Não conheço nenhuma maneira programática de desbloquear uma estação de trabalho, digamos, de um programa em execução (como um vírus, a menos que isso tenha comprometido seriamente a pilha de segurança do Windows). Diferente de alguém no teclado, isso deixa a possibilidade de software de controle remoto que pode enviar pressionamentos de tecla, que às vezes é incluído com vírus. Mesmo com esse cenário, o invasor ainda precisa saber sua senha.
Procure especificamente eventos originados por "Auditoria de segurança" com a ID de evento 4800 (bloqueio) e 4801 (desbloqueio). Esses serão diretamente correlacionados com o real bloqueio e desbloqueio de sua sessão ... Os outros eventos de logon / logoff são freqüentemente gerados em segundo plano para coisas que você não necessariamente espera.