Добрый день всем.
Win 2008R2 - контроллер домена, при входе в систему не посредственно с консоли выдает:
Количество неудачных интерактивных входов в систему со времени последнего интерактивного входа N.

В журнале безопасности по коду 4625 может быть в разы меньше отказов чем N, но они есть. В 99% это тип входа 3.
Соответственно, в большинстве случаях выдается инфа об источнике и логине, под которым был вход. Машины локальные, но
вот на них нет таких логинов, проверял на вирусы, проверял все автозапуски, проверял все места хранения учетных записей и
хранение сетевых паролей, ничего не могу найти, а журнал безопасности каждый день растет.
Подскажите куда копать? Или может кто знает как в Win 7 посмотреть все существующие или введеные учетные данные.

ev83gen, у тебя сервак одним из LAN в интернете торчит, типа его раздает?

ev83gen, у тебя сервак одним из LAN в интернете торчит, типа его раздает? »
Ни в коем случае, сервак за Mikrotikom, за натом и за Firewall с кучей отрезающийх правил.
Все это идет из локальной сети, от машин, к которым у меня есть абсолютный доступ.
Ну вот пример для полноты картины:
Сервак 192.168.1.1 у него в логах отказ доступа , тип доступа 3. Имя рабочей станции PC-1, IP 192.168.1.3. пользователь admin

Ну я захожу на комп 192.168.1.3. В учетных записях admin - нет, в сохраненных сетевых паролях admin - нет, в автозапуске пусто,
в планировщике заданий ничего нет. Подключение сетевых дисков от admin тоже нет. Вот как его найти, где он прописан?

сервак за Mikrotikom »
Он не взломан? WinBox (обычно все его юзают) очень легко выламывается.
Имя рабочей станции PC-1, IP 192.168.1.3. пользователь admin »
Вот как его найти, где он прописан? »
На компе 192.168.1.3, либо пользователь данного ПК фигней страдает.

в планировщике заданий ничего нет »
Они могут быть скрыты, нужно залогиниться от учетки "Администратор", тогда будут видны все.

Зы. Скриншот логов покажи

Он не взломан? WinBox (обычно все его юзают) очень легко выламывается. »

Не думаю, все обновлено до последней версии и подключение разрешено только с локалки с пару адресов.

На компе 192.168.1.3, либо пользователь данного ПК фигней страдает. »

Это наврядли, контингент не тот.

Они могут быть скрыты, нужно залогиниться от учетки "Администратор", тогда будут видны все. »
Про это вкурсе, просматривал компы под локальными администраторами.

Скрины, сейчас нет возможности, позже выложу.

Про это вкурсе, просматривал компы под локальными администраторами »
автозагрузку в реестре смотрел?

автозагрузку в реестре смотрел? »
тоже просматривал, единственное что не смотрел, так может какая то служба запускается от имени....
Но вот служб много, может какая команда в cmd есть?

может какая команда в cmd есть? »
в реестре поиском "admin"

в реестре поиском "admin" »

Хорошая была идея, но вот учетка реально admin, а в реестре столько ..... где admin встречается.... А если выставить галочку "искать только строку целиком", то ничего не находит.