Seltsamer Anmeldeversuch am PC

671
Sp1d3r

Ich habe eine seltsame Situation.

Vor ein paar Tagen bin ich nach Hause gekommen, um meinen Computer anzuschalten (wenn er nicht eingeschaltet sein sollte, habe ich ihn nicht eingeschaltet). So paranoid wie ich bin, habe ich versucht herauszufinden, was meinen PC angeschaltet hat und warum.

Da ich mit PCs nicht vertraut war, unternahm ich sofort Schritte, um sicherzustellen, dass es aufhörte. Einer der Schritte, die ich unternommen habe, war die Verwendung des Event Viewers, um Hinweise zu finden. Was mir auffiel, war, dass mein PC mehr zu haben schien als ich wollte. Mit seltsamen "Anmeldeereignissen" zu sehr merkwürdigen Zeiten, als ich entweder weg war oder in dem selben Raum schlief, in dem sich der PC befindet (dies schließt für mich ein Familienmitglied aus, das meine Privatsphäre nicht respektiert).

Unten sehen Sie einen Screenshot einiger extremer Fälle von scheinbaren Anmeldeversuchen, was mich noch mehr paranoid machte.

Schritte, die ich in der Zwischenzeit unternommen habe: - Windows-Anmeldecode ändern - Malwarebytes-Scan ausführen -> Nichts gefunden - Nod32-Antivirus-Vollsystem-Scan ausführen -> Nichts gefunden - Kaspersky Antivirus ausgeführt -> Nichts gefunden - Kaspersky-Rootkit-Entfernungsprogramm -> gefunden nichts - überprüfte powercfg / waketimers, es gab keine - das Internetkabel wurde manuell entfernt, wenn der Computer nicht verwendet wurde

Weiß jemand, ob dies ein Virus oder ein Hacker sein kann, der sich in meinem PC anmeldet, wenn ich ihn nicht benutze, oder könnte es etwas sein, das ich übersehen habe? Noch wichtiger ist, dass ich nach Möglichkeiten suche, dies zu verhindern.

Für das Protokoll habe ich dies erst bemerkt, als mein PC das letzte Mal eingeschaltet war, als ich ihn zuvor ausgeschaltet hatte. Ich habe nichts anderes bemerkt, wie geänderte Dateien, Anmeldeversuche bei einem meiner anderen Konten. Ich habe für die meisten von ihnen 2-Faktor-Auth .

Seltsamer Anmeldeversuch am PC

0
"Weiß jemand, ob es sich um einen Virus oder einen Hacker handelt, der sich an meinem PC anmeldet, wenn ich ihn nicht benutze, oder könnte es etwas sein, das ich übersehen habe?" - Es ist weder ein Hacker noch ein Virus. Etwas, das Sie auf Ihrem System installiert oder konfiguriert haben, weckt es um 1900 auf. "Noch wichtiger: Ich suche nach Möglichkeiten, wie ich das verhindern kann." - Sie müssten die Hardware / Software identifizieren, die Ihren PC aufweckt. Ramhound vor 6 Jahren 0
Danke für deinen Kommentar. Der gepostete Screenshot ist nur ein Beispiel eines Clusters, es gibt auch andere Ereignisse zu völlig unterschiedlichen Zeiten (wirklich am frühen Morgen, spät in der Nacht). Über die Hardware / Software, die das System aufweckt, habe ich in 2-3 Jahren keine Hardware oder Einstellungen geändert, und ich erinnere mich nicht an kürzlich installierte Programme, die eine solche Einstellung enthalten würden. Kann Hardware oder Software den Computer nach einem vollständigen Herunterfahren aufwecken? Kennen Sie neben / waketimers oder dem Ereignis-Viewer auch einen Weg, um zu prüfen, welches Programm es sein könnte? Sp1d3r vor 6 Jahren 0
Ich habe sie mir angesehen und ohne die Details der einzelnen Ereignisse helfen die Screenshots wirklich nicht. Ich sage nicht, dass wir die Details für Hunderte von Ereignissen benötigen, die passieren. Aber die Ereignisse, die Sie betrachteten, hätten ohnehin nicht erkannt, was los war. Ramhound vor 6 Jahren 0
Es ist höchstwahrscheinlich etwas in Ihrem System, das versucht, sich selbst zu erhalten. Wenn Sie jedoch den Verdacht haben, dass jemand Ihren Computer aktiv verwendet, können Sie immer etwas installieren, um regelmäßig Screenshots zu erhalten. Ein Beispiel ist www.timesnapper.com. Hier gibt es eine kostenlose Version ihrer Software ("Classic"), die ziemlich leicht und einfach zu konfigurieren ist. techturtle vor 6 Jahren 0
Dank Techturtle habe ich die von Ihnen erwähnte Software installiert, um dieses Szenario auszuschließen. Ich werde in ein paar Tagen berichten, wenn es Neuigkeiten gibt. Ich werde weiter nach dem Programm oder den Einstellungen suchen, die der Täter sein könnten, aber ich kann Windows einfach neu installieren, um alles zu löschen. Sp1d3r vor 6 Jahren 0

1 Antwort auf die Frage

1
Twisty Impersonator

Anmeldeereignisse, die während Ihrer Abwesenheit auftreten, sind nicht unbedingt bösartig

Es ist völlig normal, dass ein System Anmeldeereignisse erlebt, obwohl keine Eingriffe erfolgen. Dazu benötigen Sie nicht einmal Programme von Drittanbietern. Windows selbst generiert Anmeldeereignisse.

Zum Beispiel wird Windows standardmäßig mit verschiedenen Aufgaben konfiguriert, die im Taskplaner geplant sind. Wenn eine dieser Aufgaben ausgeführt wird, muss sie im Kontext eines Benutzerkontos gestartet werden, auch wenn dies einem eingebauten SYSTEMKonto ähnelt. Dadurch wird ein Anmeldeereignis generiert und im Sicherheitsereignisprotokoll mit der Ereignis-ID 4624 protokolliert.

So identifizieren Sie unerwünschte Anmeldungen

Wenn Sie den Verdacht haben, dass Ihr Computer unerwünscht ist, müssen Sie die Ereignisse selbst genauer betrachten. Insbesondere sollten Sie das überprüfen Logon TypeFeld, das unterscheidet, wie das Konto auf protokolliert wurde. Mögliche Typen sind:

Type / Description 2 Interactive (logon at keyboard and screen of system) 3 Network (i.e. connection to shared folder on this computer from elsewhere on network) 4 Batch (i.e. scheduled task) 5 Service (Service startup) 7 Unlock (i.e. unnattended workstation with password protected screen saver) 8 NetworkCleartext (Logon with credentials sent in the clear text. Most often indicates a logon to IIS with "basic authentication") See this article for more information. 9 NewCredentials such as with RunAs or mapping a network drive with alternate credentials. This logon type does not seem to show up in any events. If you want to track users attempting to logon with alternate credentials see 4648. 10 RemoteInteractive (Terminal Services, Remote Desktop or Remote Assistance) 11 CachedInteractive (logon with cached domain credentials such as when logging on to a laptop when away from the network)

Die Anmeldetypen, die am stärksten darauf hindeuten, dass jemand interaktive / Remote-Zugriffe erhalten hat, sind 2, 7, 10 und 11 .

Beachten Sie bei verdächtigen Anmeldeereignissen die Felder Account Nameund Account Domain, da diese normalerweise den Namen des angemeldeten Benutzers angeben.

Wenn Ihr System bereits gefährdet ist, finden möglicherweise unerwünschte Anmeldungen statt. Wenn jedoch solche Anmeldungen versucht werden, jedoch ein Fehler auftritt, können Sie diese überprüfen, indem Sie die Ereignis-ID 4625 im Sicherheitsprotokoll überprüfen. Dies zeigt an, dass ein versuchter, aber fehlgeschlagener Anmeldungsvorgang stattgefunden hat . Der Anmeldetyp und andere oben diskutierte Felder gelten auch für diese Ereignisse. (Beachten Sie, dass Ihr System so konfiguriert sein muss, dass diese Ereignisse protokolliert werden, bevor sie in der Ereignisanzeige erfasst werden.)

Mehr Informationen

Verwandte Probleme