У него был типичный новый профиль пользователя, фон рабочего стола Windows 7 Home Premium, все значки и базовая панель задач. Мои запущенные приложения оставались открытыми, без изменений. Нашел это особенно странным, щелкнул значок «Пуск», чтобы увидеть, кто вошел в систему, это была «СИСТЕМА». Выйдя из системы, войдя как я снова, значки на рабочем столе / панели задач снова появились, но фон не изменился по сравнению с базой. Я начинающий пользователь Windows, так что это в основном происходит у меня над головой. Покопался в течение 5 часов и пришел, чтобы найти, что в журнале событий записана эта запись, пока я был вдали от машины:
@ 16:59
-Получено уведомление пользователя о выходе из сеанса 1.
затем
- Закончена обработка уведомления пользователя о выходе из системы в сеансе 1.
@ 17:00
-Получено уведомление пользователя о входе в сеанс 2.
-Регистрация файла C:\Users\Lee\ntuser.dat загружается в HKU\S-1-5-21-1745056268-2610240015-3876832457-1000.
-Reistry файл C:\Users\Lee\AppData\Local\Microsoft\Windows\UsrClass.dat загружается в HKU\S-1-5-21-1745056268-2610240015-3876832457-1000_Classes.
-Полная обработка пользовательского уведомления о входе в сеанс 2.
Я возвращаюсь к машине и вижу этот шенаниган
@ 17:33
-Получено уведомление пользователя о выходе из сеанса 2.
- Закончена обработка уведомления пользователя о выходе из системы в сеансе 2.
@ 17:35
-Получено уведомление пользователя о входе в сеанс 1.
-Полная обработка пользовательского уведомления о входе в сеанс 1.
Таким образом, я могу сказать, что снова вошел в систему, что это за «сессия 1» и «сессия 2»? Я предполагаю, что вы используете только один сеанс за один раз для каждого профиля пользователя.
Вот журнал событий для запроса на выход из сеанса 1:
система
- поставщик
[Имя] Служба профилей пользователей Microsoft-Windows [Guid] {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
EventID 3
Версия 0
Уровень 4
Задача 0
Код операции 0
Ключевые слова 0x4000000000000000
- TimeCreated
[SystemTime] 2018-05-17T20:59:54.370096200Z
EventRecordID 2189
- корреляция
[ActivityID] {038C3C48-F800-0001-C8A2-1BF829E9D301}
- выполнение
[ProcessID] 624 [ThreadID] 2068
Канал Microsoft-Windows-Профиль пользователя Сервис / Оперативный
Компьютер тирс
- Безопасность
[UserID] S-1-5-21-1745056268-2610240015-3876832457-1000
EventData
Сессия 1 _
Обратите внимание, я не выполнял этот запрос на выход из системы.
Затем в ближайшую минуту он входит в систему как «сессия 2», но на этот раз с «СИСТЕМОЙ» в списке «Пользователь». Это кажется нормальной операцией, но не как увеличенный сеанс, это всегда происходит в «сеансе 1», когда я просматриваю свой журнал событий.
Кажется, что ProcessID выключен, обычно это около 312-420, но 624? Достаточно ли высока для Windows приоритетных загруженных служб при запуске? Прямо сейчас я вижу, что ~ 630 - это 'CNG Key Iso' и 'Менеджер учетных записей безопасности' в моей системе в настоящее время, оба из которых установлены на 'Выполняется'. Как можно углубиться в это? Стоит ли бояться, что случилось что-то плохое?
Благодарность за любую помощь! Это напугало меня.