| | | | | | | | |
|
| | Имя протокола | Тип события | Категория | Дата создания | Пользователь | Источник | Описание
|
| | Приложение | Ошибка | Нет | 2015-07-18 22:32:02 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Внимание | Нет | 2015-07-19 02:55:06 | система | Microsoft-Windows-User Profiles Service | 1530: Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно. ПОДРОБНО - 0 user registry handles leaked from \Registry\User\S-1-5-21-4146217240-2537518485-2575002558-1001:
|
| | Приложение | Ошибка | Нет | 2015-07-19 07:12:20 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-19 20:05:06 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-19 22:04:07 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-19 23:30:32 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | 101 | 2015-07-20 07:10:04 | | Application Hang | 1002: Программа dota.exe версии 0.0.0.0 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, проверьте историю проблемы в Центре поддержки в панели управления. ИД процесса: 5d90 Время запуска: 01d0c2a13df90ddd Время завершения: 0 Путь приложения: C:\Program Files (x86)\Steam\steamapps\common\dota 2 beta\dota.exe ИД отчета:
|
| | Приложение | Ошибка | Нет | 2015-07-20 07:10:33 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-20 07:18:34 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-20 08:00:25 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-20 11:16:41 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-21 01:39:07 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-21 04:14:06 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-21 04:17:49 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-21 04:18:42 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Внимание | Нет | 2015-07-21 05:20:52 | система | Microsoft-Windows-User Profiles Service | 1530: Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно. ПОДРОБНО - 15 user registry handles leaked from \Registry\User\S-1-5-21-4146217240-2537518485-2575002558-1001: Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001 Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001 Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001 Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001 Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\My Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\CA Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\SmartCardRoot Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\trust Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\TrustedPeople Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\Root Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Microsoft\SystemCertificates\Disallowed Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Policies\Microsoft\SystemCertificates Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Policies\Microsoft\SystemCertificates Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Policies\Microsoft\SystemCertificates Process 636 (\Device\HarddiskVolume2\Windows\System32\lsass.exe) has opened key \REGISTRY\USER\S-1-5-21-4146217240-2537518485-2575002558-1001\Software\Policies\Microsoft\SystemCertificates
|
| | Приложение | Ошибка | Нет | 2015-07-21 18:49:02 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-22 02:00:10 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-22 03:10:19 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 03:13:20 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 03:17:39 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 04:54:58 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 07:50:34 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-22 08:30:51 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 08:31:41 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 20:34:53 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-22 22:14:19 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 22:15:26 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 22:35:14 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-22 22:36:07 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | 101 | 2015-07-22 23:19:26 | | Application Hang | 1002: Программа dota.exe версии 0.0.0.0 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, проверьте историю проблемы в Центре поддержки в панели управления. ИД процесса: bfc Время запуска: 01d0c4b5a822528f Время завершения: 799 Путь приложения: C:\Program Files (x86)\Steam\steamapps\common\dota 2 beta\dota.exe ИД отчета:
|
| | Приложение | Ошибка | Нет | 2015-07-22 23:19:34 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-23 08:24:05 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-23 09:57:15 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-23 12:18:53 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-24 03:23:24 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 03:24:55 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 03:49:15 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 03:49:23 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 04:46:40 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 05:01:10 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 06:11:29 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 07:07:02 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 10:33:26 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 11:21:50 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | 101 | 2015-07-24 11:41:55 | | Application Hang | 1002: Программа dota.exe версии 0.0.0.0 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, проверьте историю проблемы в Центре поддержки в панели управления. ИД процесса: 158c Время запуска: 01d0c5e9cab8f367 Время завершения: 781 Путь приложения: C:\Program Files (x86)\Steam\steamapps\common\dota 2 beta\dota.exe ИД отчета:
|
| | Приложение | Ошибка | Нет | 2015-07-24 11:42:03 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 12:09:44 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 12:27:16 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-24 14:29:08 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-25 09:41:09 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-25 11:19:13 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-25 13:29:31 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | 100 | 2015-07-25 16:35:44 | | Application Error | 1000: Имя сбойного приложения: Explorer.EXE, версия: 6.1.7601.17567, отметка времени: 0x4d672ee4 Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000 Код исключения: 0xc0000005 Смещение ошибки: 0x0000000004a10fd8 Идентификатор сбойного процесса: 0x628 Время запуска сбойного приложения: 0x01d0c6c492e7a436 Путь сбойного приложения: C:\Windows\Explorer.EXE Путь сбойного модуля: unknown Код отчета: 0c820841-32d2-11e5-8cb1-d02788a88774
|
| | Приложение | Ошибка | 101 | 2015-07-25 16:35:46 | | Application Hang | 1002: Программа Steam.exe версии 2.89.12.34 прекратила взаимодействие с Windows и была закрыта. Чтобы узнать, имеются ли дополнительные сведения о проблеме, проверьте историю проблемы в Центре поддержки в панели управления. ИД процесса: fdc Время запуска: 01d0c6deb505754d Время завершения: 15 Путь приложения: C:\Program Files (x86)\Steam\Steam.exe ИД отчета: 08d52c73-32d2-11e5-8cb1-d02788a88774
|
| | Приложение | Ошибка | Нет | 2015-07-25 16:44:14 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 17:28:46 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 17:57:32 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 18:21:57 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 18:32:01 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 19:21:44 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 19:59:47 | | WinMgmt | 10: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
|
| | Приложение | Ошибка | Нет | 2015-07-25 20:00:05 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | 100 | 2015-07-25 20:00:09 | | Application Error | 1000: Имя сбойного приложения: dota.exe, версия: 0.0.0.0, отметка времени: 0x55a5677b Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000 Код исключения: 0xc0000005 Смещение ошибки: 0x0001498f Идентификатор сбойного процесса: 0x133c Время запуска сбойного приложения: 0x01d0c6fb5b9452e8 Путь сбойного приложения: C:\Program Files (x86)\Steam\steamapps\common\dota 2 beta\dota.exe Путь сбойного модуля: unknown Код отчета: 9b05233d-32ee-11e5-8436-d02788a88774
|
| | Приложение | Ошибка | Нет | 2015-07-25 20:00:30 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 20:02:09 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | Нет | 2015-07-25 20:24:43 | ushumitsu | MsiInstaller | 1013: Internal MSI error. Installer terminated prematurely.
|
| | Приложение | Ошибка | 100 | 2015-07-25 20:55:28 | | Application Error | 1000: Имя сбойного приложения: Explorer.EXE, версия: 6.1.7601.17567, отметка времени: 0x4d672ee4 Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000 Код исключения: 0xc0000005 Смещение ошибки: 0x0000000006730fd8 Идентификатор сбойного процесса: 0x67c Время запуска сбойного приложения: 0x01d0c6fb1c004aee Путь сбойного приложения: C:\Windows\Explorer.EXE Путь сбойного модуля: unknown Код отчета: 5540eb67-32f6-11e5-8436-d02788a88774
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:09:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:16:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:16:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:16:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:16:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:16:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:17:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:18:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:19:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:19:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:20:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:21:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:21:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:23:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:23:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:23:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:24:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:24:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:58:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 21:59:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:00:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:00:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:27:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-18 22:30:17 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc0c5
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-18 22:30:31 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12292 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dd93 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1ddef GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dd93 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:30:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-18 22:30:40 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:30:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3d6ba GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:31:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:31:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:31:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:31:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:33:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:33:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:34:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:34:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:35:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:35:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:35:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:35:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:35:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:36:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:36:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:37:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:37:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:37:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:38:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:39:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:40:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:40:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:40:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:41:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:41:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:41:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:42:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-18 22:42:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:42:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-18 22:42:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-18 22:43:23 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x17b4 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x2a90bd
|
| | Безопасность | Audit Success | 13568 | 2015-07-18 22:43:23 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x17b4 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x2a90bd
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:44:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:45:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:45:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:46:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:46:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:47:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:48:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:50:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:50:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:51:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 22:51:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:18:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:19:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:21:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:21:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:22:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:23:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:23:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:26:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:27:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:27:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:29:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:43:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:43:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:43:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:44:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:44:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:45:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:45:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:49:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:50:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:50:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:51:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:54:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:54:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:56:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:56:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-18 23:57:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 00:27:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 00:34:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 00:50:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 01:00:31 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x1c0 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-18T22:00:16.878289400Z Новое время: 2015-07-18T22:00:31.976142600Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 01:00:32 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x1c0 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-18T22:00:32.001142600Z Новое время: 2015-07-18T22:00:32.001000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 01:00:32 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x1c0 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-18T22:00:32.113006500Z Новое время: 2015-07-18T22:00:32.113000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 01:01:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 01:07:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:31:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:32:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:32:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:38:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:42:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:43:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:45:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:49:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:54:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 02:54:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-19 02:55:05 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1ddef Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-19 02:55:16 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-19 07:10:33 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb577
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:41 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c433 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c488 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c433 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 07:10:43 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 07:10:44 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x5747a GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:10:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:10:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:11:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:11:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:12:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:12:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 07:15:59 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x1b0 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-19T04:15:59.078264100Z Новое время: 2015-07-19T04:15:59.077000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:16:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 07:16:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 07:55:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 07:55:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 08:05:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 08:05:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 08:05:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 08:05:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:05:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:05:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 08:06:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 08:06:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:07:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:07:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 08:45:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 08:45:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 08:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:06:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:06:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:15:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:15:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:16:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:16:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:17:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:17:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:26:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:26:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:30:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:32:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:33:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:33:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:44:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:44:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:44:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:44:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:45:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:45:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:45:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:45:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:46:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:46:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:47:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:47:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:48:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:48:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:50:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:50:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:51:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:51:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:52:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:52:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:52:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:52:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:53:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:53:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:57:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 09:57:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 10:26:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 10:26:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 11:13:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 11:13:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 11:26:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 11:26:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 11:27:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 12:20:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 12:20:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 16:26:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 16:26:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-19 16:26:11 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c488 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-19 16:26:12 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 20:03:17 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-19 20:03:18 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb497
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:25 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1a9d7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1aa1a GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1a9d7 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 20:03:29 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 20:03:29 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x4f583 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:03:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:03:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 20:03:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 20:03:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:21:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:21:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:25:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:25:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:26:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:35:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:35:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:38:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:41:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:41:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:43:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:43:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:44:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:45:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:45:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:45:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:45:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:45:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:46:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:46:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:46:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:46:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:47:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:47:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:49:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:57:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:58:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 20:58:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:03:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:03:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:06:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:06:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:06:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:06:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:08:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:08:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:09:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:09:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:12:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:13:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:14:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:14:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:15:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:17:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:17:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:18:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:19:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:21:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:21:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:21:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:21:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:22:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:23:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:23:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:23:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:23:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:24:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:24:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:28:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:29:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:29:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:32:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:33:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:59:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:59:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:59:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 21:59:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:00:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:00:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:00:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:01:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:01:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-19 22:01:35 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1aa1a Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:01:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x230 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:01:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 103 | 2015-07-19 22:01:39 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 22:02:19 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-19 22:02:19 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb4d1
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:26 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b8fb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b94e GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x258 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b8fb Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 22:02:29 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-19 22:02:31 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x44cb0 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 22:02:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 22:02:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:02:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:02:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:19:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:19:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:20:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:21:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:21:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:23:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:23:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-19 22:24:10 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x150 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-19T19:24:10.348726200Z Новое время: 2015-07-19T19:24:10.348000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:24:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:25:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:25:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:25:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:26:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:27:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:27:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 22:40:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:14:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:14:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:14:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:28:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:28:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:29:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:30:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:30:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-19 23:30:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-19 23:30:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:30:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:30:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:31:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:41:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:46:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:47:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:49:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:49:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:49:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-19 23:52:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 00:06:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 00:08:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 00:46:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 00:46:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 01:12:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 01:14:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 02:05:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x65b5db GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: BICLAWOFFICE Сетевой адрес источника: 14.177.136.91 Порт источника: 49928 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-20 02:05:50 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x65b5db Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:28:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:28:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:29:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:29:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:34:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:37:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:37:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:47:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:47:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:47:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:48:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:48:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:49:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:49:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:50:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:50:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:52:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:52:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:53:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:53:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:53:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:53:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:53:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:54:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:54:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:54:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 02:55:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 03:54:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 03:57:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 03:57:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 03:57:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:01:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:01:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 04:55:38 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 04:55:38 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:56:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:56:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:56:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:56:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:57:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 04:59:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:03:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:07:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:07:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:07:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:07:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:08:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:08:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 05:16:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 05:16:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:17:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:17:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:17:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:17:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:18:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:18:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:21:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:21:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:22:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:22:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:23:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:23:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:23:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:24:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:24:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:24:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:24:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:27:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:27:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:37:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:37:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:50:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:50:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:51:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 05:51:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:02:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:02:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:05:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:05:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:06:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:06:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:28:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:28:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:28:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:31:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:37:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:44:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 06:44:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:03:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:03:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:05:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:05:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 07:05:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 07:05:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:06:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:08:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 07:09:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 07:09:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:09:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:09:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:10:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:10:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 07:10:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 07:10:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:10:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:10:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:10:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:11:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:12:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:12:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:12:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:12:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:12:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:17:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:17:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:18:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:18:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 07:18:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 07:18:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:18:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:18:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:33:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:33:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:43:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:43:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:48:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:48:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 07:49:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:00:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:00:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 08:00:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 08:00:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:00:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:04:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:04:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:04:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:05:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 08:05:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:19:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:23:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:23:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:26:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:26:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:26:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:58:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:58:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 09:59:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 10:01:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 10:01:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 10:52:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 10:52:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-20 10:52:07 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b94e Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-20 10:52:09 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-20 11:14:55 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:14:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-20 11:14:55 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc632
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:14:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:02 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d2c8 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d300 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d2c8 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-20 11:15:03 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-20 11:15:05 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x52e93 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:15:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:15:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:15:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:15:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 11:18:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 11:18:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:23:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:23:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-20 11:34:07 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x200 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-20T08:34:04.412565400Z Новое время: 2015-07-20T08:34:07.436218900Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2015-07-20 11:34:07 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x200 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-20T08:34:07.447218900Z Новое время: 2015-07-20T08:34:07.447000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Success | 12288 | 2015-07-20 11:34:07 | | Microsoft-Windows-Security-Auditing | 4616: Системное время изменено. Предмет: Идентификатор безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Идентификатор входа: 0x3e5 Сведения о процессе: Идентификатор процесса: 0x200 Имя: C:\Windows\System32\svchost.exe Предыдущее время: 2015-07-20T08:34:07.449000100Z Новое время: 2015-07-20T08:34:07.449000000Z Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:43:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:43:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:43:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 11:43:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 12:16:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 12:16:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 12:16:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-20 12:16:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 15:32:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 15:32:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:12:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:12:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:15:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:16:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:16:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:28:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:28:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:33:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:33:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:36:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:36:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:38:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:38:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:40:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:40:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:41:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:41:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:46:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 16:46:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 17:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 17:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:09:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:09:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:25:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:25:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:31:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:31:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:33:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:33:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:36:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:36:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:37:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:37:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:45:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:45:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:50:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:50:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:51:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:51:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:52:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 19:52:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:13:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:13:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:23:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:23:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:24:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:33:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:33:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:51:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 20:51:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:06:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:06:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:08:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:08:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:21:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:21:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:31:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:31:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 21:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-20 22:09:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x9313cb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: DGH-V-CONNEX02 Сетевой адрес источника: 41.159.40.26 Порт источника: 47402 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-20 22:14:19 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x9313cb Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:20:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:20:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:23:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:23:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:25:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:25:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:27:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:27:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:33:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:33:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:35:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:35:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:35:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:36:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:36:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:36:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:36:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:36:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:37:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:37:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:37:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:45:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:45:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:46:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:46:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:52:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 22:52:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:01:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:01:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:02:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:02:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:05:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:05:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:06:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:06:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:06:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:56:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:57:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:57:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:58:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:58:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:59:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:59:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:59:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-20 23:59:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:04:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:04:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:04:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:08:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:08:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:08:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:20:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:20:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:23:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:23:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:24:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:26:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:26:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:31:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 00:31:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:02:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:02:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:02:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:02:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:02:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:03:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:03:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:03:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:04:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:04:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:04:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:04:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:06:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:30:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0xb16956 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: HOD Сетевой адрес источника: 111.246.217.170 Порт источника: 4007 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-21 01:30:47 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0xb16956 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:34:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:34:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:34:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:34:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:34:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:34:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12288 | 2015-07-21 01:37:34 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-21 01:37:34 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xca59
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:37:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-21 01:37:46 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:38:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:38:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x31db8 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x33e0f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x33e39 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:38:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x33e0f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:38:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:38:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 01:38:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 01:38:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:54:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:54:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:54:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:55:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 01:55:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:04:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:04:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:04:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:07:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:07:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:07:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:11:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:22:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:22:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:22:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:22:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:24:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:29:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:29:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:30:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:30:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:33:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:33:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:35:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 02:35:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 03:00:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 03:00:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 03:00:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 03:00:54 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:04:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:04:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:05:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:05:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:06:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:06:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:08:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:08:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:10:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:10:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:11:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:11:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:16:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:17:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:19:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:22:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:23:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:24:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:34:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:35:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:36:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:45:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:45:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:52:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:52:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:52:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:52:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:52:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:53:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:53:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 03:54:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:01:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 04:14:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 04:14:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 04:17:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 04:17:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 04:17:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 04:17:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:18:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 04:18:42 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 04:18:42 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:18:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:20:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:21:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:24:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:25:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:26:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:26:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:27:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:27:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:28:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:28:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:31:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:31:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:32:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:33:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:33:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:33:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:34:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:35:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:35:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:36:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 04:36:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 05:20:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 05:20:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 05:20:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-21 05:20:52 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x33e39 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-21 05:20:55 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-21 18:47:14 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-21 18:47:15 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb6db
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:24 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c0d0 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c0ff GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x264 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c0d0 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-21 18:47:25 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-21 18:47:28 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x4e01c GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:47:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:47:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 18:47:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 18:47:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 18:57:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 18:57:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:05:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:05:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:21:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:21:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:22:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:22:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:31:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:31:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:40:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:40:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:42:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:42:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:52:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:55:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:55:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:56:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:56:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:57:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 19:57:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:09:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:09:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:13:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:13:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:15:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:15:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:16:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:16:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:17:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:17:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:18:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:18:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:20:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:45:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:45:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:48:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:50:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:50:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 20:58:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:06:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:06:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:06:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:06:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:06:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:10:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:13:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:13:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:16:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:16:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:16:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:16:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:17:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:18:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:18:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:18:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:18:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:19:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:19:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:30:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:31:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:31:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:38:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:39:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 21:39:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 22:14:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-21 22:14:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 22:14:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-21 22:14:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:21:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:21:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:24:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:24:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:33:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:33:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:34:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:34:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:34:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:34:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:35:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:35:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:38:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:38:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:38:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:38:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:40:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:40:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:42:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:42:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:57:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:57:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:58:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:58:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:59:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:59:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:59:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 22:59:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:01:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:01:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:28:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:28:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:28:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:29:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:29:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:29:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:30:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:30:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:35:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:35:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:40:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:40:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:48:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:48:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:49:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:54:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:54:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-21 23:56:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:00:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:00:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:00:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:00:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:15:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:15:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:16:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:16:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:16:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:17:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:17:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:24:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:24:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:29:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:29:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:29:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:29:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:31:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:31:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:37:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:37:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:41:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:42:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:42:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:42:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:43:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:43:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:43:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 00:43:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:21:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:21:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:21:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:28:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:28:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:29:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:29:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:36:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:36:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:37:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:37:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:37:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:40:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:43:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:44:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:44:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:46:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:48:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:48:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:49:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:50:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:50:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:50:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:51:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:51:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:51:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:54:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-22 01:58:25 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-22 01:58:25 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xbd99
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-22 01:58:39 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d0f1 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d131 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x260 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1d0f1 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 01:58:52 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 01:58:54 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:56 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:58:56 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:58:59 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3a2ff GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:59:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 01:59:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 01:59:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 01:59:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:08:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:08:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:08:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:08:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:09:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:09:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:09:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:09:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:10:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:11:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 02:11:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 02:11:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:12:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:12:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:17:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:17:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:22:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:22:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:26:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:26:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:29:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:29:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:31:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:31:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:33:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:33:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:33:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:35:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:35:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:37:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:37:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:41:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:41:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:43:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:43:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:43:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:43:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:44:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:44:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:44:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:44:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:47:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:48:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:48:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:48:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:48:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:50:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:50:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:51:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:51:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:52:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:52:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:53:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:53:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:53:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:53:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:54:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 02:54:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:01:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:01:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 03:10:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 03:10:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 03:13:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 03:13:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:13:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:13:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 03:17:39 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 03:17:39 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:17:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:17:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:19:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:19:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:19:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:24:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:24:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:37:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:39:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:39:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:41:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:41:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:43:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:43:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:45:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:45:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:45:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:45:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:47:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:47:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:48:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:48:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:51:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:51:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:52:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:52:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:53:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:53:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:55:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:55:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:56:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:56:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:57:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:57:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:58:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:58:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 03:59:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:00:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:00:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 04:54:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 04:54:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:55:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:55:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:55:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:56:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:56:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:57:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:58:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 04:58:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 05:05:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 05:18:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 05:18:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 05:38:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 06:01:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x98fd73 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: HOD Сетевой адрес источника: 194.219.110.240 Порт источника: 2700 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-22 06:01:27 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x98fd73 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:19:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:20:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:34:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:44:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:46:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:47:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:48:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:48:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:51:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:51:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:53:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:53:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 06:53:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:10:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:10:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:10:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:11:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:11:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:12:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:16:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:16:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:18:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:18:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:18:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:20:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:36:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:41:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:41:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:42:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:42:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:42:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:44:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:46:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-22 07:48:53 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:48:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-22 07:48:54 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xcaf6
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:48:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-22 07:49:08 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:11 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dafd GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1db2c GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dafd Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 07:49:12 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 07:49:15 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3a03f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 07:49:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 07:49:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:49:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:49:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:50:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:50:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 07:50:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:00:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:00:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:00:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:04:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:05:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:05:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:05:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:05:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:17:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:17:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:17:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:25:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:25:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:27:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:27:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:29:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:29:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 08:30:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 08:30:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:30:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 08:31:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 08:31:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:31:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:41:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:42:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:43:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:44:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:44:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:46:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:47:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:48:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:50:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 08:50:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 09:27:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 09:30:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 09:30:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 09:31:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 09:31:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 09:31:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 09:49:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 09:49:49 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 09:49:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:07:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:08:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:08:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:10:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:56:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:56:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:57:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 10:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:00:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:01:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:01:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:02:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:02:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 11:04:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 12:18:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 12:18:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 12:28:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 12:28:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:03:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:03:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:03:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:06:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:06:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:07:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:07:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:07:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:07:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:08:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:08:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:08:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:08:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:11:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:11:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:11:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:11:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:12:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:12:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:12:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:12:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:13:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:13:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:13:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:13:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:14:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:14:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:14:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:14:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:15:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:15:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:15:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:15:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:16:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:16:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:18:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:18:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:25:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:25:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:25:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:25:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:30:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:32:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:32:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:34:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:34:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:35:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:35:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:35:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:35:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:36:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:36:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:40:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:40:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:43:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:43:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:44:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 13:44:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:11:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:11:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:48:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:48:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:52:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 14:52:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:12:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:12:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 15:18:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 15:18:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 15:28:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 15:28:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 15:38:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 15:38:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 15:38:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 15:38:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:48:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:48:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:52:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 15:52:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 15:52:53 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-22 15:52:53 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1db2c Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 15:52:53 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 103 | 2015-07-22 15:52:55 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-22 20:33:05 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-22 20:33:05 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb41a
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:13 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b58f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b5b5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b58f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 20:33:15 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-22 20:33:19 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x434eb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 20:33:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 20:33:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 20:33:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 20:33:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 21:02:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 21:02:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 21:09:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 21:09:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 21:09:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 21:09:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:20:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:20:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:21:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:22:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:23:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:24:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:25:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:27:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:29:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:31:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:33:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:38:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:38:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 21:47:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:04:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:09:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:09:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:10:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:11:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:11:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:11:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:12:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:12:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:12:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:12:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:13:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 22:14:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 22:14:18 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:14:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 22:15:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 22:15:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:15:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:15:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:17:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:19:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:23:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:33:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 22:33:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x45283b GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: HOD Сетевой адрес источника: 187.212.231.1 Порт источника: 64013 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-22 22:34:01 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x45283b Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:34:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:34:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:35:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:35:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 22:35:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 22:35:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:35:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 22:36:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 22:36:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:36:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:37:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:37:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:37:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:38:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:39:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:39:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:39:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:39:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:40:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:40:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:40:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:40:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:42:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:44:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:58:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:58:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:58:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:58:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 22:59:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:00:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:01:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:01:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:01:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:01:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:01:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:02:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:04:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:04:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:04:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:04:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:04:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:17:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:18:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:19:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 23:19:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 23:19:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-22 23:19:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-22 23:19:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:19:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:19:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:19:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:20:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:20:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:20:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:21:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:22:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:22:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:22:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:24:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:25:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:25:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:25:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:26:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:26:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:29:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:29:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:31:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:31:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:37:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:37:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:37:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:37:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:38:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:38:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:38:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:38:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:39:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:39:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:39:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:40:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:40:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:41:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:41:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:41:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:41:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:42:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:47:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:47:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:54:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:54:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:55:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-22 23:55:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:01:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:01:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:07:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:09:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:09:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:17:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:17:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:36:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:36:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:36:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:40:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:40:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:40:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:46:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:46:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:52:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:52:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 00:53:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:07:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 01:07:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8f5400 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: IP-223-65 Сетевой адрес источника: 46.183.223.65 Порт источника: 50987 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-23 01:07:45 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8f5400 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:07:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:07:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:21:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 01:21:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 01:36:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x234 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 01:36:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 01:41:49 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0xb42d01 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: HOD Сетевой адрес источника: 189.243.113.109 Порт источника: 58008 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-23 01:41:54 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0xb42d01 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 02:15:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 02:15:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 02:15:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 02:15:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-23 02:15:24 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b5b5 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-23 02:15:26 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-23 08:22:19 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-23 08:22:19 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xbba8
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:25 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:25 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:27 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x254 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1be1d GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x254 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1be43 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x254 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:27 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1be1d Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 08:22:29 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 08:22:32 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x59359 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 08:22:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 08:22:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:22:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:22:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:43:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:43:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:44:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:44:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:44:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:44:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:44:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:45:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:45:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:45:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:46:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:46:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:47:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:47:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:47:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:47:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:58:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 08:58:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:02:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:02:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:02:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:03:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:03:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:04:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:04:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:04:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:04:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:12:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:14:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:14:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:18:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:20:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:21:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:28:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:28:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:28:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:28:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:33:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:34:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:34:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:34:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:35:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:35:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:36:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:36:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:37:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x1496b8 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: HOD Сетевой адрес источника: 187.195.220.222 Порт источника: 55060 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-23 09:37:04 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x1496b8 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:39:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:41:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:41:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:42:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:44:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:45:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:46:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:47:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:48:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:51:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-23 09:55:31 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-23 09:55:31 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xbf71
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:35 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-23 09:55:37 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c325 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c34b GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c325 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:41 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 09:55:43 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 09:55:44 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x37f4a GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 09:55:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 09:55:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:56:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 09:56:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:02:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:02:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 10:02:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 10:02:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:02:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:02:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:03:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:03:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 10:06:07 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 10:06:07 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:08:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:09:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:10:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:11:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:11:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:11:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:17:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:17:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:21:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:22:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:23:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:23:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:23:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:24:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:25:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:26:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:27:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:27:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:28:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:29:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:30:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:32:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:32:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:33:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:33:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:34:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:35:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:37:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:38:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:39:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:40:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:42:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:43:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:44:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:58:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 10:58:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 11:03:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-23 12:17:10 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-23 12:17:10 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc0c9
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:11 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:14 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:14 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:19 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c495 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:19 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c4bb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:19 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c495 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:20 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 12:17:21 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 101 | 2015-07-23 12:17:24 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12292 | 2015-07-23 12:17:24 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:35 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x511f9 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:17:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 12:17:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 12:17:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:46:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:46:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:54:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:54:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 12:54:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 12:54:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:29:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:29:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:38:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:38:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:48:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:48:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:51:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:51:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:55:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:55:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:56:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:56:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:57:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 14:57:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:03:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:03:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:32:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:32:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:33:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 15:33:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:15:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-23 21:49:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-23 21:49:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:55:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:55:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:58:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:58:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:59:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 21:59:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:00:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:00:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:01:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:01:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:01:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:01:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:03:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:06:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:06:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:06:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:06:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:08:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:08:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:09:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:09:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:09:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:09:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:11:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:11:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:13:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:13:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:14:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:14:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:15:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:15:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:16:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:16:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:17:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:17:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:17:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:17:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:26:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:26:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:31:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:31:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:35:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:35:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:35:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:36:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:37:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:37:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:40:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:40:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:41:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:41:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:44:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:44:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:45:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:45:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:47:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 22:47:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:01:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:01:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:04:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:04:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:04:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:04:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:05:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:05:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:06:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:06:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:39:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-23 23:39:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 00:05:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 00:05:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 00:05:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 00:05:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:31:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:31:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:32:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:32:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:33:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:33:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:37:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:37:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:39:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:44:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:44:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:46:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:46:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:57:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:57:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:58:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:58:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 01:58:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:00:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:00:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:00:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:00:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:09:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:09:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:20:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:20:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:23:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:23:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:38:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:38:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:42:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:42:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:43:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:43:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:43:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:43:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:43:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:44:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:55:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:55:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8650e3 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 53782 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:58:13 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8650e3 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x865220 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 54040 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:58:17 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x865220 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:18 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8652ae GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 54128 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:58:19 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8652ae Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8652f7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 54264 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:58:21 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8652f7 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x865345 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 54401 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:58:23 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x865345 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:58:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8655fe GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 54805 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 02:59:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:59:19 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x8655fe Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 02:59:20 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x869798 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: 88.80.15.67 Порт источника: 58262 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 128 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 02:59:20 | | Microsoft-Windows-Security-Auditing | 4634: Выполнен выход учетной записи из системы. Субъект: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x869798 Тип входа: 3 Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:01:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:10:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:10:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 03:23:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 03:23:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:23:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 03:24:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 03:24:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:25:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:29:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:35:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:47:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 03:49:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 03:49:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 03:49:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 03:49:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:49:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:50:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:50:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:52:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:52:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:53:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:55:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:59:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 03:59:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:02:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:02:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:05:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:06:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:07:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:07:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:07:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:11:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:11:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:14:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:14:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:29:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:29:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:38:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:38:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:38:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:45:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:45:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 04:46:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 04:46:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:46:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:47:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:57:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 04:57:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:00:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 05:01:10 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 05:01:10 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:01:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:02:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:02:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:07:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:08:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:35:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 05:35:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 06:04:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 06:05:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 06:11:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 06:11:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 06:11:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 06:12:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 07:07:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 07:07:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 07:07:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 07:08:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 07:09:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:06:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:07:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:09:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:09:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:28:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:28:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:32:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:32:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:54:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 08:59:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:00:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:01:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:03:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:03:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:04:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:06:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:07:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:07:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:08:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:08:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:08:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:09:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:09:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:10:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:10:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:10:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:10:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:10:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:11:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:11:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:11:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:12:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:12:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:12:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:13:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:13:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:13:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:14:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:14:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:15:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:15:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:15:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:15:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:17:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:17:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:20:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:21:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:21:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:21:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:29:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:29:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:33:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:40:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:41:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:44:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:54:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:54:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:56:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:57:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 09:59:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:31:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:32:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 10:33:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 10:33:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:33:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:33:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:38:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 10:38:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:11:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 11:21:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 11:21:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:21:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:21:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:22:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:22:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:23:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:23:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:24:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:24:39 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:25:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:26:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:27:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:28:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:28:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:28:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:28:50 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:29:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:30:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:31:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:31:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:32:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:33:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:33:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:34:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:34:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:35:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:35:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:36:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:36:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 11:41:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 11:41:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 11:42:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 11:42:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:42:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:42:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 11:42:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:08:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:09:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 12:09:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 12:09:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:09:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:10:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 12:10:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 12:10:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 12:27:15 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 12:27:15 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:27:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:28:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 12:29:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 12:29:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 12:29:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 12:29:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-24 12:29:50 | | Microsoft-Windows-Security-Auditing | 4904: Произведена попытка регистрации источника событий безопасности. Предмет: Идентификатор безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x13753dd
|
| | Безопасность | Audit Success | 13568 | 2015-07-24 12:29:50 | | Microsoft-Windows-Security-Auditing | 4905: Произведена попытка отмены регистрации источника событий безопасности. Subject Идентификатор безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Идентификатор входа в систему: 0x3e7 Процесс: Идентификатор процесса: 0x238 Имя процесса: C:\Windows\System32\VSSVC.exe Источник событий: Имя источника: VSSAudit Идентификатор источника событий: 0x13753dd
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:32:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 12:32:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 12:32:43 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c4bb Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-24 12:32:47 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-24 14:27:21 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xbe2b
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:26 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c3ee GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c414 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c3ee Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-24 14:27:31 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-24 14:27:33 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:34 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:34 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3f736 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 14:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 14:27:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 14:28:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 14:28:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 14:33:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 14:33:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:17:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:17:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:17:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:17:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:20:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:20:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:20:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:20:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:22:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:22:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:23:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:23:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:23:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:23:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:37 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:24:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:25:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:25:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:26:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:26:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:27:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:28:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:28:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:30:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:30:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:36:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:50:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:50:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:50:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:50:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:50:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:57:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 15:57:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:01:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:01:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:02:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:02:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:05:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:05:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:06:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 16:06:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 16:17:58 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 16:17:58 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 16:45:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-24 16:45:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x22c Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 16:45:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-24 16:45:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:17:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:17:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:31:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:33:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:34:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:34:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:35:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:35:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:38:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 18:38:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:05:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:05:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:08:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:08:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:11:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:11:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:16:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:16:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:31:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:31:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:49:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:49:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:51:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:51:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:54:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:54:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:56:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:56:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:56:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:56:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:57:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:57:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:57:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:57:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:58:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 19:58:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:03:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:03:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:05:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:05:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:05:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:05:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:06:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:06:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:10:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:10:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:10:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:10:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:11:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:11:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:16:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:16:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:21:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:21:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:23:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:23:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:29:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:29:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:31:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:31:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:48:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:48:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:49:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:51:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:52:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:52:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:53:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:53:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:54:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:54:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:56:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:56:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:56:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 20:56:32 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:00:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:00:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:12:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:12:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:48:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:48:04 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:53:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:53:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:53:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:53:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:54:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:54:24 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:57:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:57:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 21:57:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 22:08:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-24 22:08:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12545 | 2015-07-24 22:08:16 | | Microsoft-Windows-Security-Auditing | 4647: Выход, запрошенный пользователем: Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1c414 Данное событие возникает, когда выход начат. Дальнейшие действия, запрошенные пользователем, не выполняются. Данное событие можно рассматривать как событие выхода.
|
| | Безопасность | Audit Success | 103 | 2015-07-24 22:08:18 | | Microsoft-Windows-Eventlog | 1100: Служба ведения журнала событий завершила работу.
|
| | Безопасность | Audit Success | 12288 | 2015-07-25 09:39:21 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:21 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-25 09:39:22 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb799
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:23 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:23 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:30 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1bdd0 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1bdf6 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1bdd0 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 09:39:31 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:31 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:31 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 09:39:34 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:39:37 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:39:37 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 09:40:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 09:40:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:40:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3d16d GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 09:40:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x244 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 09:40:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 09:40:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 09:40:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:08:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:08:12 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:18:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:18:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:28:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:28:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:29:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:32:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:32:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:47:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:47:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:48:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:55:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:55:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:59:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 10:59:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:00:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:00:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:00:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:00:55 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:02:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:02:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:03:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:03:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:03:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:05:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:06:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:06:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:07:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:07:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:14:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:14:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:14:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-25 11:17:28 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:29 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:29 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-25 11:17:29 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xb96a
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:36 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-25 11:17:42 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:47 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:47 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 11:17:48 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:48 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dbc8 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:48 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dc46 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x250 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:48 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1dbc8 Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 11:17:49 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:17:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:17:54 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x2c4eb GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:18:03 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:18:03 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:18:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:18:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:18:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:18:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:42:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 11:43:55 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 11:43:55 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:48:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:48:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:56:54 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:59:25 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 11:59:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:00:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:00:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:01:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:07:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:07:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:12:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:12:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:12:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:12:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:12:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:13:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:14:52 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:22:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:22:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:42:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:42:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 12:55:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:00:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:00:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:07:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:07:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:12:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:12:30 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:21:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:21:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:21:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:23:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:23:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-25 13:27:45 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 13568 | 2015-07-25 13:27:45 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc6fd
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:46 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:50 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:51 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b84f GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:51 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b890 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x248 Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:51 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1b84f Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:27:52 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:27:52 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 13:27:57 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:28:00 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:28:00 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 13:28:02 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 101 | 2015-07-25 13:28:04 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:28:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x32845 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 13:28:22 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 13:28:22 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:28:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 13:28:29 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 14:04:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 14:04:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 14:04:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 14:04:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:11:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:11:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:12:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:12:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:12:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:12:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:13:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:13:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:17:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:17:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:24:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:24:28 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:24:31 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:24:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:24:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:26:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:26:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:27:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:27:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:28:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:28:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:34:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:34:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:34:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:34:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:08 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 16:35:33 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 16:35:33 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:35:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:36:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 16:44:13 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 16:44:13 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:45:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:45:48 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:46:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:54:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 16:55:09 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:05:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:05:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:05:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:06:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:17 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:22 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:11:26 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:12:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:13:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:13:19 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:14:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 17:28:45 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 17:28:45 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:29:11 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 17:57:05 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 17:57:05 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:57:10 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 17:57:32 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 17:57:32 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 17:57:36 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:01:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:02:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:03:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:03:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:18:56 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:15 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:35 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:42 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:45 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:19:51 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:20:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:20:41 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:20:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:20:57 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:21:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:21:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:21:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:21:03 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 18:21:57 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 18:21:57 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:22:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:22:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:22:40 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 18:32:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 18:32:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:32:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:32:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 18:32:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:07:27 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:07:46 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:08:07 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:21:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x228 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:21:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:21:49 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:22:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:51:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:52:20 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:52:58 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:53:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:55:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:55:14 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12288 | 2015-07-25 19:58:01 | | Microsoft-Windows-Security-Auditing | 4608: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:01 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:01 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 13568 | 2015-07-25 19:58:01 | | Microsoft-Windows-Security-Auditing | 4902: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0xc16d
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:02 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-20 Имя учетной записи: NETWORK SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e4 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:02 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-19 Имя учетной записи: LOCAL SERVICE Домен учетной записи: NT AUTHORITY Код входа: 0x3e5 Привилегии: SeAssignPrimaryTokenPrivilege SeAuditPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:06 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 101 | 2015-07-25 19:58:11 | | Microsoft-Windows-Eventlog | 1101: События аудита были отклонены транспортом. 0
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:16 | | Microsoft-Windows-Security-Auditing | 4648: Выполнена попытка входа в систему с явным указанием учетных данных. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Были использованы учетные данные следующей учетной записи: Имя учетной записи: ushumitsu Домен учетной записи: ushubot GUID входа: {00000000-0000-0000-0000-000000000000} Целевой сервер: Имя целевого сервера: localhost Дополнительные сведения: localhost Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Сетевой адрес: 127.0.0.1 Порт: 0 Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например, назначенных задач, или выполнении команды RUNAS.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1ccee GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:16 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 2 Новый вход: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1cd15 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x24c Имя процесса: C:\Windows\System32\winlogon.exe Сведения о сети: Имя рабочей станции: USHUBOT Сетевой адрес источника: 127.0.0.1 Порт источника: 0 Сведения о проверке подлинности: Процесс входа: User32 Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:16 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-21-4146217240-2537518485-2575002558-1001 Имя учетной записи: ushumitsu Домен учетной записи: ushubot Код входа: 0x1ccee Привилегии: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:17 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:17 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 19:58:20 | | Microsoft-Windows-Security-Auditing | 5033: Драйвер брандмауэра Windows запущен успешно.
|
| | Безопасность | Audit Success | 12292 | 2015-07-25 19:58:22 | | Microsoft-Windows-Security-Auditing | 5024: Служба брандмауэра Windows запущена успешно.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:24 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:24 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:27 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Новый вход: ИД безопасности: S-1-5-7 Имя учетной записи: АНОНИМНЫЙ ВХОД Домен учетной записи: NT AUTHORITY Код входа: 0x3150e GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x0 Имя процесса: - Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): NTLM V1 Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 19:58:44 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 19:58:44 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:58:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:58:59 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:05 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:06 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 19:59:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:00:04 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:00:04 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:00:09 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:00:09 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:00:30 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:00:30 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:00:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:00:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:01:38 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:01:40 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:01:40 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:02:08 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:02:08 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:02:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:02:13 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:02:43 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:23:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:23:53 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:00 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:23 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:24:43 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:24:43 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:24:47 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:25:16 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:55:01 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:55:02 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:55:28 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:55:28 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:55:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:55:34 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:33 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:56:44 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Success | 12544 | 2015-07-25 20:59:12 | | Microsoft-Windows-Security-Auditing | 4624: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: USHUBOT$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x224 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
|
| | Безопасность | Audit Success | 12548 | 2015-07-25 20:59:12 | | Microsoft-Windows-Security-Auditing | 4672: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:59:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 20:59:21 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 21:01:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 21:01:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 21:01:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Безопасность | Audit Failure | 12290 | 2015-07-25 21:01:18 | | Microsoft-Windows-Security-Auditing | 6281: Средство проверки целостности кода обнаружило, что хэш-данные страниц файла образа недопустимы. Возможно, файл неправильно подписан без использования хэш-данных страниц либо поврежден вследствие несанкционированного изменения. Недопустимые хэши могут указывать на потенциальную ошибку дискового устройства. Имя файла: \Device\HarddiskVolume2\Windows\System32\RtkAPO64.dll
|
| | Система | Ошибка | Нет | 2015-07-18 22:30:19 | | EventLog | 6008: Предыдущее завершение работы системы в 22:29:09 на ?18.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-18 22:30:32 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000019 (0x0000000000000020, 0xfffffa80059c4a10, 0xfffffa80059c4ab0, 0x00000000040a0008). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 071815-17082-01.
|
| | Система | Внимание | Нет | 2015-07-18 22:44:32 | | Microsoft Antimalware | 1116: Программа Microsoft Antimalware обнаружила вредоносную или другую потенциально нежелательную программу. Дополнительные сведения: http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.C!plock&threatid=2147692023&enterprise=0 Имя: Trojan:Win32/Skeeyah.C!plock ИД: 2147692023 Серьезность: Критический Категория: Троян Путь: file:_C:\Ensage\ELoader.exe;process:_pid:4984,ProcessStart:130817220444884161 Исходный объект обнаружения: Локальный компьютер Тип обнаружения: Динамическая сигнатура Источник обнаружения: Система Пользователь: NT AUTHORITY\система Имя процесса: C:\Ensage\ELoader.exe Версия сигнатур: AV: 1.201.2151.0, AS: 1.201.2151.0, NIS: 0.0.0.0 Версия ядра: AM: 1.1.11804.0, NIS: 0.0.0.0
|
| | Система | Внимание | Нет | 2015-07-19 02:55:19 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени 6to4.ipv6.microsoft.com истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2015-07-19 20:22:30 | LOCAL SERVICE | Microsoft-Windows-Time-Service | 134: NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "". NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запрошенное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
|
| | Система | Внимание | Нет | 2015-07-19 22:07:27 | LOCAL SERVICE | Microsoft-Windows-Time-Service | 134: NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "". NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запрошенное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
|
| | Система | Внимание | Нет | 2015-07-20 11:19:04 | LOCAL SERVICE | Microsoft-Windows-Time-Service | 134: NTP-клиенту не удалось задать настроенный вручную узел в качестве источника времени из-за ошибки разрешения DNS-имен на "". NTP-клиент повторит попытку через 3473457 мин., а затем удвоит интервал между попытками. Ошибка: Запрошенное имя верно, но данные запрошенного типа не найдены. (0x80072AFC)
|
| | Система | Ошибка | Нет | 2015-07-21 01:37:44 | | EventLog | 6008: Предыдущее завершение работы системы в 1:35:07 на ?21.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-21 01:37:46 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000019 (0x0000000000000020, 0xfffffa80050d67f0, 0xfffffa80050d6880, 0x0000000004090009). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072115-33649-01.
|
| | Система | Ошибка | Нет | 2015-07-22 01:58:32 | | EventLog | 6008: Предыдущее завершение работы системы в 1:56:53 на ?22.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-22 01:58:32 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000000a (0x0000000000000011, 0x0000000000000002, 0x0000000000000001, 0xfffff800030f0002). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072215-16333-01.
|
| | Система | Ошибка | Нет | 2015-07-22 07:49:00 | | EventLog | 6008: Предыдущее завершение работы системы в 7:47:33 на ?22.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-22 07:49:00 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000000a (0x0000000000000006, 0x0000000000000002, 0x0000000000000001, 0xfffff8000307f782). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072215-21325-01.
|
| | Система | Внимание | Нет | 2015-07-22 13:48:26 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени zynox.net истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Ошибка | Нет | 2015-07-22 15:52:50 | | nvlddmkm | 14:
|
| | Система | Ошибка | Нет | 2015-07-22 22:12:53 | | Service Control Manager | 7009: Превышение времени ожидания (30000 мс) при ожидании подключения службы "Steam Client Service".
|
| | Система | Ошибка | Нет | 2015-07-22 22:12:53 | | Service Control Manager | 7000: Сбой при запуске службы "Steam Client Service" из-за ошибки %%1053
|
| | Система | Ошибка | Нет | 2015-07-23 08:32:54 | | Microsoft Antimalware | 2001: При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку. Новая версия сигнатур: Предыдущая версия сигнатур: 1.203.0.0 Источник обновления: Сервер Центра обновления Майкрософт Этап обновления: Найти Путь к источнику: http://www.microsoft.com Тип сигнатур: AntiVirus Тип обновления: Полное Пользователь: NT AUTHORITY\система Текущая версия ядра: Предыдущая версия ядра: 1.1.11903.0 Код ошибки: 0x8024402c Описание ошибки: Произошла неожиданная ошибка при проверке наличия обновлений. Дополнительные сведения об установке и диагностике обновлений можно найти в центре справки и поддержки.
|
| | Система | Ошибка | Нет | 2015-07-23 09:55:37 | | EventLog | 6008: Предыдущее завершение работы системы в 9:53:58 на ?23.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-23 09:55:38 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000003b (0x00000000c0000005, 0xfffff8000309082f, 0xfffff88008c5ad70, 0x0000000000000000). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072315-19687-01.
|
| | Система | Внимание | Нет | 2015-07-23 10:09:04 | | Microsoft Antimalware | 1116: Программа Microsoft Antimalware обнаружила вредоносную или другую потенциально нежелательную программу. Дополнительные сведения: http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.C!plock&threatid=2147692023&enterprise=0 Имя: Trojan:Win32/Skeeyah.C!plock ИД: 2147692023 Серьезность: Критический Категория: Троян Путь: file:_C:\Ensage\ELoader.exe;process:_pid:2100,ProcessStart:130821085212595097 Исходный объект обнаружения: Локальный компьютер Тип обнаружения: Динамическая сигнатура Источник обнаружения: Система Пользователь: NT AUTHORITY\система Имя процесса: C:\Ensage\ELoader.exe Версия сигнатур: AV: 1.203.125.0, AS: 1.203.125.0, NIS: 0.0.0.0 Версия ядра: AM: 1.1.11903.0, NIS: 0.0.0.0
|
| | Система | Ошибка | Нет | 2015-07-23 12:17:15 | | EventLog | 6008: Предыдущее завершение работы системы в 11:23:24 на ?23.?07.?2015 было неожиданным.
|
| | Система | Внимание | Нет | 2015-07-24 05:04:54 | NETWORK SERVICE | Microsoft-Windows-DNS-Client | 1014: Разрешение имен для имени www.zynox.net истекло после отсутствия ответа от настроенных серверов DNS.
|
| | Система | Внимание | Нет | 2015-07-24 12:31:33 | | Microsoft Antimalware | 1116: Программа Microsoft Antimalware обнаружила вредоносную или другую потенциально нежелательную программу. Дополнительные сведения: http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.C!plock&threatid=2147692023&enterprise=0 Имя: Trojan:Win32/Skeeyah.C!plock ИД: 2147692023 Серьезность: Критический Категория: Троян Путь: file:_C:\Ensage\ELoader.exe;process:_pid:3600,ProcessStart:130821642764705556 Исходный объект обнаружения: Локальный компьютер Тип обнаружения: Динамическая сигнатура Источник обнаружения: Система Пользователь: NT AUTHORITY\система Имя процесса: C:\Ensage\ELoader.exe Версия сигнатур: AV: 1.203.342.0, AS: 1.203.342.0, NIS: 0.0.0.0 Версия ядра: AM: 1.1.11903.0, NIS: 0.0.0.0
|
| | Система | Ошибка | Нет | 2015-07-25 11:17:36 | | EventLog | 6008: Предыдущее завершение работы системы в 11:16:00 на ?25.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-25 11:17:37 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x000000d1 (0x00000000000000b8, 0x0000000000000006, 0x0000000000000000, 0xfffff880040cb5e3). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072515-17394-01.
|
| | Система | Ошибка | Нет | 2015-07-25 13:27:50 | | EventLog | 6008: Предыдущее завершение работы системы в 13:26:08 на ?25.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-25 13:27:51 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x00000019 (0x0000000000000003, 0xfffff8000325b6f0, 0xfffff8000325b67b, 0xfffff8000325b6f0). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072515-15054-01.
|
| | Система | Ошибка | Нет | 2015-07-25 13:38:20 | | Microsoft Antimalware | 2001: При попытке обновления сигнатур программа Microsoft Antimalware обнаружила ошибку. Новая версия сигнатур: Предыдущая версия сигнатур: 1.203.342.0 Источник обновления: Сервер Центра обновления Майкрософт Этап обновления: Найти Путь к источнику: http://www.microsoft.com Тип сигнатур: AntiVirus Тип обновления: Полное Пользователь: NT AUTHORITY\система Текущая версия ядра: Предыдущая версия ядра: 1.1.11903.0 Код ошибки: 0x8024402c Описание ошибки: Произошла неожиданная ошибка при проверке наличия обновлений. Дополнительные сведения об установке и диагностике обновлений можно найти в центре справки и поддержки.
|
| | Система | Ошибка | Нет | 2015-07-25 19:58:06 | | EventLog | 6008: Предыдущее завершение работы системы в 19:56:55 на ?25.?07.?2015 было неожиданным.
|
| | Система | Ошибка | Нет | 2015-07-25 19:58:07 | | BugCheck | 1001: Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000003b (0x00000000c0000005, 0xfffff880041b2ec0, 0xfffff880081e76c0, 0x0000000000000000). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 072515-15319-01.
|
| | Система | Внимание | Нет | 2015-07-25 20:11:40 | | Microsoft Antimalware | 1116: Программа Microsoft Antimalware обнаружила вредоносную или другую потенциально нежелательную программу. Дополнительные сведения: http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Skeeyah.C!plock&threatid=2147692023&enterprise=0 Имя: Trojan:Win32/Skeeyah.C!plock ИД: 2147692023 Серьезность: Критический Категория: Троян Путь: file:_C:\Ensage\ELoader.exe;process:_pid:3776,ProcessStart:130823171507937435 Исходный объект обнаружения: Локальный компьютер Тип обнаружения: Динамическая сигнатура Источник обнаружения: Система Пользователь: NT AUTHORITY\система Имя процесса: C:\Ensage\ELoader.exe Версия сигнатур: AV: 1.203.470.0, AS: 1.203.470.0, NIS: 0.0.0.0 Версия ядра: AM: 1.1.11903.0, NIS: 0.0.0.0
|