Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Suspicious multiple logins (Advapi)


  • Please log in to reply
No replies to this topic

#1 Dimos

Dimos

  • Members
  • 2 posts
  • OFFLINE
  •  
  • Gender:Not Telling
  • Local time:06:30 PM

Posted 28 November 2013 - 02:35 AM

Hello guys i logged in to my computer today and i checked my event log Windows Logs-Security

 

now im not expert but i found this suspicious i found a event number 18  that said logged in as anonymouse user i have no user called anonymouse what is this?

and a Logon Process name called Advapi on a few  of the events Starting From Number 9 you will also see it on no# 12,15,23,25 i have recently Reinstalled windows on a replaced ssd due to a faulty hardrive and am fearful after setting it up and all that my pc has a virus or  has been hacked i have scanned my pc with (AVG) & Malewarebytes also Super Antispyware all 3 turned up clean,

i have posted the event table and Below event data for each event  in direct order of the Event Table

Please note all names have been changed by me however before changing them in this post i have double checked and they were all the specified names i chose on os install

your help and instruct is apreciated thank you

................................................................................................................................................................................................


Audit Success    28/11/2013 5:03:33 PM    Microsoft Windows security auditing.    4647    Logoff
Audit Success    28/11/2013 5:03:37 PM    Eventlog    1100    Service shutdown
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4608    Security State Change
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4902    Audit Policy Change
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    5033    Other System Events
Audit Success    28/11/2013 5:04:25 PM    Microsoft Windows security auditing.    5024    Other System Events
Audit Success    28/11/2013 5:04:26 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:29 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:04:29 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:04:29 PM    Microsoft Windows security auditing.    4648    Logon
Audit Success    28/11/2013 5:16:44 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:16:44 PM    Microsoft Windows security auditing.    4624    Logon
Audit Success    28/11/2013 5:16:44 PM    Microsoft Windows security auditing.    4672    Special Logon
Audit Success    28/11/2013 5:16:44 PM    Microsoft Windows security auditing.    4624    Logon

....................................................................................................................................................................................

1
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4647
        
    Version    0
        
    Level    0
        
    Task    12545
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:03:33.980084900Z
        
    EventRecordID    6632
        
    Correlation
        
-    Execution
            [ ProcessID]    1048
            [ ThreadID]    3652
        
    Channel    Security
        
    Computer    Simon
        
    Security
-    EventData
        TargetUserSid    S-1-5-21-1619447833-111796513-3925427088-1000
        TargetUserName    Simon
        TargetDomainName    Samual
        TargetLogonId    0x6a502

2
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Eventlog
            [ Guid]    {fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}
        
    EventID    1100
        
    Version    0
        
    Level    4
        
    Task    103
        
    Opcode    0
        
    Keywords    0x4020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:03:37.728892500Z
        
    EventRecordID    6633
        
    Correlation
        
-    Execution
            [ ProcessID]    1364
            [ ThreadID]    1740
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    UserData
        
    ServiceShutdown

3
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4608
        
    Version    0
        
    Level    0
        
    Task    12288
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.081404500Z
        
    EventRecordID    6634
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1056
        
    Channel    Security
        
    Computer    Samual
        
    Security
    EventData

5
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.083904500Z
        
    EventRecordID    6635
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1056
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-0-0
        SubjectUserName    -
        SubjectDomainName    -
        SubjectLogonId    0x0
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    0
        LogonProcessName    -
        AuthenticationPackageName    -
        WorkstationName    -
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x4
        ProcessName    
        IpAddress    -
        IpPort    -

6
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4902
        
    Version    0
        
    Level    0
        
    Task    13568
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.160155700Z
        
    EventRecordID    6636
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1112
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        PuaCount    0
        PuaPolicyId    0x35206

7
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.183906100Z
        
    EventRecordID    6638
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    SYSTEM
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e7
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

7
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.183906100Z
        
    EventRecordID    6637
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    5
        LogonProcessName    

Avapi    (what is this?)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

8
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.320158200Z
        
    EventRecordID    6640
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-20
        SubjectUserName    NETWORK SERVICE
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e4
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege

9
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.320158200Z
        
    EventRecordID    6639
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-20
        TargetUserName    NETWORK SERVICE
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e4
        LogonType    5
        LogonProcessName   (Advapi here it is)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

10
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.356408700Z
        
    EventRecordID    6642
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-19
        SubjectUserName    LOCAL SERVICE
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e5
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege

11
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.356408700Z
        
    EventRecordID    6641
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-19
        TargetUserName    LOCAL SERVICE
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e5
        LogonType    5
        LogonProcessName    (Advapi agian)


        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

12
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.401409400Z
        
    EventRecordID    6643
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    5
        LogonProcessName    (Avapi) Another 1)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

13
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.401409400Z
        
    EventRecordID    6644
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    SYSTEM
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e7
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

14
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.417659700Z
        
    EventRecordID    6646
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    SYSTEM
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e7
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

15
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.417659700Z
        
    EventRecordID    6645
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1088
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    5
        LogonProcessName    Advapi (Agian)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

16
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    5033
        
    Version    0
        
    Level    0
        
    Task    12292
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.848916300Z
        
    EventRecordID    6647
        
    Correlation
        
-    Execution
            [ ProcessID]    4
            [ ThreadID]    48
        
    Channel    Security
        
    Computer    Samual
        
    Security
    EventData

17
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    5024
        
    Version    0
        
    Level    0
        
    Task    12292
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:25.945167800Z
        
    EventRecordID    6648
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
    EventData

18
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:26.866431900Z
        
    EventRecordID    6649
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1148
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-0-0                                 
        SubjectUserName    -
        SubjectDomainName    -
        SubjectLogonId    0x0
        TargetUserSid    S-1-5-7
        TargetUserName    ANONYMOUS LOGON    (Anonymouse Logon what is this)?
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x58f65
        LogonType    3
        LogonProcessName    NtLmSsp
        AuthenticationPackageName    NTLM
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    NTLM V1
        KeyLength    0
        ProcessId    0x0
        ProcessName    -
        IpAddress    -
        IpPort    -

19
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:29.738976000Z
        
    EventRecordID    6652
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-21-1619447833-111796513-3925427088-1000
        SubjectUserName    Simon
        SubjectDomainName    Samual
        SubjectLogonId    0x6b4e4
        PrivilegeList    SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

20
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:29.738976000Z
        
    EventRecordID    6651
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-21-1619447833-111796513-3925427088-1000
        TargetUserName    Simon
        TargetDomainName    Samual
        TargetLogonId    0x6b4e4
        LogonType    2
        LogonProcessName    User32
        AuthenticationPackageName    Negotiate
        WorkstationName    Samual
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x3d8
        ProcessName    C:\Windows\System32\winlogon.exe
        IpAddress    127.0.0.1
        IpPort    0

21
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4648
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:04:29.738976000Z
        
    EventRecordID    6650
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TargetUserName    Simon
        TargetDomainName    Samual
        TargetLogonGuid    {00000000-0000-0000-0000-000000000000}
        TargetServerName    localhost
        TargetInfo    localhost
        ProcessId    0x3d8
        ProcessName    C:\Windows\System32\winlogon.exe
        IpAddress    127.0.0.1
        IpPort    0

22
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:16:44.000426400Z
        
    EventRecordID    6654
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    SYSTEM
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e7
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

23
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:16:44.000426400Z
        
    EventRecordID    6653
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    1896
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    5
        LogonProcessName    Advapi (Agian)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -

24
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4672
        
    Version    0
        
    Level    0
        
    Task    12548
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:16:44.084431200Z
        
    EventRecordID    6656
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    3504
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    SYSTEM
        SubjectDomainName    NT AUTHORITY
        SubjectLogonId    0x3e7
        PrivilegeList    SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege

25
-    System
        
-    Provider
            [ Name]    Microsoft-Windows-Security-Auditing
            [ Guid]    {54849625-5478-4994-A5BA-3E3B0328C30D}
        
    EventID    4624
        
    Version    0
        
    Level    0
        
    Task    12544
        
    Opcode    0
        
    Keywords    0x8020000000000000
        
-    TimeCreated
            [ SystemTime]    2013-11-28T06:16:44.084431200Z
        
    EventRecordID    6655
        
    Correlation
        
-    Execution
            [ ProcessID]    1052
            [ ThreadID]    3504
        
    Channel    Security
        
    Computer    Samual
        
    Security
-    EventData
        SubjectUserSid    S-1-5-18
        SubjectUserName    Samual$
        SubjectDomainName    HOME
        SubjectLogonId    0x3e7
        TargetUserSid    S-1-5-18
        TargetUserName    SYSTEM
        TargetDomainName    NT AUTHORITY
        TargetLogonId    0x3e7
        LogonType    5
        LogonProcessName    Avapi (Another one)
        AuthenticationPackageName    Negotiate
        WorkstationName    
        LogonGuid    {00000000-0000-0000-0000-000000000000}
        TransmittedServices    -
        LmPackageName    -
        KeyLength    0
        ProcessId    0x414
        ProcessName    C:\Windows\System32\services.exe
        IpAddress    -
        IpPort    -
 


Edited by Dimos, 28 November 2013 - 05:11 AM.


BC AdBot (Login to Remove)

 





0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users