Automatisch abgemeldet und dann als SYSTEM angemeldet werden

495
Benhart of Jugo

Es hatte das typische neue Benutzerprofil, den Windows 7 Home Premium-Basisdesktop, alle Symbole und die Basis-Taskleiste. Meine laufenden Apps blieben unverändert. Fand dies besonders merkwürdig, klickte auf das Start-Symbol, um zu sehen, wer eingeloggt war. Es war 'SYSTEM'. Abgemeldet, als neuer Benutzer wieder angemeldet, wurden Desktop- / Taskleistensymbole wieder angezeigt, der Hintergrund blieb jedoch unverändert. Ich bin ein Neuling in Windows, also geht das meistens über meinen Kopf. Habe mich fünf Stunden lang ziemlich umgegraben und kam zu dem Ergebnis, dass das Ereignisprotokoll aufgezeichnet wurde, während ich nicht an der Maschine war:

@ 16: 59

-Erwartete Benutzerabmeldung in Sitzung 1.

dann

- Verarbeitung der Abmeldung von Benutzern in Sitzung 1 abgeschlossen.

@ 17: 00

-Erwartete Benachrichtigung der Benutzeranmeldung in Sitzung 2.

-Registry-Datei C: \ Users \ Lee \ ntuser.dat wird unter HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000 geladen.

-Registry-Datei C: \ Users \ Lee \ AppData \ Local \ Microsoft \ Windows \ UsrClass.dat wird unter HKU \ S-1-5-21-1745056268-2610240015-3876832457-1000_Classes geladen.

- Verarbeitung der Benutzeranmeldungsbenachrichtigung in Sitzung 2 abgeschlossen.

Ich komme zurück zur Maschine und sehe diesen Shenanigan

@ 17: 33

-Erwartete Benutzerabmeldung in Sitzung 2.

- Bearbeitung der Benutzerabmeldung bei Sitzung 2 abgeschlossen.

@ 17: 35

-Erwartete Benutzeranmeldungsbenachrichtigung in Sitzung 1.

- Verarbeitung der Benutzeranmeldungsbenachrichtigung in Sitzung 1 abgeschlossen.

Ich kann also sagen, dass ich mich dort wieder gut angemeldet habe. Was ist mit 'Sitzung 1' und 'Sitzung 2'? Ich würde davon ausgehen, dass Sie pro laufendem Benutzerprofil nur eine Sitzung gleichzeitig verwenden.

Hier ist das Ereignisprotokoll für die Abmeldeanforderung für 'Sitzung 1':

  • System

    • Anbieter

    [Name] Microsoft-Windows-Benutzerprofildienst [Guid]

    EventID 3

    Version 0

    Level 4

    Aufgabe 0

    Opcode 0

    Schlüsselwörter 0x4000000000000000

    • TimeCreated

    [SystemTime] 2018-05-17T20: 59: 54.370096200Z

    EventRecordID 2189

    • Korrelation

    [ActivityID]

    • Ausführung

    [ProcessID] 624 [ThreadID] 2068

    Channel Microsoft-Windows-Benutzerprofildienst / Betrieb

    Computer Thyrsus

    • Sicherheit

    [UserID] S-1-5-21-1745056268-2610240015-3876832457-1000

  • EventData

    Session 1 _

Hinweis: Ich habe diese Abmeldeanforderung nicht vorgeformt.

Dann meldet sich die nächste Minute als 'Sitzung 2' an, diesmal jedoch mit 'SYSTEM' als Benutzer. Dies scheint normal zu sein, aber nicht als inkrementierte Sitzung. Dies geschieht immer unter 'Sitzung 1', wenn ich mein Ereignisprotokoll durchblättere.

ProcessID scheint ausgeschaltet zu sein, normalerweise um 312-420, aber 624? Ist das für Windows Pro-Priorität geladene Dienste beim Start ziemlich hoch? Jetzt kann ich sehen, dass ~ 630 auf meinem System derzeit 'CNG Key Iso' und 'Security Accounts Manager' ist, beide auf 'Running' gesetzt. Wie würde man sich näher damit befassen? Muss ich Angst haben, dass etwas Schlimmes passiert ist?

Herzlicher Dank für jede Hilfe! Das hat mich erschreckt.

0

0 Antworten auf die Frage