Description:
A new process has been created:
New Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
Creator Process ID: 1548 - explorer.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Privilege Use
Event ID: 577
Date: 16.08.2008
Time: 7:59:47
User: HOST\user
Computer: HOST
Description:
Privileged Service Called:
Server: Security
Service: -
Primary User Name: user
Primary Domain: HOST
Primary Logon ID: (0x0,0x14097)
Client User Name: -
Client Domain: -
Client Logon ID: -
Privileges: SeShutdownPrivilege
-------------
Event Type: Success Audit
Event Source: Security
Event Category: Detailed Tracking
Event ID: 593
Date: 16.08.2008
Time: 7:59:53
User: HOST\user
Computer: HOST
Description:
A process has exited:
Process ID: 580
Image File Name: C:\WINDOWS\system32\rundll32.exe
User Name: user
Domain: HOST
Logon ID: (0x0,0x14097)
Второй сюрприз - появление следующего файла.
z:\Documents and Settings\user\Local Settings\Application Data\
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
На форумах пишут, что это файл истории Windows Media Player 8 и,
так как изначально в XP была восьмая версия, этот файл остался.
Остается закономерный вопрос, почему этот файл появляется на компьтере с WMP9,
который никогда не запускался, и почему он появляется только спустя некоторое время.
В очередной раз наткнувшись на него, машинально удалил, вместо того,
чтобы посмотреть время создания и посмотреть в логах событий безопасности,
что за процессы запускались в это время.
Переустанавливать всё из-за одного файла, сами понимаете, не практично :)
Может, у кого-то есть соображения на этот счёт?
Система - Win XP SP3