Автор: tailex
Дата сообщения: 20.02.2013 21:49
Вообщем ситуация такая что то или кто то сьело весь мой трафик у провайдера, открываю баланс и обнаруживаю что 2013-02-17 14:04:12 по 17.02.2013 20:04:30 у меня улетело 1.5Гб трафика. Кто разбирается в логах не могли бы прокомментировать
логи событий которые привожу ниже по приложениям и безопасности. Антивирус работает и обновлен Брандмауэр включен!
Начало сеанса 2013-02-17 14:04:12
Длительность(час:мин:сек) 06:00:00
Передано(байт) 41,429,010
Получено(байт) 1,477,063,328
Всего(байт) 1,518,492,338
[more]
ПРИЛОЖЕНИЯ
Сведения 17.02.2013 20:04:30 RasClient 20226 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Пользователь win7-PC\win7 установил удаленное подключение D-Link Dial-Up PPP Connection, которое было прекращено. При прекращении возвращен код причины 829.
Сведения 17.02.2013 19:10:05 gupdate 0 Отсутствует "Не удается найти описание для идентификатора события 0 из источника gupdate. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
Service stopped
"
Сведения 17.02.2013 19:10:02 gupdate 0 Отсутствует "Не удается найти описание для идентификатора события 0 из источника gupdate. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
Service started
"
Сведения 17.02.2013 14:10:02 gupdate 0 Отсутствует "Не удается найти описание для идентификатора события 0 из источника gupdate. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
Service stopped
"
Сведения 17.02.2013 14:10:00 gupdate 0 Отсутствует "Не удается найти описание для идентификатора события 0 из источника gupdate. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
К событию были добавлены следующие сведения:
Service started
"
Сведения 17.02.2013 14:07:02 Microsoft-Windows-LoadPerf 1000 Отсутствует Cчетчики производительности для службы WmiApRpl (WmiApRpl) успешно загружены. Данные записи в секции данных содержат новые значения индексов, назначенные этой службе.
Сведения 17.02.2013 14:07:02 Microsoft-Windows-LoadPerf 1001 Отсутствует Счетчики производительности для службы WmiApRpl (WmiApRpl) успешно удалены. Данные записи содержат новые значения записей реестра Last Counter и Last Help.
Сведения 17.02.2013 14:05:21 Office Software Protection Platform Service 1003 Отсутствует "The Software Protection service has completed licensing status check.
Application Id=59a52881-a989-479d-af46-f275c6370663
Licensing Status=
1: 191301d3-a579-428c-b0c7-d7988500f9e3, 1, 0 [(0 [0xC004F014, 0, 0], [(?)(?)(?)(?)(?)(?)])(1 )(2 )]
2: 6f327760-8c5c-417c-9b61-836a98287e0c, 1, 1 [(0 [0x00000000, 1, 0], [(?)(?)( 1 0x00000000 30 0 msft:rm/algorithm/volume/1.0 0x00000000 255022)(?)(?)(?)])(1 )(2 )]
3: fdf3ecb9-b56f-43b2-a9b8-1b48b6bae1a7, 1, 0 [(0 [0xC004F014, 0, 0], [(?)(?)(?)(?)(?)(?)])(1 )(2 )]
"
Сведения 17.02.2013 14:05:17 Office Software Protection Platform Service 1003 Отсутствует "The Software Protection service has completed licensing status check.
Application Id=59a52881-a989-479d-af46-f275c6370663
Licensing Status=
1: 191301d3-a579-428c-b0c7-d7988500f9e3, 1, 0 [(0 [0xC004F014, 0, 0], [(?)(?)(?)(?)(?)(?)])(1 )(2 )]
2: 6f327760-8c5c-417c-9b61-836a98287e0c, 1, 1 [(0 [0x00000000, 1, 0], [(?)(?)( 1 0x00000000 30 0 msft:rm/algorithm/volume/1.0 0x00000000 255022)(?)(?)(?)])(1 )(2 )]
3: fdf3ecb9-b56f-43b2-a9b8-1b48b6bae1a7, 1, 0 [(0 [0xC004F014, 0, 0], [(?)(?)(?)(?)(?)(?)])(1 )(2 )]
"
Сведения 17.02.2013 14:04:32 RasClient 20225 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Пользователь win7-PC\win7 успешно подключился к серверу удаленного доступа. Имя подключения: D-Link Dial-Up PPP Connection. Параметры подключения:
TunnelIpAddress = 91.188.151.139
TunnelIpv6Address = None
Dial-in User = 2781746.
Сведения 17.02.2013 14:04:31 RasClient 20224 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Связь с сервером удаленного доступа установлена пользователем win7-PC\win7.
Сведения 17.02.2013 14:04:31 RasClient 20223 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Пользователь win7-PC\win7 успешно установил связь с сервером удаленного доступа с помощью следующего устройства:
Server address/Phone Number = 0,35
Device = D-Link USB ADSL WAN Modem
Port = ISDN12-0
MediaType = ISDN.
Сведения 17.02.2013 14:04:31 RasClient 20222 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Пользователь win7-PC\win7 пытается установить связь с сервером удаленного доступа для подключения D-Link Dial-Up PPP Connection при помощи следующего устройства:
Server address/Phone Number = 0,35
Device = D-Link USB ADSL WAN Modem
Port = ISDN12-0
MediaType = ISDN.
Сведения 17.02.2013 14:04:31 RasClient 20221 Отсутствует CoID={7EC33AAB-6935-4948-A5B3-43401B4D60AD}: Пользователь win7-PC\win7 начал выполнять подключение Dial-up, используя профиль подключения all-user с именем D-Link Dial-Up PPP Connection. Параметры подключения:
Dial-in User = 2781746
VpnStrategy =Not Applicable
DataEncryption = Requested
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = PAP/CHAP/MS-CHAPv2
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags =
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No.
БЕЗОПАСНОСТЬ
Ключевые слова Дата и время Источник Код события Категория задачи
Аудит успеха 17.02.2013 14:04:46 Microsoft-Windows-Security-Auditing 4616 Изменение состояния безопасности "Системное время изменено.
Предмет:
Идентификатор безопасности: LOCAL SERVICE
Имя учетной записи: LOCAL SERVICE
Домен учетной записи: NT AUTHORITY
Идентификатор входа: 0x3e5
Сведения о процессе:
Идентификатор процесса: 0x460
Имя: C:\Windows\System32\svchost.exe
Предыдущее время: ‎2013‎-‎02‎-‎17T09:04:46.900000000Z
Новое время: ‎2013‎-‎02‎-‎17T09:04:46.900000000Z
Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера."
Аудит успеха 17.02.2013 14:04:46 Microsoft-Windows-Security-Auditing 4616 Изменение состояния безопасности "Системное время изменено.
Предмет:
Идентификатор безопасности: LOCAL SERVICE
Имя учетной записи: LOCAL SERVICE
Домен учетной записи: NT AUTHORITY
Идентификатор входа: 0x3e5
Сведения о процессе:
Идентификатор процесса: 0x460
Имя: C:\Windows\System32\svchost.exe
Предыдущее время: ‎2013‎-‎02‎-‎17T09:04:46.900685900Z
Новое время: ‎2013‎-‎02‎-‎17T09:04:46.900000000Z
Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера."
Аудит успеха 17.02.2013 14:04:46 Microsoft-Windows-Security-Auditing 4616 Изменение состояния безопасности "Системное время изменено.
Предмет:
Идентификатор безопасности: LOCAL SERVICE
Имя учетной записи: LOCAL SERVICE
Домен учетной записи: NT AUTHORITY
Идентификатор входа: 0x3e5
Сведения о процессе:
Идентификатор процесса: 0x460
Имя: C:\Windows\System32\svchost.exe
Предыдущее время: ‎2013‎-‎02‎-‎17T09:04:49.862304700Z
Новое время: ‎2013‎-‎02‎-‎17T09:04:46.869435900Z
Данное событие возникает при изменении системного времени. Обычно служба времени Windows, которая имеет системную привилегию, регулярно изменяет системное время. Другие изменения системного времени могут свидетельствовать о попытках несанкционированного использования компьютера."[/more]
