Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 10 » Разное - Спустя какое-то время ПК сам разлогинивается

Ответить
Настройки темы
Разное - Спустя какое-то время ПК сам разлогинивается

Новый участник


Сообщения: 42
Благодарности: 1


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: St33l
Дата: 28-04-2020
Всем привет.

Замучался от следующей проблемы: спустя какое-то длительное время простоя ПК сам разлогинивается. Для определения момента, когда это происходит (всегда глубокой ночью) сделал bat файл, который каждые 5 минут пишет в текстовый файл текущее время. дальше посмотрел журналы событий, и вот, что нашел.

В журнале "Приложения"
Событие 1.
Код: Выделить весь код
Имя журнала:   Application
Источник:      igfxCUIService2.0.0.0
Дата:          28.04.2020 3:41:11
Код события:   0
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Не удается найти описание для идентификатора события 0 из источника igfxCUIService2.0.0.0. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения: 

 Logoff: Test


Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="igfxCUIService2.0.0.0" />
    <EventID Qualifiers="0">0</EventID>
    <Level>4</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-27T22:41:11.873270900Z" />
    <EventRecordID>152985</EventRecordID>
    <Channel>Application</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data> Logoff: Test
</Data>
  </EventData>
</Event>
Событие 2
Код: Выделить весь код
Имя журнала:   Application
Источник:      igfxCUIService2.0.0.0
Дата:          28.04.2020 3:41:11
Код события:   0
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Не удается найти описание для идентификатора события 0 из источника igfxCUIService2.0.0.0. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.

Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.

К событию были добавлены следующие сведения: 

 Logoff: 1


Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="igfxCUIService2.0.0.0" />
    <EventID Qualifiers="0">0</EventID>
    <Level>4</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-27T22:41:11.876263000Z" />
    <EventRecordID>152986</EventRecordID>
    <Channel>Application</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data> Logoff: 1
</Data>
  </EventData>
</Event>
Событие 3
Код: Выделить весь код
Имя журнала:   Application
Источник:      Microsoft-Windows-Winlogon
Дата:          28.04.2020 3:41:11
Код события:   6000
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <WSearch>.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
    <EventID Qualifiers="32768">6000</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-27T22:41:11.883420200Z" />
    <EventRecordID>152987</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data>WSearch</Data>
    <Binary>D9060000</Binary>
  </EventData>
</Event>
В журнале "Безопасность"
Код: Выделить весь код
Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          28.04.2020 3:41:11
Код события:   4647
Категория задачи:Logoff
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:

Субъект:
	ИД безопасности:		ASC\rusin
	Имя учетной записи:		rusin
	Домен учетной записи:		ASC
	Код входа:		0x8B183

Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются.  Данное событие можно рассматривать как событие выхода.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4647</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12545</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-27T22:41:11.838316700Z" />
    <EventRecordID>556072</EventRecordID>
    <Correlation ActivityID="{291b0690-1c4b-0001-4707-1b294b1cd601}" />
    <Execution ProcessID="1056" ThreadID="13940" />
    <Channel>Security</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
    <Data Name="TargetUserName">rusin</Data>
    <Data Name="TargetDomainName">ASC</Data>
    <Data Name="TargetLogonId">0x8b183</Data>
  </EventData>
</Event>
В журнале "Система"
Код: Выделить весь код
Имя журнала:   System
Источник:      Microsoft-Windows-Winlogon
Дата:          28.04.2020 3:41:11
Код события:   7002
Категория задачи:(1102)
Уровень:       Сведения
Ключевые слова:(35184372088832)
Пользователь:  СИСТЕМА
Компьютер:     DELL-290.asc-ural.ru
Описание:
Уведомление о выходе пользователя для программы улучшения качества ПО
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{dbe9b383-7cf3-4331-91cc-a3cb16a3b538}" />
    <EventID>7002</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1102</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000200000000000</Keywords>
    <TimeCreated SystemTime="2020-04-27T22:41:11.920310000Z" />
    <EventRecordID>76115</EventRecordID>
    <Correlation />
    <Execution ProcessID="1148" ThreadID="1592" />
    <Channel>System</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="TSId">1</Data>
    <Data Name="UserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
  </EventData>
</Event>
Создается впечатление, что драйвер видеокарты делает разлогин системы. Но почему - не понятно. Во время работы за ПК ничего подобного не происходит. Делал скан системы через DISM и SFC. Какую-то ошибку sfc нашел. Судя по логам, к драйверу отношения не имеет. Затем обновил драйвер до последней версии. Тоже никаких результатов. Все обновления Windows установлены.

Конфигурация следующая:
Windows 10 Pro 1909 18363.815
Ноутбук Dell Latitude 5580. Видеокарта встроенная Intel HD 630

Отправлено: 08:10, 28-04-2020

 

(*.*)


Administrator


Сообщения: 36471
Благодарности: 6670

Профиль | Сайт | Отправить PM | Цитировать


Попробуйте отключить службу панели управления Intel в msconfig

-------
Канал Windows 11, etc | Чат @winsiders


Отправлено: 12:16, 28-04-2020 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 42
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата Vadikan:
Попробуйте отключить службу панели управления Intel в msconfig »
Спасибо, что откликнулись! Провел данный эксперимент, отключив службу.
Какого же было мое удивление, обнаружив повторный разлогин! Хотя все сообщения от данной службы пропали.. Разлогин, судя по всему, произошел в 2.13, потому что последняя метка времени была в 2.11. Вот события, которые я нашел в журнале.

Журнал "Приложение"
Код: Выделить весь код
Имя журнала:   Application
Источник:      Microsoft-Windows-Winlogon
Дата:          29.04.2020 2:13:28
Код события:   6000
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <WSearch>.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
    <EventID Qualifiers="32768">6000</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.484169400Z" />
    <EventRecordID>153495</EventRecordID>
    <Correlation />
    <Execution ProcessID="0" ThreadID="0" />
    <Channel>Application</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data>WSearch</Data>
    <Binary>D9060000</Binary>
  </EventData>
</Event>
Журнал "Безопасность"
Код: Выделить весь код
Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4647
Категория задачи:Logoff
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:

Субъект:
	ИД безопасности:		ASC\Rusin
	Имя учетной записи:		rusin
	Домен учетной записи:		ASC
	Код входа:		0xA1758

Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются.  Данное событие можно рассматривать как событие выхода.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4647</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12545</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.453823000Z" />
    <EventRecordID>558452</EventRecordID>
    <Correlation ActivityID="{2afc6937-1d18-0001-d069-fc2a181dd601}" />
    <Execution ProcessID="1036" ThreadID="3308" />
    <Channel>Security</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="TargetUserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
    <Data Name="TargetUserName">rusin</Data>
    <Data Name="TargetDomainName">ASC</Data>
    <Data Name="TargetLogonId">0xa1758</Data>
  </EventData>
</Event>
Журнал "Система"
Код: Выделить весь код
Имя журнала:   System
Источник:      Microsoft-Windows-GroupPolicy
Дата:          29.04.2020 2:13:15
Код события:   1501
Категория задачи:Отсутствует
Уровень:       Сведения
Ключевые слова:
Пользователь:  ASC\Rusin
Компьютер:     DELL-290.asc-ural.ru
Описание:
Параметры групповой политики для этого пользователя обработаны успешно. Не обнаружено изменений со времени последней успешной обработки групповой политики.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-GroupPolicy" Guid="{aea1b4fa-97d1-45f2-a64c-4d69fffd92c9}" />
    <EventID>1501</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>0</Task>
    <Opcode>1</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:15.189604200Z" />
    <EventRecordID>76938</EventRecordID>
    <Correlation ActivityID="{667954fe-f925-4fa6-8a47-6a8e11eaf7b9}" />
    <Execution ProcessID="19676" ThreadID="7156" />
    <Channel>System</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security UserID="S-1-5-21-1374063435-2977678452-1069116982-5136" />
  </System>
  <EventData>
    <Data Name="SupportInfo1">1</Data>
    <Data Name="SupportInfo2">4232</Data>
    <Data Name="ProcessingMode">0</Data>
    <Data Name="ProcessingTimeInMilliseconds">687</Data>
    <Data Name="DCName">\\WS1.asc-ural.ru</Data>
  </EventData>
</Event>
Код: Выделить весь код
Имя журнала:   System
Источник:      Microsoft-Windows-Winlogon
Дата:          29.04.2020 2:13:28
Код события:   7002
Категория задачи:(1102)
Уровень:       Сведения
Ключевые слова:(35184372088832)
Пользователь:  СИСТЕМА
Компьютер:     DELL-290.asc-ural.ru
Описание:
Уведомление о выходе пользователя для программы улучшения качества ПО
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Winlogon" Guid="{dbe9b383-7cf3-4331-91cc-a3cb16a3b538}" />
    <EventID>7002</EventID>
    <Version>0</Version>
    <Level>4</Level>
    <Task>1102</Task>
    <Opcode>0</Opcode>
    <Keywords>0x2000200000000000</Keywords>
    <TimeCreated SystemTime="2020-04-28T21:13:28.524458400Z" />
    <EventRecordID>76939</EventRecordID>
    <Correlation />
    <Execution ProcessID="1128" ThreadID="1556" />
    <Channel>System</Channel>
    <Computer>DELL-290.asc-ural.ru</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData>
    <Data Name="TSId">1</Data>
    <Data Name="UserSid">S-1-5-21-1374063435-2977678452-1069116982-5136</Data>
  </EventData>
</Event>
Вообще журнал "Безопасность" очень странно выглядит в моменты простоя. Постоянно сыпятся сообщения logon и logoff. Вот как все это было перед разлогином:


Код: Выделить весь код
Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   5061
Категория задачи:System Integrity
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Операция шифрования.

Предмет:
	Идентификатор безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	Идентификатор входа в систему:		0x3E7

Криптографические параметры:
	Имя поставщика:	Microsoft Software Key Storage Provider
	Имя алгоритма:	RSA
	Имя ключа:	localhost-fa36cc09-63dd-4b63-8e91-cf7bf032100f
	Тип ключа:	Ключ компьютера.

Операция шифрования:
	Операция:	Открыть ключ.
	Код возврата:	0x0

______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\Гость
	Имя учетной записи:		Гость
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

___________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\Администратор
	Имя учетной записи:		Администратор
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe
	
_______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\WDAGUtilityAccount
	Имя учетной записи:		WDAGUtilityAccount
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\User
	Имя учетной записи:		User
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

_____________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\KlNagSvc
	Имя учетной записи:		KlNagSvc
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4798
Категория задачи:User Account Management
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Перечислено участие пользователя в локальных группах.

Subject:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Пользователь:
	ИД безопасности:		DELL-290\DefaultAccount
	Имя учетной записи:		DefaultAccount
	Домен учетной записи:		DELL-290

Сведения о процессе:
	ИД процесса:		0xb30
	Имя процесса:		C:\Windows\System32\svchost.exe

_________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:28
Код события:   4647
Категория задачи:Logoff
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Выход, запрошенный пользователем:

Субъект:
	ИД безопасности:		ASC\Rusin
	Имя учетной записи:		rusin
	Домен учетной записи:		ASC
	Код входа:		0xA1758

Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются.  Данное событие можно рассматривать как событие выхода.

_________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:27
Код события:   4672
Категория задачи:Special Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x3E7

Привилегии:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege

________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:27
Код события:   4624
Категория задачи:Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Сведения о входе:
	Тип входа:		5
	Ограниченный режим администрирования:	-
	Виртуальная учетная запись:		Нет
	Расширенный маркер:		Да

Уровень олицетворения:		Олицетворение

Новый вход:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	ИД входа:		0x3E7
	Связанный ИД входа:		0x0
	Сетевое имя учетной записи:	-
	Сетевой домен учетной записи:	-
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	ИД процесса:		0x404
	Имя процесса:		C:\Windows\System32\services.exe

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Подробные сведения о проверке подлинности:
	Процесс входа:		Advapi  
	Пакет проверки подлинности:	Negotiate
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
	- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
	- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

_________________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:26
Код события:   4672
Категория задачи:Special Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Новому сеансу входа назначены специальные привилегии.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	Код входа:		0x3E7

Привилегии:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege
______________________________________________________________

Имя журнала:   Security
Источник:      Microsoft-Windows-Security-Auditing
Дата:          29.04.2020 2:13:26
Код события:   4624
Категория задачи:Logon
Уровень:       Сведения
Ключевые слова:Аудит успеха
Пользователь:  Н/Д
Компьютер:     DELL-290.asc-ural.ru
Описание:
Вход в учетную запись выполнен успешно.

Субъект:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		DELL-290$
	Домен учетной записи:		ASC
	ИД входа:		0x3E7

Сведения о входе:
	Тип входа:		5
	Ограниченный режим администрирования:	-
	Виртуальная учетная запись:		Нет
	Расширенный маркер:		Да

Уровень олицетворения:		Олицетворение

Новый вход:
	ИД безопасности:		СИСТЕМА
	Имя учетной записи:		СИСТЕМА
	Домен учетной записи:		NT AUTHORITY
	ИД входа:		0x3E7
	Связанный ИД входа:		0x0
	Сетевое имя учетной записи:	-
	Сетевой домен учетной записи:	-
	GUID входа:		{00000000-0000-0000-0000-000000000000}

Сведения о процессе:
	ИД процесса:		0x404
	Имя процесса:		C:\Windows\System32\services.exe

Сведения о сети:
	Имя рабочей станции:	-
	Сетевой адрес источника:	-
	Порт источника:		-

Подробные сведения о проверке подлинности:
	Процесс входа:		Advapi  
	Пакет проверки подлинности:	Negotiate
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поле "Уровень олицетворения" задает допустимую степень олицетворения для процессов в данном сеансе входа.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
	- GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
	- В поле "Длина ключа" указывается длина созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

Отправлено: 09:21, 29-04-2020 | #3


(*.*)


Administrator


Сообщения: 36471
Благодарности: 6670

Профиль | Сайт | Отправить PM | Цитировать


Там у вас система входит, пользователь выходит. А в 4798 касперский фигурирует. Может, он и ложный след, но для эксперимента можно полностью удалить.

Но если это происходит каждый раз в одно и то же время, я бы смотрел планировщик заданий. С корня библиотеки начать. В нем журнал выключен по умолчанию, надо включить. И смотреть время запуска последнего события / всю историю.

-------
Канал Windows 11, etc | Чат @winsiders


Отправлено: 09:54, 29-04-2020 | #4


Новый участник


Сообщения: 42
Благодарности: 1

Профиль | Отправить PM | Цитировать


Удалить не получится, это корпоративная сеть. Но время разное: бывает 2+ ночи, бывает в 3+. Но всегда в районе этих часов. Но я склоняюсь, что это из-за того, что я заканчиваю работу в 17-19 часов. Сегодня сделаю еще эксперимент. Подключусь по удаленке часа в 23. И посмотрю, во сколько это произойдет.

Про журнал планировщика немного не понял. Подскажите, пожалуйста.
Скрытый текст


Да, еще момент. Событие "Уведомление о выходе пользователя для программы улучшения качества ПО". Я почитал, эту программу улучшения можно отключить. Вот попробую.
Скрытый текст



Отправлено: 10:22, 29-04-2020 | #5


(*.*)


Administrator


Сообщения: 36471
Благодарности: 6670

Профиль | Сайт | Отправить PM | Цитировать


Цитата St33l:
Удалить не получится, это корпоративная сеть. »
В корпоративной сети все что угодно может быть - может, там какой-то скрипт политиками гоняют. Вам надо с ИТ-отделом это обсуждать, а не с форумом.

Цитата St33l:
Про журнал планировщика немного не понял »
Журнал включен для всех заданий, это видно в правой панели.

-------
Канал Windows 11, etc | Чат @winsiders


Отправлено: 11:37, 29-04-2020 | #6



Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 10 » Разное - Спустя какое-то время ПК сам разлогинивается

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интерфейс - Пропадает рабочий стол (выгружается explorer.exe) , спустя какое то время stuxnetix@twitter Microsoft Windows 7 1 20-05-2019 08:42
[решено] ПК после запуска начинает работать медленнее через какое-то время vitareiki Лечение систем от вредоносных программ 17 28-10-2016 13:38
Гаснет монитор спустя какое то время,хотя компьютер продолжает работать. alerondel Непонятные проблемы с Железом 0 08-03-2016 06:56
Падение FPS через какое-то время в любых играх на игровом ПК CapNem0_o Непонятные проблемы с Железом 10 17-04-2015 13:34
[решено] Созданное задание исчезает из планировщика спустя какое-то время Москвич Microsoft Windows 7 4 07-08-2013 00:27




 
Переход