Странная попытка входа на ПК

489
Sp1d3r

У меня довольно странная ситуация.

Несколько дней назад я пришел домой, когда мой компьютер был включен (когда он не должен был включаться). Будучи таким же параноиком, как и я, я попытался выяснить, что привело мой компьютер в действие и почему.

Не будучи незнакомым с ПК, я немедленно предпринял шаги, чтобы убедиться, что он остановится. Одним из шагов, которые я предпринял, было использование средства просмотра событий, чтобы попытаться найти какие-либо подсказки. То, что я заметил, было то, что мой компьютер работал больше, чем я хочу. Со странными «событиями входа в систему» ​​в очень странные времена, когда я либо отсутствовал, либо спал в той же комнате, где находится компьютер (это для меня исключает члена семьи, не уважающего мою конфиденциальность)

Ниже приведен скриншот некоторых из крайних случаев попыток входа в систему, что сделало меня еще более параноидальным.

Шаги, которые я предпринял за это время: - изменить код входа в Windows - запустить проверку на наличие вредоносных программ -> ничего не нашел - запустить полную антивирусную проверку моего nod32 -> ничего не найти - запустить антивирус Касперского -> ничего не нашел - запустить инструмент удаления руткитов Касперского -> найти ничего - проверил powercfg / waketimers, не было - вручную отключил интернет-кабель, когда компьютер не использовался

Кто-нибудь знает, может ли это быть вирус или хакерский вход в мой компьютер, когда я не использую его, или это может быть что-то, что я пропускаю? Что еще более важно, я ищу способы, которыми я могу предотвратить это.

Для справки, я заметил это только, когда мой компьютер был включен в последний раз, когда я выключал его раньше, я не заметил ничего другого, как измененные файлы, попытки входа в систему на любой другой моей учетной записи, у меня есть 2 фактора аутентификации для большинства из них,

enter image description here

0
«Кто-нибудь знает, может ли это быть вирус или хакерский вход в мой компьютер, когда я им не пользуюсь, или это может быть что-то, что я пропускаю?» - Это не хакер и не вирус. Что-то, что вы установили или настроили в своей системе, пробуждает это в 1900 году или около этого. «Более важно, я ищу способы, как я могу предотвратить это». - Вы должны были бы определить аппаратное / программное обеспечение, которое пробуждает ваш компьютер. Ramhound 6 лет назад 0
Спасибо за ваш комментарий. Размещенный скриншот - это всего лишь пример кластера, также есть другие события в совершенно другое время (действительно рано утром, поздно ночью). Что касается пробуждения аппаратного и программного обеспечения, я не менял аппаратное обеспечение или его настройки в течение 2-3 лет, и я не помню ни одной недавно установленной программы, которая бы имела такую ​​настройку. Может ли аппаратное или программное обеспечение разбудить компьютер после полного выключения? Кроме того, знаете ли вы, помимо / waketimers или средства просмотра событий, способ проверить, какой программой это может быть? Sp1d3r 6 лет назад 0
Я посмотрел на них, и без деталей каждого события скриншоты действительно не помогают. Я не говорю, что нам нужны детали для сотен событий, которые происходят. Но события, которые вы просматривали, не определили бы, что происходит в любом случае. Ramhound 6 лет назад 0
Скорее всего, что-то в вашей системе пытается поддерживать себя. Однако, если вы подозреваете кого-то, кто активно использует ваш компьютер, вы всегда можете установить что-нибудь, чтобы получать периодические снимки экрана. Одним из примеров является www.timesnapper.com, который имеет бесплатную версию своего программного обеспечения (называемую «классической»), которая является довольно легкой и простой в настройке. techturtle 6 лет назад 0
Благодаря techturtle, я с тех пор установил программное обеспечение, которое вы упомянули, просто чтобы исключить этот сценарий. Я сообщу через пару дней, если будут какие-нибудь новости. Я продолжу искать программу или настройку, которая может быть виновником, но я мог бы просто переустановить окна, просто чтобы все очистить. Sp1d3r 6 лет назад 0

1 ответ на вопрос

1
Twisty Impersonator

События входа в систему, которые происходят во время вашего отсутствия, не обязательно являются вредоносными

Для системы совершенно нормально испытывать события входа в систему, несмотря на отсутствие вторжения. Вам даже не нужны никакие сторонние программы, установленные для этого; Сама Windows будет генерировать события входа в систему.

Например, Windows поставляется из коробки с различными задачами, запланированными в планировщике задач. Когда выполняется одна из этих задач, она должна запускаться в контексте учетной записи пользователя, даже если это что-то вроде встроенной SYSTEMучетной записи. Это создает событие входа в систему и записывается в журнал событий безопасности с идентификатором 4624.

Как определить нежелательные входы

Если вы подозреваете нежелательное использование вашего компьютера, то вам нужно более внимательно посмотреть на сами события. В частности, вы должны проверить Logon Typeполе, которое отличает, как вошел в учетную запись. Возможные типы:

Type / Description 2 Interactive (logon at keyboard and screen of system) 3 Network (i.e. connection to shared folder on this computer from elsewhere on network) 4 Batch (i.e. scheduled task) 5 Service (Service startup) 7 Unlock (i.e. unnattended workstation with password protected screen saver) 8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information. 9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648. 10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) 11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

Типы входа, наиболее подходящие для того, кто получил интерактивный / удаленный доступ: 2, 7, 10 и 11 .

Для любых подозрительных событий входа в систему, наблюдать Account Nameи Account Domainполя, как они, как правило, определить имя пользователя, вошедшего в систему .

Если ваша система уже была взломана, то могут происходить нежелательные входы в систему. Однако, если такие входы в систему предпринимаются, но не выполняются, их можно проверить, просмотрев идентификатор события 4625 в журнале безопасности, который указывает на предпринятое, но неудачное событие входа . Тип входа в систему и другие поля, описанные выше, также применимы к этим событиям. (Обратите внимание, что ваша система должна быть настроена на запись этих событий до того, как они будут записаны в окне просмотра событий.)

Дополнительная информация

Похожие вопросы