Hola,

Me gustaria saber si es posible eliminar huellas (visor de sucesos) de que he utilizado el usuario administrador, ya que, veo que el "Administrador de verdad" utiliza un usuario SYSTEM para realizar sus tareas...y yo tengo el usuario local pero se loguea como "Administrador" y llama un poco la atención..

Es posible borrar esto?

Gracias de antemano

No sé... si eres administrador se supone que puedes borrar las cosas del visor de sucesos.

Nost, lo de SYSTEM no te suena de nada?? (por ejemplo de un ciber matando el proceso del DeepFreeze y el de la cuenta atras??)

Bueno, a lo que ibamos:

Metete como system y borralo:

Inicio\ejecutar--> cmd (o command)

ahi escribes
at

Si te sale algo como:
No hay entradas en la lista

Puedes hacerlo

Si te sale algo como:
Acceso denegado

Estas jodido

Vale, nos pondremos en el caso de que te deja acceder:

el comando at es para progamar tareas. Windows tiene un fallo en la seguridad, cuando tu abres una ventana de comandos normalmente se abre desde tu ubicacion de usuario.
Pero si ponemos
at 21:31 /interactive cmd.exe
(pongo 21:31 porque es la hora, +1 minuto. por poner un ejemplo)

te explico un poco:

/interactive: para todos aquellos que vamos al colegio y sabemos ingles esto quiere decir interactivo, es decir, te deja interactuar (valga la redundacia) con la tarea que se va a ejecutar

cmd.exe: es lo que se va a abrir cuando llegue la hora.

Total, que dan las 21:31 y se nos abre una ventana de comandos, pero ahora el prompt no es c:\documents and settings\usuario
ahora es c:\windows\system32

OOOOOH! magia...

Ahora escribimos:


taskkill /im explorer.exe /f
lo que hace esto es "matar" el explorer.exe

Ahora hacemos ctrl+alt+supr y nos vamos a aplicaciones\tarea nueva-->explorer.exe

OOoooh! mas magia...
se nos abre el escritorio de nuevo, pero que paaasaaa que no es el nuestro, nooo... da a inicio y en el nombre de la sesion veras SYSTEM

por decirlo de algun modo ahora eres DIOS

Hala! a borrar huellas, aunque antes puedes borrar alguna otra cosa que a ti te apetezca;)

Un saludo

Ante todo gracias por responder.(Nost/RaidMan)

El problema no es obtener una escalada de privilegios..Ya me logeo con el usuario Administrador, lo que quiero hacer es borrar "determinados" registros que se visualizan en el visor de sucesos y que generan entradas en estos estos archivos:

\system32\config\AppEvent.Evt (Eventos de las aplicaciones)
\System32\config\SecEvent.Evt (Eventos de seguridad, Accesos al sistema, y fallos al intentar acceder al sistema)
\system32\config\SysEvent.Evt (eventos de sistema)

La unica forma que se de meterles mano es, borrando todas las entradas, en ningun caso puedo abrir los archivos y borrar el registro indicado..entre otras cosas porque estos archivos estan siendo utilizados.

Se que me explico mal, pero en teoria es una maniobra sencilla...jejeje y parece que no se puede hacer! es lamentable piuto guindose :_

Gracias

Mua