¿Mi computadora se desbloqueó sola?

8

Me desperté alrededor del mediodía para encontrar mi computadora desbloqueada, a pesar de haber recordado haberla bloqueado la noche anterior y no usarla desde entonces. Revisé el registro de seguridad y vi un evento de "inicio de sesión" desde las 11:16 a.m. Lo único es que estaba dormido, y nadie más con acceso a mi computadora sabe mi contraseña. Solo para estar seguro, estoy ejecutando un análisis de virus, pero hasta ahora no ha encontrado nada. ¿Lo que podría haber ocurrido?

El texto de la entrada del registro de eventos está debajo.

Por cierto, he comprobado y no es un evento de "cierre de sesión" en la época en que recordaba bloqueo mi equipo anoche.

Entrada de registro:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          1/29/2014 11:16:10 AM
Event ID:      4624
Task Category: Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FLARNDT
Description:
An account was successfully logged on.

Subject:
        Security ID:            SYSTEM
        Account Name:           FLARNDT$
        Account Domain:         WORKGROUP
        Logon ID:               0x3E7

Logon Type:                     5

Impersonation Level:            Impersonation

New Logon:
        Security ID:            SYSTEM
        Account Name:           SYSTEM
        Account Domain:         NT AUTHORITY
        Logon ID:               0x3E7
        Logon GUID:             {00000000-0000-0000-0000-000000000000}

Process Information:
        Process ID:             0x188
        Process Name:           C:\Windows\System32\services.exe

Network Information:
        Workstation Name:      
        Source Network Address: -
        Source Port:            -

Detailed Authentication Information:
        Logon Process:          Advapi  
        Authentication Package: Negotiate
        Transited Services:     -
        Package Name (NTLM only):       -
        Key Length:             0

This event is generated when a logon session is created. It is generated on the computer that was accessed.

The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.

The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).

The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.

The network fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.

The impersonation level field indicates the extent to which a process in the logon session can impersonate.

The authentication information fields provide detailed information about this specific logon request.
        - Logon GUID is a unique identifier that can be used to correlate this event with a KDC event.
        - Transited services indicate which intermediate services have participated in this logon request.
        - Package name indicates which sub-protocol was used among the NTLM protocols.
        - Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4624</EventID>
    <Version>1</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2014-01-29T16:16:10.375881200Z" />
    <EventRecordID>96945</EventRecordID>
    <Correlation />
    <Execution ProcessID="380" ThreadID="8756" />
    <Channel>Security</Channel>
    <Computer>FLARNDT</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-5-18</Data>
    <Data Name="SubjectUserName">FLARNDT$</Data>
    <Data Name="SubjectDomainName">WORKGROUP</Data>
    <Data Name="SubjectLogonId">0x3e7</Data>
    <Data Name="TargetUserSid">S-1-5-18</Data>
    <Data Name="TargetUserName">SYSTEM</Data>
    <Data Name="TargetDomainName">NT AUTHORITY</Data>
    <Data Name="TargetLogonId">0x3e7</Data>
    <Data Name="LogonType">5</Data>
    <Data Name="LogonProcessName">Advapi  </Data>
    <Data Name="AuthenticationPackageName">Negotiate</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x188</Data>
    <Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
  </EventData>
</Event>
flarn2006
fuente
¿Hay solo una cuenta accesible en su computadora?
Rudolph el
Sin demasiada investigación aquí, parece que 'services.exe' aparece algunas veces en sus registros. Al buscarlo, encontré esto: bleepingcomputer.com/startups/services.exe-11447.html, lo que me lleva a creer que puede ser un virus o algo similar.
Callen L
44
@CallenL Eso es una tontería
DanteTheEgregore
2
"Inicio de sesión tipo 5" = Servicio. Fue un servicio de inicio de sesión (como SYSTEM). Es (probablemente) benigno, y definitivamente no lo conectaría a su escritorio, por lo que no fue lo que lo hizo. ¿Realmente "cerró sesión" la noche anterior, o simplemente "lo cerró" como usted dice?
Ƭᴇcʜιᴇ007
1
Además, siempre que services.exeno haya sido secuestrado y reemplazado (lo cual es bastante difícil de hacer en estos días), entonces C:\Windows\System32\services.exees una utilidad de Windows válida y perfectamente normal que requiere el sistema operativo.
Ƭᴇcʜιᴇ007

Respuestas:

5

No conozco ninguna forma programática para desbloquear una estación de trabajo desde un programa en ejecución (como un virus, a menos que comprometa seriamente la pila de seguridad de Windows). Además de alguien en el teclado, eso deja la posibilidad de un software de control remoto que puede enviar pulsaciones de teclas, que a veces se incluye con virus. Incluso con este escenario, el atacante aún necesitaría saber su contraseña.

Busque específicamente eventos de "Auditoría de seguridad" con Id. De evento 4800 (bloqueo) y 4801 (desbloqueo). Esos se correlacionarán directamente con el bloqueo y desbloqueo real de su sesión ... Los otros eventos de inicio / cierre de sesión se generan con frecuencia en segundo plano para cosas que no necesariamente espera.

BowlesCR
fuente