Сегодня я открыл TCPView, чтобы посмотреть, что вызывает большую активность исходящей сети, и смог определить только svchost.exe на порту 3389 (который, как я понимаю, является портом, используемым удаленным рабочим столом).
Я закончил процесс почти сразу.
Я искал IP-адрес, к которому он был подключен, и обнаружил, что он происходит в Южной Корее.
Я только что обнаружил в средстве просмотра событий Windows в разделе «Журнал приложений и служб> Microsoft> Windows> TerminalServices-RemoteConnectionManager» почти 2000 событий, которые читаются примерно так:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
Это продолжается для таких пользователей, как sales3, secret3, shop3 - все успешно.
Я хотел знать, так как кажется, что моя система была взломана; Для меня вообще возможно отследить любую деятельность, такую как доступ к файлу / изменение.
И может ли кто-нибудь посоветовать, как лучше поступить, чтобы предотвратить это в будущем?
Выбил меня из моего праздничного духа