A mensagem de erro do evento indica: "Nome de usuário desconhecido ou senha incorreta", confirmando que o usuário não existe ou que o usuário efetuou logon com uma senha incorreta (isso é um pouco genérico, deve haver outros eventos sendo registrado em torno do mesmo tempo que confirmaria que o usuário foi realmente removido).
Este evento simplesmente indica que o usuário remoto está tentando se conectar ao servidor através de uma conexão de rede. O fato de que as conexões são provenientes de portas remotas aleatórias é esperado, isto é, um comportamento normal.
Posso pensar em três razões pelas quais você está percebendo isso:
-
O usuário ainda tem uma sessão aberta em algum lugar da rede, por exemplo através de um servidor de terminal ou similar.
-
Existe um serviço ou uma tarefa agendada associada ao usuário, embora isso geralmente resulte em códigos de erro diferentes de (3).
-
O usuário ainda tem acesso à rede (VPN?) e tem uma unidade em seu laptop ainda mapeada para o seu servidor.
Dado o grande número de eventos que estão sendo gerados, parece improvável que o usuário tenha uma intenção nefasta.
Você tem um endereço IP caso, pelo menos, você saiba de onde o login está vindo? Isso deve esclarecer as coisas também.