Странная попытка входа на ПК

Question

У меня довольно странная ситуация.

Несколько дней назад я пришел домой, когда мой компьютер был включен (когда он не должен был включаться). Будучи таким же параноиком, как и я, я попытался выяснить, что привело мой компьютер в действие и почему.

Не будучи незнакомым с ПК, я немедленно предпринял шаги, чтобы убедиться, что он остановится. Одним из шагов, которые я предпринял, было использование средства просмотра событий, чтобы попытаться найти какие-либо подсказки. То, что я заметил, было то, что мой компьютер работал больше, чем я хочу. Со странными «событиями входа в систему» в очень странные времена, когда я либо отсутствовал, либо спал в той же комнате, где находится компьютер (это для меня исключает члена семьи, не уважающего мою конфиденциальность)

Ниже приведен скриншот некоторых из крайних случаев попыток входа в систему, что сделало меня еще более параноидальным.

Шаги, которые я предпринял за это время:- изменить код входа в Windows - запустить проверку на наличие вредоносных программ -> ничего не нашел - запустить полную антивирусную проверку моего nod32 -> ничего не найти - запустить антивирус Касперского -> ничего не нашел - запустить инструмент удаления руткитов Касперского -> найти ничего - проверил powercfg /waketimers, не было - вручную отключил интернет-кабель, когда компьютер не использовался

Кто-нибудь знает, может ли это быть вирус или хакерский вход в мой компьютер, когда я не использую его, или это может быть что-то, что я пропускаю? Что еще более важно, я ищу способы, которыми я могу предотвратить это.

Для справки, я заметил это только, когда мой компьютер был включен в последний раз, когда я выключал его раньше, я не заметил ничего другого, как измененные файлы, попытки входа в систему на любой другой моей учетной записи, у меня есть 2 фактора аутентификации для большинства из них ,

Answer 1

События входа в систему, которые происходят во время вашего отсутствия, не обязательно являются вредоносными

Для системы совершенно нормально испытывать события входа в систему, несмотря на отсутствие вторжения. Вам даже не нужны никакие сторонние программы, установленные для этого; Сама Windows будет генерировать события входа в систему.

Например, Windows поставляется из коробки с различными задачами, запланированными в планировщике задач. Когда выполняется одна из этих задач, она должна запускаться в контексте учетной записи пользователя, даже если это что-то вроде встроенной учетной записи SYSTEM . Это создает событие входа в систему и записывается в журнал событий безопасности с идентификатором 4624.

Как определить нежелательные входы

Если вы подозреваете нежелательное использование вашего компьютера, то вам нужно более внимательно посмотреть на сами события. В частности, вам следует проверить поле « Logon Type котором указано, как была зарегистрирована учетная запись. Возможные типы:

Type / Description
2   Interactive (logon at keyboard and screen of system)
3   Network (i.e. connection to shared folder on this computer from elsewhere on network)
4   Batch (i.e. scheduled task)
5   Service (Service startup)
7   Unlock (i.e. unnattended workstation with password protected screen saver)
8   NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9   NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  This logon type does not seem to show up in any events.  If you want to track users attempting to logon with alternate credentials see 4648.
10  RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11  CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

Типы входа, наиболее подходящие для того, кто получил интерактивный / удаленный доступ: 2, 7, 10 и 11.

При любых подозрительных событиях входа в систему соблюдайте поля « Account Name учетной записи» и « Account Domain как они обычно идентифицируют имя пользователя, вошедшего в систему.

Если ваша система уже была взломана, то могут происходить нежелательные входы в систему. Однако, если такие входы в систему предпринимаются, но не выполняются, их можно проверить, просмотрев идентификатор события 4625 в журнале безопасности, который указывает на предпринятое, но неудачное событие входа. Тип входа в систему и другие поля, описанные выше, также применимы к этим событиям. (Обратите внимание, что ваша система должна быть настроена на запись этих событий до того, как они будут записаны в окне просмотра событий.)

Дополнительная информация

• Идентификатор события журнала безопасности Windows 4624 (учетная запись успешно вошла)
• Идентификатор события журнала безопасности Windows 4625 (учетная запись не смогла войти)