Автоматический выход из системы, а затем вход в систему как SYSTEM

У него был типичный новый профиль пользователя, фон рабочего стола Windows 7 Home Premium, все значки и базовая панель задач. Мои запущенные приложения оставались открытыми, без изменений. Нашел это особенно странным, щелкнул значок «Пуск», чтобы увидеть, кто вошел в систему, это была «СИСТЕМА». Выйдя из системы, войдя как я снова, значки на рабочем столе / панели задач снова появились, но фон не изменился по сравнению с базой. Я начинающий пользователь Windows, так что это в основном происходит у меня над головой. Покопался в течение 5 часов и пришел, чтобы найти, что в журнале событий записана эта запись, пока я был вдали от машины:

@ 16: 59

-Получено уведомление пользователя о выходе из сеанса 1.

затем

- Закончена обработка уведомления пользователя о выходе из системы в сеансе 1.

@ 17: 00

-Получено уведомление пользователя о входе в сеанс 2.

-Регистрация файла C: \ Users \ Lee \ ntuser.dat загружается в HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000.

-Reistry файл C: \ Users \ Lee \ AppData \ Local \ Microsoft \ Windows \ UsrClass.dat загружается в HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000_Classes.

-Полная обработка пользовательского уведомления о входе в сеанс 2.

Я возвращаюсь к машине и вижу этот шенаниган

@ 17: 33

-Получено уведомление пользователя о выходе из сеанса 2.

- Закончена обработка уведомления пользователя о выходе из системы в сеансе 2.

@ 17: 35

-Получено уведомление пользователя о входе в сеанс 1.

-Полная обработка пользовательского уведомления о входе в сеанс 1.

Таким образом, я могу сказать, что снова вошел в систему, что это за «сессия 1» и «сессия 2»? Я предполагаю, что вы используете только один сеанс за один раз для каждого профиля пользователя.

Вот журнал событий для запроса на выход из сеанса 1:

• система

  • поставщик

  [Имя] Служба профилей пользователей Microsoft-Windows [Guid]

  EventID 3

  Версия 0

  Уровень 4

  Задача 0

  Код операции 0

  Ключевые слова 0x4000000000000000

  • TimeCreated

  [SystemTime] 2018-05-17T20: 59: 54.370096200Z

  EventRecordID 2189

  • корреляция

  [ActivityID]

  • выполнение

  [ProcessID] 624 [ThreadID] 2068

  Канал Microsoft-Windows-Профиль пользователя Сервис / Оперативный

  Компьютер тирс

  • Безопасность

  [UserID] S-1-5-21-1745056268-2610240015-3876832457-1000

• EventData

  Сессия 1 _

Обратите внимание, я не выполнял этот запрос на выход из системы.

Затем в ближайшую минуту он входит в систему как «сессия 2», но на этот раз с «СИСТЕМОЙ» в списке «Пользователь». Это кажется нормальной операцией, но не как увеличенный сеанс, это всегда происходит в «сеансе 1», когда я просматриваю свой журнал событий.

Кажется, что ProcessID выключен, обычно это около 312-420, но 624? Достаточно ли высока для Windows приоритетных загруженных служб при запуске? Прямо сейчас я вижу, что ~ 630 - это 'CNG Key Iso' и 'Менеджер учетных записей безопасности' в моей системе в настоящее время, оба из которых установлены на 'Выполняется'. Как можно углубиться в это? Стоит ли бояться, что случилось что-то плохое?

Благодарность за любую помощь! Это напугало меня.