Author Topic: Sec Event log ID 577 SeTcbPrivilege SeRestorePrivilege Error with Avast 7.0.1456  (Read 3058 times)

0 Members and 1 Guest are viewing this topic.

Offline czcooper

  • Newbie
  • *
  • Posts: 2
Hi i have problem with new Avast 7.0.1456 on my WinXP SP3...

We have security policy respect Microsoft High Security and we are auditing many things.

Now in Windows Security Audit we have about ten messages with ID 577 for permision SeTcbPrivilege and SeRestorePrivilege = Act as part of the operating system and Restore files and directories

Settings for this privilege are "default":
Act as part of the operating system - blank
Restore files and directories - Administrators and Backup Operators

With Avast 6.x was everithing OK, but now the 256MB audit is full in ten days.

What is wrong?

Offline igor

  • Avast team
  • Serious Graphoman
  • *
  • Posts: 11660
    • AVAST Software
I admit I don't know what exactly the audit records/reports, but avast! certainly does acquire the Restore privilege, and always did (the code is actually inside of virus definitions, so unrelated to program version).
What process is that related to?

Offline czcooper

  • Newbie
  • *
  • Posts: 2
I have two types of evenst in security log. There are about twenty events per every minute. If i uninstall avast 7, everything is OK.
 
Quote from: Windows Security Event Log
Typ události:   Auditovat neúspěšné provedení operací
Zdroj události:   Security
Kategorie události:   Oprávněné použití
ID události:   577
Datum:      9.8.2012
Čas:      7:43:20
Uživatel:      W000\admin
Počítač:   W000
Popis:
Volání privilegované služby:
    Server:            Security
    Služba:            -
    Jméno primárního uživatele:   admin
    Primární doména:      W000
    ID primárního přihlášení:   (0x0,0xDC04)
    Klientské jméno uživatele:   -
    Doména klienta:      -
    ID přihlášení klienta:      -
    Oprávnění:         SeRestorePrivilege

Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.
Quote from: Windows Security Event Log

Typ události:   Auditovat neúspěšné provedení operací
Zdroj události:   Security
Kategorie události:   Oprávněné použití
ID události:   577
Datum:      9.8.2012
Čas:      7:43:21
Uživatel:      W000\admin
Počítač:   W000
Popis:
Volání privilegované služby:
    Server:            Security
    Služba:            -
    Jméno primárního uživatele:   admin
    Primární doména:      W000
    ID primárního přihlášení:   (0x0,0xDC04)
    Klientské jméno uživatele:   -
    Doména klienta:      -
    ID přihlášení klienta:      -
    Oprávnění:         SeTcbPrivilege

Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.
 

I think, they have same issue at McAfee - https://kc.mcafee.com/corporate/index?page=content&id=KB67976

Also I have logfiles from Process Monitor: CSV https://www.dropbox.com/s/5mg192nnvnjw15n/Logfile.CSV or PML  https://www.dropbox.com/s/n6hn8uj24b08kjd/Logfile.PML.
« Last Edit: August 09, 2012, 08:32:16 AM by czcooper »

Offline lukas.hasik

  • Avast team
  • Advanced Poster
  • *
  • Posts: 799
  • Product manager of Mac AV and Cleanup
This will be fixed in next version - you can try the Beta now http://forum.avast.com/index.php?topic=102720.0
Quality is also a feature.