Ele tinha o novo perfil de usuário típico, o ambiente de trabalho básico do Windows 7 Home Premium, a base de todos os ícones e a barra de tarefas básica. Meus aplicativos em execução permaneceram abertos, inalterados. Achei isso particularmente estranho, cliquei no ícone Iniciar para ver quem estava logado, era 'SISTEMA'. Desconectado, logado como eu novamente, os ícones da área de trabalho / ícones da barra de tarefas reapareceram, mas o plano de fundo permaneceu inalterado da base. Eu sou novato usuário do Windows, então isso vai na minha cabeça. Procurei em torno de 5 horas e cheguei a descobrir que o Event Log gravou isso enquanto eu estava longe da máquina:
@ 16: 59
-Recebido a notificação de logoff do usuário na sessão 1.
então
- Concluída a notificação de logoff do usuário de processamento na sessão 1.
@ 17: 00
-Recebida a notificação de logon do usuário na sessão 2.
-O arquivo de registro C: \ Users \ Lee \ ntuser.dat é carregado em HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000.
-O arquivo de registro C: \ Usuários \ Lee \ AppData \ Local \ Microsoft \ Windows \ UsrClass.dat é carregado em HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000_Classes.
-Terminado o processamento da notificação de logon do usuário na sessão 2.
Eu volto para a máquina e vejo este shenanigan
@ 17: 33
-Recebida a notificação de logoff do usuário na sessão 2.
-Terminado o processamento da notificação de logoff do usuário na sessão 2.
@ 17: 35
-Recebida a notificação de logon do usuário na sessão 1.
-Terminado o processamento da notificação de logon do usuário na sessão 1.
Então eu posso dizer que eu entrei de volta lá, o que é isso sobre 'sessão 1' e 'sessão 2'? Suponho que você use apenas uma sessão em uma única vez por perfil de usuário em execução.
Aqui está o log de eventos para a solicitação de logoff na 'sessão 1':
Sistema
[Nome] Serviço de Perfis Microsoft-Windows-User [Guid] {89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}
ID do evento 3
Versão 0
Nível 4
Tarefa 0
Opcode 0
Palavras-chave 0x4000000000000000
[SystemTime] 2018-05-17T20: 59: 54.370096200Z
EventRecordID 2189
[ActivityID] {038C3C48-F800-0001-C8A2-1BF829E9D301}
[ProcessID] 624 [ThreadID] 2068
Canal Microsoft-Windows-User Profile Service / Operacional
Computador Thyrsus
[UserID] S-1-5-21-1745056268-2610240015-3876832457-1000
EventData
Sessão 1 _
Observação: eu não preformei essa solicitação de logoff.
Em seguida, no minuto seguinte, ele faz o login como 'session 2', mas desta vez com 'SYSTEM' listado como User. Isso parece ser uma operação normal, mas não como uma sessão incrementada, sempre acontece em 'sessão 1', quando eu navego no meu Log de Eventos.
ProcessID parece desligado, geralmente é em torno de 312-420, mas 624? Isso é bastante alto para serviços carregados com prioridade pro windows na inicialização? Agora eu posso ver que o ~ 630 é 'CNG Key Iso' e 'Security Accounts Manager' no meu sistema atualmente, ambos configurados para 'Running'. Como alguém iria investigar mais sobre isso? Devo ter medo de que algo ruim tenha acontecido?
Gracioso obrigado por qualquer ajuda! Isso me assustou.