[win2k3] Corrupt eventlog

Hallo,

Ik heb een groot probleem. Er was ingebroken op onze server doormiddel van remote desktop, de gebruiker had de administrator wachtwoord kennelijk. Ik was de eventlog aan het spitten en ik kwam volop bewijs tegen wie degenen was en wat hij allemaal had gedaan. Ik wou net een backup maken van de sytem event log maar op het zelfde moment had de inbreker ook toegang via remote desktop en die had zicht op mijn sessie. Hij zag dat ik bezig was met de eventlog, toen heeft hij voor mijn neus de hele lijst gewist. Ik had zijn verbinding verbroken en de admin passwoord veranderd. Maar de eventlog is nou leeg!! en geen bewijsmateriaal. Ik heb doormiddel van getbackdata aantal bestanden gevonden.

De eventlog files staan in c:\windows\System32\config

Daarstaan meerdere bestanden, alleen als ik de oude eventlog wilt inlezen in eventviewer krijg ik de melding dat de eventlog corrupt is! Ik heb op google dingen gezocht maar kon niets vinden helaas. Dit is zeer belangerijk voor ons. Heeft iemand een tool of kent iemand een tool om deze bestanden toch leesbaar te maken?

Bedankt.

Weezer-DC schreef op 08 juni 2004 @ 21:29:
Kan je die files niet lezen met notepad ofzo ?
Al eens geprobeerd om de huidge files te overschrijven met de oude met de "goede" data erin ?

Heb ik allemaal geprobeerd maar lukt niet helaas. Notepad laat alleen maar binary data zien. Er zijn behalve de system.Evt files een system.sav en alleen system. De bestand system is best groot, ik weet niet wat daar in zit allemaal, alleen hij is niet te openen omdat het in gebruik is. Ik had de eventlog service uitgezet maar tochj blijft system bestand ontoegankelijk.

[ Voor 31% gewijzigd door Shift op 09-06-2004 00:47 ]

Verwijderd schreef op 09 juni 2004 @ 00:47:
voortaan administrator account ook hernoemen en deze uitsluiten van remote desktop connecties is ook handig voor in de toekomst

Dat is allang gedaan, maar probleem blijf natuurlijk