[foxbat]

Журнал событий. Лишнее убрал для удобства чтения. Если всё таки так не удобно читать, переделаю в соответсвии синструкциями

Приложение:

11:56:42 ESENT Уведомление Общие 101 Н/Д Worksation_1 wuauclt (476) Ядро базы данных остановлено.
11:56:42 ESENT Уведомление Общие 103 Н/Д Worksation_1 wuaueng.dll (476) SUS20ClientDataStore: Ядро базы данных остановило работу экземпляра (0).
11:52:28 Userenv Ошибка Отсутствует 1085 NT AUTHORITY\SYSTEM Worksation_1 Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.
11:52:28 SceCli Предупреждение Отсутствует 1202 Н/Д Worksation_1 "Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.
11:51:39 ESENT Уведомление Общие 102 Н/Д Worksation_1 wuaueng.dll (476) SUS20ClientDataStore: Ядро базы данных запустило новый экземпляр (0).
11:51:39 ESENT Уведомление Общие 100 Н/Д Worksation_1 wuauclt (476) Ядро базы данных 5.01.2600.2180 запущено.
11:50:54 SecurityCenter Уведомление Отсутствует 1807 Н/Д Worksation_1 Служба центра обеспечения безопасности остановлена. Остановка произведена групповой политикой.
11:50:54 r_server Уведомление (1515) 1 Н/Д Worksation_1 Не найдено описание для события с кодом ( 1 ) в источнике ( r_server ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания, - дополнительные сведения об этом содержатся в справке. В записи события содержится следующая информация:
2008.04.24 11:50 Remote Administrator server is started.


Безопасность

Тип события: Аудит успехов
Источник события: Security
Категория события: Вход/выход
Код события: 540
Дата: 24.04.2008
Время: 11:50:50
Пользователь: NT AUTHORITY\АНОНИМНЫЙ ВХОД
Компьютер: Workstation_1
Описание:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0xF74B)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%



Система

11:56:12 Service Control Manager Ошибка Отсутствует 7023 Н/Д Workstation_1 "Служба ""Обозреватель компьютеров"" завершена из-за ошибки
Возврат из операции произошел из-за превышения времени ожидания. "
11:56:12 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Обозреватель компьютеров"" перешла в состояние Остановлена."
11:53:19 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" перешла в состояние Остановлена."
11:53:13 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба обнаружения SSDP"" перешла в состояние Работает."
11:53:13 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба обнаружения SSDP"" успешно отправила управляющий элемент ""запустить""."
11:53:13 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Сетевые подключения"" перешла в состояние Работает."
11:53:12 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" перешла в состояние Работает."
11:53:12 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Сетевые подключения"" успешно отправила управляющий элемент ""запустить""."
11:53:12 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба COM записи компакт-дисков IMAPI"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Kaspersky Internet Security 7.0"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Диспетчер подключений удаленного доступа"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\LOCAL SERVICE Workstation_1 "Служба ""Диспетчер подключений удаленного доступа"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Телефония"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Службы терминалов"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Службы терминалов"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Уведомление Отсутствует 7036 Н/Д Workstation_1 "Служба ""Служба сетевого расположения (NLA)"" перешла в состояние Работает."
11:52:29 Service Control Manager Уведомление Отсутствует 7035 NT AUTHORITY\SYSTEM Workstation_1 "Служба ""Служба сетевого расположения (NLA)"" успешно отправила управляющий элемент ""запустить""."
11:52:29 Service Control Manager Ошибка Отсутствует 7022 Н/Д Workstation_1 "Служба ""Kaspersky Internet Security 7.0"" зависла при запуске."
11:50:43 EventLog Уведомление Отсутствует 6005 Н/Д Workstation_1 Запущена служба журнала событий.
11:50:43 EventLog Уведомление Отсутствует 6009 Н/Д Workstation_1 Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.
11:49:47 EventLog Уведомление Отсутствует 6006 Н/Д Workstation_1 Служба журнала событий остановлена.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Проверил диск С полностью обновленным каспером, с настройками по максимуму.. ничего не нашёл (кроме бэкдора в РАдмине). Потом проверю ещё рекомендованными средствами.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ошибка ProcessGPOs: DSGetDCName failed with 59, на этот раз не появлялась.
Результат команды nltest

X:\>nltest /DSGETDC:domainname
DC: \\DMNStation
Address: \\192.168.XXX.XXX
Dom Guid: XXXXXXXXXXXXXXX
Dom Name: domainname
Forest Name: domainname.domainname.ru
Dc Site Name: Default-First-Site-Name
Our Site Name: Default-First-Site-Name
Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
The command completed successfully

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++
Результат выполнения команды

X:\>esentutl /p %windir%\security\database\secedit.sdb

Microsoft(R) Windows(TM) Database Utilities
Version 5.1
Copyright (C) Microsoft Corporation. All Rights Reserved.

Initiating REPAIR mode...
Database: C:\WINDOWS\security\database\secedit.sdb
Temp. Database: TEMPREPAIR2572.EDB

Checking database integrity.

Scanning Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
...................................................


Integrity check successful.

Note:
It is recommended that you immediately perform a full backup
of this database. If you restore a backup made before the
repair, the database will be rolled back to the state
it was in at the time of that backup.

Operation completed successfully in 6.359 seconds.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++
Часть файла winlogon.log

Обработать шаблон gpt00000.dom групповой политики.
-------------------------------------------
24 апреля 2008 г. 13:49:31
Вход пользователя с правами администратора.
Синтаксический разбор шаблона C:\WINDOWS\security\templates\policies\gpt00000.dom.
Копирование восстановленных значений в объединенную политику.
----Модуль конфигурации инициализирован успешно.----

----Чтение данных шаблона конфигурации...
Параметры аудита событий отключены.


----Настройка прав пользователя...
Значение отмены для параметра групповой политики <SeSecurityPrivilege> уже существует.
Значение отмены для параметра групповой политики <SeEnableDelegationPrivilege> уже существует.
Настройка S-1-1-0.

Настройка прав пользователя выполнена успешно.


----Настройка разделов реестра...
Настройка users\.default\software.
Настройка machine\software\microsoft\mslicensing.

Настройка разделов реестра выполнена успешно.


----Настройка параметров общей службы...
Настройка Messenger.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии Messenger.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии Messenger.

Ошибка при настройке общей службы.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.


----Настройка политики безопасности...
Запуск обработки значений отмены для параметров 7.
Значение отмены для параметра групповой политики <MinimumPasswordLength> уже существует.
Значение отмены для параметра групповой политики <PasswordHistorySize> уже существует.
Значение отмены для параметра групповой политики <MaximumPasswordAge> уже существует.
Значение отмены для параметра групповой политики <MinimumPasswordAge> уже существует.
Значение отмены для параметра групповой политики <PasswordComplexity> уже существует.
Значение отмены для параметра групповой политики <RequireLogonToChangePassword> уже существует.
Значение отмены для параметра групповой политики <ClearTextPassword> уже существует.
Настройка параметров паролей.
Запуск обработки значений отмены для параметров 3.
Значение отмены для параметра групповой политики <LockoutBadCount> уже существует.
Значение отмены для параметра групповой политики <ResetLockoutCount> уже существует.
Значение отмены для параметра групповой политики <LockoutDuration> уже существует.
Значение отмены для параметра групповой политики <ForceLogoffWhenHourExpire> уже существует.
Настройка принудительного выхода из системы для учетных записей.

Настройка системного доступа выполнена успешно.

Настройка аудита/протоколирования выполнена успешно.
Настройка machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning.
Значение отмены для параметра групповой политики <machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning> уже существует.
Настройка machine\software\microsoft\windows\currentversion\policies\system\disablecad.
Значение отмены для параметра групповой политики <machine\software\microsoft\windows\currentversion\policies\system\disablecad> уже существует.

Настройка значений разделов реестра выполнена успешно.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.
Параметры аудита событий восстановлены.


----Деинициализация модуля настройки...

это последний GPO.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++
Объясните пожалуйста что значит событие в разделе "Безопасность " ?