Bilgisayarım kilidini açtı mı?

8

Dün gece bilgisayarımı kilitlemek için öğleden sonra uyandım, ancak önceki gece kilitlemeyi hatırlamama rağmen, o zamandan beri kullanmıyordum. Güvenlik günlüğünü kontrol ettim ve 11: 16'dan itibaren bir "oturum açma" etkinliği gördüm. Tek şey, o zaman uyudum ve bilgisayarıma erişimi olan başka hiç kimse şifremi bilmiyor. Sadece güvende olmak için virüs taraması yapıyorum, ama şu ana kadar hiçbir şey bulamadı. Ne olmuş olabilir?

Olay günlüğü girişinin metni aşağıdadır.

Bu arada, kontrol ettim ve orada olduğunu dün gece bilgisayarımı kilitleme hatırladı zaman etrafında bir "kapatma" olayı.

Günlük girişi:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/29/2014 11:16:10 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FLARNDT
Description:
An account was successfully logged on.

Subject:
        Security ID:            SYSTEM
        Account Name:           FLARNDT$
        Account Domain:         WORKGROUP
        Logon ID:               0x3E7

Logon Type:                     5

Impersonation Level:            Impersonation

New Logon:
        Security ID:            SYSTEM
        Account Name:           SYSTEM
        Account Domain:         NT AUTHORITY
        Logon ID:               0x3E7
        Logon GUID:             {00000000-0000-0000-0000-000000000000}

Process Information:
        Process ID:             0x188
        Process Name:           C:\Windows\System32\services.exe

Network Information:
        Workstation Name:      
        Source Network Address: -
        Source Port:            -

Detailed Authentication Information:
        Logon Process:          Advapi  
        Authentication Package: Negotiate
        Transited Services:     -
        Package Name (NTLM only):       -
        Key Length:             0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The impersonation level field indicates the extent to which a process in the logon session can impersonate.

The authentication information fields provide detailed information about this specific logon request.
        - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4624</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2014-01-29T16:16:10.375881200Z" />
    <EventRecordID>96945</EventRecordID>
    <Correlation />
    <Execution ProcessID="380" ThreadID="8756" />
    <Channel>Security</Channel>
    <Computer>FLARNDT</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">FLARNDT$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-18</Data>
    <Data Name="TargetUserName">SYSTEM</Data>
    <Data Name="TargetDomainName">NT AUTHORITY</Data>
    <Data Name="TargetLogonId">0x3e7</Data>
    <Data Name="LogonType">5</Data>
    <Data Name="LogonProcessName">Advapi  </Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x188</Data>
    <Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
  </EventData>
</Event>
windows-8  security  event-log 
flarn2006
kaynak
Bilgisayarınızda erişilebilir tek bir hesap var mı?
Rudolph 18
Burada çok fazla araştırma olmadan 'services.exe' günlüklerinde birkaç kez açılır gibi görünüyor. Bunu ararken buldum: bleepingcomputer.com/startups/services.exe-11447.html bu bir virüs veya benzeri bir şey olduğuna inanmamı sağlıyor.
Callen L
4
@CallenL Bu aptalca
DanteTheEgregore
2
"Logon Type 5" = Hizmet. (SYSTEM olarak) giriş yapan bir hizmetti. Bu (muhtemelen) iyi huylu ve kesinlikle masaüstünüze giriş yapmaz, bu yüzden ne yaptığını değil. Aslında önceki gece "oturumu kapattınız" mı, yoksa dediğiniz gibi "kilitlediniz mi"?
Ƭᴇcʜιᴇ007
1
Ayrıca, services.exekaçırılmadığı ve değiştirilmediği (bu günlerde yapılması oldukça zor olan) sürece C:\Windows\System32\services.exe, işletim sistemi tarafından istenen geçerli ve tamamen normal bir Windows yardımcı programıdır.
Ƭᴇcʜιᴇ007

Yanıtlar:

5

Çalışan bir programın (bir virüs gibi, Windows güvenlik yığınını ciddi şekilde tehlikeye atmadığı sürece) çalışan bir programın kilidini açmak için programlı bir yöntem bilmiyorum. Klavyedeki bir başkası dışında, bazen virüsle birlikte gelen tuş vuruşlarını gönderebilecek bir uzaktan kumanda yazılımı olasılığını bırakır. Bu senaryoda bile, saldırganın şifrenizi bilmesi gerekir.

4800 (kilit) ve 4801 (kilit açma) olay kimliğiyle "Güvenlik Denetimi" tarafından sağlanan olayları özellikle inceleyin. Bunlar, oturumunuzun gerçek kilitlenmesi ve kilidinin açılmasıyla doğrudan ilişkili olacaktır ... Diğer oturum açma / kapatma olayları, genellikle beklemeyeceğiniz şeyler için arka planda oluşturulur.

BowlesCR
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.