Tentativa de login estranha no pc

Navegue suas respostas
0

Eu tenho uma situação bem estranha.

Alguns dias atrás eu estava em casa quando meu computador estava ligado (quando não deveria, eu não o ligava) Sendo tão paranóico quanto eu, tentei descobrir o que estava ligado no meu pc e por quê.

Não estando familiarizado com o PC, eu imediatamente tomei providências para garantir que ele parasse. Um dos passos que tomei foi usar o visualizador de eventos para tentar encontrar alguma pista. O que eu notei foi o meu pc parecia estar em mais do que eu quero. Com estranhos 'eventos de logon' em momentos muito estranhos, quando eu estava longe ou dormindo no mesmo quarto onde o pc está (isso para mim exclui um membro da família que não respeita minha privacidade)

Abaixo estão as imagens de alguns dos casos extremos do que parecem ser tentativas de logon, o que me deixou ainda mais paranóico.

Passos que tomei entretanto: - alterar meu código de login do windows - correu malwarebytes digitalizar - > nada encontrado - correu meu antivírus nod32 varredura completa do sistema - > nada encontrado - correu antivírus Kaspersky - > nada encontrado - correu Kaspersky rootkit ferramenta de remoção - > nada encontrado - verificado powercfg / waketimers, não houve nenhum - cabo de internet desconectado manualmente quando o computador não estava em uso

Alguém sabe se isso pode ser um vírus ou um hacker entrar no meu pc quando eu não estou usando, ou poderia ser algo que eu estou com vista? Mais importante, estou procurando maneiras de evitar isso.

Para o registro, eu só notei isso quando meu pc estava na última vez quando eu desliguei antes, eu não notei nada como arquivos alterados, tentativas de login em qualquer outra conta, eu tenho 2 fator Auth para a maioria deles.

    
por Sp1d3r 31.10.2017 / 18:59

1 resposta

1

Eventos de logon que acontecem enquanto você está ausente não são necessariamente maliciosos

É perfeitamente normal que um sistema experimente eventos de logon, mesmo sem invasões. Você nem precisa de nenhum programa de terceiros instalado para que isso ocorra; O próprio Windows gerará eventos de logon.

Por exemplo, o Windows vem configurado com várias tarefas agendadas no Agendador de Tarefas. Quando uma dessas tarefas é executada, ela deve ser iniciada no contexto de uma conta de usuário, mesmo que seja algo como a conta SYSTEM incorporada. Isso gera um evento de logon e é registrado no log de eventos de segurança com a identificação de evento 4624.

Como identificar logons indesejados

Se você suspeitar de uso indesejado de seu computador, precisará examinar mais de perto os eventos em si. Especificamente, você deve inspecionar o campo Logon Type que distingue como a conta foi conectada. Os tipos possíveis são: 

Type / Description
2   Interactive (logon at keyboard and screen of system)
3   Network (i.e. connection to shared folder on this computer from elsewhere on network)
4   Batch (i.e. scheduled task)
5   Service (Service startup)
7   Unlock (i.e. unnattended workstation with password protected screen saver)
8   NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information.
9   NewCredentials such as with RunAs or mapping a network drive with alternate credentials.  This logon type does not seem to show up in any events.  If you want to track users attempting to logon with alternate credentials see 4648.
10  RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance)
11  CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

Os tipos de login mais sugestivos de alguém que ganhou acesso interativo / remoto são 2 , 7 , 10 e 11 .

Para qualquer evento de logon suspeito, observe os campos Account Name e Account Domain , pois geralmente eles identificam o nome do usuário que efetuou login.

Se o seu sistema já tiver sido comprometido, poderão ocorrer logons indesejados. No entanto, se esses logons estiverem sendo tentados, mas estiverem em falha, eles poderão ser inspecionados revisando o ID de evento 4625 no log de segurança, que indica um evento de logon com tentativa, mas com falha . O tipo de logon e outros campos discutidos acima também se aplicam a esses eventos. (Observe que seu sistema deve ser configurado para registrar esses eventos antes que eles sejam capturados no Visualizador de Eventos).

Mais informações

por 01.11.2017 / 04:31

Tags

Fórmula Sumif com múltiplos critérios produzindo erro O ffmpeg pode ler a entrada de um arquivo de texto?