[XP] Event Viewer (Audit) vraag over onbekende user*

Had laatst een aantal van die Windows XP tweaking tutorials doorgelopen en nogal wat dingen veranderd aan het systeem en werkelijkwaar TOP TOP TOP. Systeem loopt DUIDELIJK merkbaar sneller.

Maar daar gaat het nou ff niet om.
Ik zat wat in dat Computer Management (Administrative Tools) te neuzen en zag toen de sectie Event Viewer.

Was ik voor de gein aan het bekijken, zie ik opeens wat dingen die ik niet kan plaatsen.

waaronder deze 2:
----------------eerste------------------------
Source: Security
Category: Logon/Logoff
Type: Succes A
EventID: 528
User: S-1-5-21-1644491937-746137067-1801674531-1011

Successful Logon:
User Name: AcrSch2Svc
Domain: IPENTIUM4
Logon ID: (0x0,0xE5F6F)
Logon Type: 2
Logon Process: Advapi
Authentication Package: Negotiate
Workstation Name: IPENTIUM4
Logon GUID: {00000000-0000-0000-0000-000000000000}
--------------------------------------------------

----------------tweede-------------------------
Source: Security
Category: Privilege Use
Type: Succes A
EventID: 576
User: S-1-5-21-1644491937-746137067-1801674531-1011

Special privileges assigned to new logon:
User Name:
Domain:
Logon ID: (0x0,0xE5F6F)
Privileges: SeChangeNotifyPrivilege
----------------------------------------------------

Ik ken die hele user niet. Staat ook niet onder USERS in Computer Management.

Is dit iets interns van windows ofzo? Of is de boel toch nog zo lek als een mandje?


Vreemd vind ik ook dat de "audits" 15-11-04 om 19:53 ophouden (geen nieuwere items), alhoewel ik computer toch elke dag gebruik. Of heeft dit te maken met het feit dat ik geen ingrijpende systeemveranderingen heb gedaan sinds dien?

[ Voor 8% gewijzigd door Verwijderd op 18-11-2004 10:45 ]

pfoeh...net gegoogled, maar dit is echt abacadabra voor me. Kan iemand me een beetje op weg helpen?

niemand die me op weg kan helpen hiermee?

King_Louie schreef op zaterdag 20 november 2004 @ 23:39:
Een SID is een uniek nummer dat gekoppeld is aan iedere Windows account. Aangezien Windows hier de SIDS niet om kan zetten naar usernames gaat het waarschijnlijk om accounts van een andere PC. Bevinden er zich andere machines in je thuisnetwerk?

Ja, ik heb nog een Xbox via LAN op de PC aangesloten en een 2e PC die als client via WLAN op de Soft AP van PC1 (waar het over ging) connect.

Verder wordt internet ook nog gedeeld met 4 buren. Nogal wat mogelijkheden dus.

Heb totaal geen verstand van die Audits, maar moet zeggen dat ik het zeer verdachte "logs" vindt.
Ook al zou het een van m'n andere computers zijn, die gaat toch geen user privilages enzo veranderen neem ik aan?

Is het mogelijk om te achterhalen van welke computer dat SID kwam?

King_Louie schreef op zondag 21 november 2004 @ 00:53:
[...]

In die eerste audit entry staat "Workstation Name: IPENTIUM4", misschien dat jou dat wat zegt?

IPENTIUM4 is inderdaad de desbetreffende PC. De audits waren ongeveer 2 minuten na elkaar.

In totaal komt die vreemde user zo'n 10 keer voor in een lijst van zo'n tja, wat zal het zijn....100 tot 150 audits?

Het betreft telkens (onder description):
Succesful Logon
Special Privileges assigned to new logon (deze vind ik zo eng)
Logon/Logoff - User Logoff

Ze komen ook telkens in setjes van deze 3 descriptions voor, waarbij de laatste varierend 2 tot 10 minuten later dan de eerste is.

Slechts de eerste keer dat zo'n audit voorkomt in de Event Viewer kan ik de "User Logoff" die bij de andere setjes zo'n 2 tot 10 minuten na de eerst is niet vinden.

Ik heb gekeken of ik me niet handelingen kan herinneren rond de tijdstippen dat ze voorkomen, maar helaas schiet m'n geheugen me te kort.

Is er niet een manier om te kijken waar deze SID vandaan komt? Zoiets als net view of zoiets dergelijks?

[Jules] schreef op zondag 21 november 2004 @ 15:39:
[...]


[google=AcrSch2Svc]

Acronis True Image scheduler?

Wellicht zegt dat wat...

dat zegt inderdaad wat!

alsnog bedankt voor de hulp allemaal!