Разное

Vancouver · Конфигурация компьютера

Цитата sshole:

Что это может быть? »

http://technet.microsoft.com/en-us/l...24(WS.10).aspx

Цитата sshole:

Недавно лампочка HDD начала постоянно гореть »

Сделайте проверку диска на ошибки. Проверка и диагностика жесткого диска

Petya V4sechkin · Конфигурация компьютера

Цитата sshole:

В логе безопасности в то время когда система висит

Правой кнопкой мыши -> Копировать -> Копировать сведения как текст -> выложите.
Также смотрите в других разделах: Приложение и Система.

"Вход в систему" в вашем случае может означать запуск задачи планировщиком - смотрите в Пуск -> Панель управления -> Администрирование -> Планировщик заданий.

sshole · Отправлено: **14:18, 26-03-2013** | #4

Спасибо за ответы!
Собственно, вот подробнее как текст
4624:

Цитата:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 26.03.2013 4:28:44
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: mypc-PC
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: система
Имя учетной записи: MYPC-PC$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7

Тип входа: 5

Новый вход:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x1d0
Имя процесса: C:\Windows\System32\services.exe

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: -
Порт источника: -

Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: -
Имя пакета (только NTLM): -
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-03-26T00:28:44.737496400Z" />
<EventRecordID>1120</EventRecordID>
<Correlation />
<Execution ProcessID="488" ThreadID="524" />
<Channel>Security</Channel>
<Computer>mypc-PC</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">MYPC-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">система</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="TargetLogonId">0x3e7</Data>
<Data Name="LogonType">5</Data>
<Data Name="LogonProcessName">Advapi </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">
</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x1d0</Data>
<Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>

4672:

Цитата:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 26.03.2013 4:28:44
Код события: 4672
Категория задачи:Специальный вход
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: mypc-PC
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: система
Имя учетной записи: система
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2013-03-26T00:28:44.737496400Z" />
<EventRecordID>1121</EventRecordID>
<Correlation />
<Execution ProcessID="488" ThreadID="524" />
<Channel>Security</Channel>
<Computer>mypc-PC</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">система</Data>
<Data Name="SubjectDomainName">NT AUTHORITY</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege</Data>
</EventData>
</Event>

В приложениях и системе ничего странного нет, кроме, может быть, кучи вот таких записей в системе:

и точно такая же, но "Работает".

Цитата Vancouver:

Сделайте проверку диска на ошибки. Проверка и диагностика жесткого диска »

Ну я уже проверял, ничего не нашло

Цитата Vancouver:

http://technet.microsoft.com/en-us/l...24(WS.10).aspx »

Тут написано, что я должен что-то настроить, чтобы эвенты сгенерировались, но я ничего не настраивал.

Petya V4sechkin · Конфигурация компьютера

Цитата sshole:

Ну я уже проверял, ничего не нашло

Делали тест поверхности? Ставили оба флажка: "Автоматически исправлять системные ошибки" и "Проверять и восстанавливать поврежденные сектора"?

Цитата sshole:

Тип входа: 5

Это и есть запуск службы (в вашем случае "Браузер компьютеров").
Как дела с вирусами обстоят? Сделайте полную проверку в безопасном режиме с помощью:

Цитата sshole:

лампочка HDD начала постоянно гореть и в это время все программы дико тормозят

При этом сколько свободной/доступной памяти в "Диспетчере задач"?

Наблюдается ли проблема в безопасном режиме?
Если нет, выполните инструкции
Как определить, является проблема системной или вызвана сторонним приложением/службой

sshole · Отправлено: **04:24, 28-03-2013** | #6

Не похоже, что в безопасном режиме эта проблема проявляется. Также Cureit не выявил никаких проблем.
Отключу сторонные службы, посмотрю на реакцию

SkyNezu · Отправлено: **07:19, 21-04-2015** | #7

Такая же ситуация.

Домен, событие 4672 возникает периодически, с учетной записи человека, который вообще не должен мелькать в логах. Бывает так, что и не только его учетка мелькает, но и другого человека.
Я понимаю, что это значит сеанс входа. Но как он входит? И получается ли у него войти? И что это может значить?

Есть ли утилита, которая могла бы мониторить подобные входы и выводить сообщения оперативно на экран?