M
Marcellus Assed44
Nome do Log: System
Fonte: Microsoft-Windows-Kernel-General
Data: 30/11/2017 03:27:11
Identificação do Evento:16
Categoria da Tarefa:Nenhum
Nível: Informações
Palavras-chave:
Usuário: SERVIÇO LOCAL
Computador: HOME
Descrição:
O histórico de acesso no hive \??\C:\WINDOWS\AppCompat\Programs\Amcache.hve foi limpo, atualizando 3488 chaves e criando 810 páginas modificadas.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-General" Guid="{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}" />
<EventID>16</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-30T05:27:11.157119300Z" />
<EventRecordID>199711</EventRecordID>
<Correlation />
<Execution ProcessID="320" ThreadID="1992" />
<Channel>System</Channel>
<Computer>HOME</Computer>
<Security UserID="S-1-5-19" />
</System>
<EventData>
<Data Name="HiveNameLength">45</Data>
<Data Name="HiveName">\??\C:\WINDOWS\AppCompat\Programs\Amcache.hve</Data>
<Data Name="KeysUpdated">3488</Data>
<Data Name="DirtyPages">810</Data>
</EventData>
</Event>
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 30/11/2017 03:26:39
Identificação do Evento:4648
Categoria da Tarefa:Logon
Nível: Informações
Palavras-chave:Sucesso da Auditoria
Usuário: N/D
Computador: HOME
Descrição:
Tentativa de logon com uso de credenciais explícitas.
Requerente:
Identificação de segurança: SISTEMA
Nome da conta: HOME$
Domínio da conta: WORKGROUP
Identificação de logon: 0x3E7
Identificação de logon: {00000000-0000-0000-0000-000000000000}
Conta cujas credenciais foram utilizadas:
Nome da conta: DWM-1
Domínio da conta: Window Manager
GUID de logon: {00000000-0000-0000-0000-000000000000}
Servidor de destino:
Nome do servidor de destino: localhost
Informações adicionais: localhost
Informações do processo:
Identificação do processo: 0x288
Nome do processo: C:\Windows\System32\winlogon.exe
Informações da rede:
Endereço da rede: -
Porta: -
Este evento é gerado quando um processo tenta efetuar o logon em uma conta, especificando explicitamente suas credenciais. Comumente, ele ocorre em configurações do tipo lote como em tarefas programadas, ou quando se utiliza o comando RUNAS.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-11-30T05:26:39.514996200Z" />
<EventRecordID>183257</EventRecordID>
<Correlation />
<Execution ProcessID="696" ThreadID="744" />
<Channel>Security</Channel>
<Computer>HOME</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">HOME$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetUserName">DWM-1</Data>
<Data Name="TargetDomainName">Window Manager</Data>
<Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">localhost</Data>
<Data Name="TargetInfo">localhost</Data>
<Data Name="ProcessId">0x288</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
Continue reading...
Fonte: Microsoft-Windows-Kernel-General
Data: 30/11/2017 03:27:11
Identificação do Evento:16
Categoria da Tarefa:Nenhum
Nível: Informações
Palavras-chave:
Usuário: SERVIÇO LOCAL
Computador: HOME
Descrição:
O histórico de acesso no hive \??\C:\WINDOWS\AppCompat\Programs\Amcache.hve foi limpo, atualizando 3488 chaves e criando 810 páginas modificadas.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Kernel-General" Guid="{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}" />
<EventID>16</EventID>
<Version>0</Version>
<Level>4</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-11-30T05:27:11.157119300Z" />
<EventRecordID>199711</EventRecordID>
<Correlation />
<Execution ProcessID="320" ThreadID="1992" />
<Channel>System</Channel>
<Computer>HOME</Computer>
<Security UserID="S-1-5-19" />
</System>
<EventData>
<Data Name="HiveNameLength">45</Data>
<Data Name="HiveName">\??\C:\WINDOWS\AppCompat\Programs\Amcache.hve</Data>
<Data Name="KeysUpdated">3488</Data>
<Data Name="DirtyPages">810</Data>
</EventData>
</Event>
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Nome do Log: Security
Fonte: Microsoft-Windows-Security-Auditing
Data: 30/11/2017 03:26:39
Identificação do Evento:4648
Categoria da Tarefa:Logon
Nível: Informações
Palavras-chave:Sucesso da Auditoria
Usuário: N/D
Computador: HOME
Descrição:
Tentativa de logon com uso de credenciais explícitas.
Requerente:
Identificação de segurança: SISTEMA
Nome da conta: HOME$
Domínio da conta: WORKGROUP
Identificação de logon: 0x3E7
Identificação de logon: {00000000-0000-0000-0000-000000000000}
Conta cujas credenciais foram utilizadas:
Nome da conta: DWM-1
Domínio da conta: Window Manager
GUID de logon: {00000000-0000-0000-0000-000000000000}
Servidor de destino:
Nome do servidor de destino: localhost
Informações adicionais: localhost
Informações do processo:
Identificação do processo: 0x288
Nome do processo: C:\Windows\System32\winlogon.exe
Informações da rede:
Endereço da rede: -
Porta: -
Este evento é gerado quando um processo tenta efetuar o logon em uma conta, especificando explicitamente suas credenciais. Comumente, ele ocorre em configurações do tipo lote como em tarefas programadas, ou quando se utiliza o comando RUNAS.
XML de Evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4648</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-11-30T05:26:39.514996200Z" />
<EventRecordID>183257</EventRecordID>
<Correlation />
<Execution ProcessID="696" ThreadID="744" />
<Channel>Security</Channel>
<Computer>HOME</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">HOME$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetUserName">DWM-1</Data>
<Data Name="TargetDomainName">Window Manager</Data>
<Data Name="TargetLogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TargetServerName">localhost</Data>
<Data Name="TargetInfo">localhost</Data>
<Data Name="ProcessId">0x288</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
Continue reading...