Журнал событий XP SP2, не регистрирующий события
У меня есть проблема, посредством чего терминал, кажется, не регистрирует события правильно и иногда, кажется, имеет проблемы при передаче через сеть.
Терминал был ранее заражен вирусом, который, кажется, 'играл' с групповой политикой по умолчанию в стандартном профиле пользователя. Хотя, внешне, терминал, кажется, работает обычно, у меня все еще есть нытье, чувствуя, что он не вполне вернулся к способу, которым это было. Это было заражено пользователем, включающим Карту с интерфейсом USB, в то время как компания использовала более старую версию программного обеспечения AV... обычно приблизительно одна неделя, прежде чем это было обновлено.
Я настроил Журналы событий, чтобы Перезаписать как требуется и быть 5056 КБ в Максимальном размере. Я также делал попытку:-
- Отключение сервиса журнала событий и перезапуска
- Возобновление файлов EVT в каталоге Windows\system32\config
- Перезапуск обслуживания журнала событий и перезапуска
- Очистка журнала событий в Сервисах MMC
- Сброс Фильтров для Установки по умолчанию в сервисах MMC
- Используя команду EVENTCREATE удаленно из окна CMD на сервере для принуждения события создания события.
У кого-либо есть gotany идеи о том, как продолжить двигаться? Я думаю что возможно обновление папки 'Windows\system32\config\SystemProfile'. Я также думаю о выполнении инструмента, такого как Malwarebytes, но это могло быть немного controvertial, поскольку система должна работать на 'времени работы' максимально долго. Я также задаюсь вопросом, знает ли кто-либо о каких-либо административных средствах Windows, которые позволяют мне управлять опциями регистрации событий или параметрами безопасности по умолчанию так, чтобы я мог вернуть его к своего рода стандарту.
То, чего я стараюсь избегать, является переобработкой изображений complte терминала. Хотя это - опция, я действительно не хочу должным быть брать ее, если я не должен.
Большое спасибо заранее за любые предложения любой может обеспечивать.
1 ответ
Во-первых, Вы могли бы найти лучшую поддержку на ServerFault, поскольку вход обычно в большей степени используется на серверах, несмотря на конкретную рассматриваемую систему, являющуюся клиентом.
Во-вторых, Вы никогда не можете быть действительно уверены, что избавились от вируса, если Вы не форматируете систему и переустанавливаете/повторно отображаете ее. Если Вы знаете точный вирус и знаете наверняка, что каждый файл был удален, и каждое изменение обращено, то я предполагаю, что Вы могли быть довольно уверены, что это пошло; я предполагаю, что Вы не на 100% уверены в этом случае начиная с Вас, мы не знаем, смешивает ли этот вирус с системным входом и/или что изменяется, он делает.