Komputer bez zabezpieczeń

[odimen]

Witam

Kuzynka miała komputer bez zabezpieczeń, ma zainstalowane Bitdefender. Ma Vistę, kupowała komputer z Windą jak dopiero wchodziła więc nie wiedziałem jakie antywirki na to działają. Defender wtedy niby chodził tyle, że oprócz tego że był zainstalowany nie miał za dużo roboty, bo nikt na niego zwracał uwagi xD Automatyczne uptade robił ale skanowania automatycznego nie ustawiłem i dzisiaj było dopiero drugie...

Znalazł jakiś 4 wirusy które usunął. Komputer podłączony jest on line często ,wiec coś mogło się jeszcze zagnieździć. Aktualizacje windy na bieżącą się same ściągały i instalowały. Za chwile uruchomię jeszcze kasperky on-line. Byłbym wdzięczny jak byście mi już teraz napisali czy coś w logu jest nie tak Ponieważ za kilka godzin wyjeżdżam i nie będzie miał kto potencjalnych paskudztw usunąć.

Kod: Zaznacz wszystko

info.txt logfile of random's system information tool 1.06 2009-08-06 16:26:33

======Uninstall list======

-->"C:\Program Files\Creative Installation Information\CD_RIPPER_UNICODE_2\Setup.exe" /remove /l0x0009
-->"C:\Program Files\Creative Installation Information\CREATIVE_SYNC_MANAGER_U\Setup.exe" /remove /l0x0009
-->"C:\Program Files\Creative Installation Information\CREATIVE_VIDEO_CONVERTER\Setup.exe" /remove /l0x0009
-->"C:\Program Files\Creative Installation Information\ZEN_MTP_MEDIA_EXPLORER\Setup.exe" /remove /l0x0009
-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroBackItUp.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x9
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-0415-0000-0000000FF1CE} /uninstall {72776234-19F1-4688-9312-85FAF07143F4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-0415-0000-0000000FF1CE} /uninstall {72776234-19F1-4688-9312-85FAF07143F4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-0415-0000-0000000FF1CE} /uninstall {72776234-19F1-4688-9312-85FAF07143F4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0415-0000-0000000FF1CE} /uninstall {2D1F88C2-ADAE-47C4-8648-6EA8F7E6EB2D}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-006E-0415-0000-0000000FF1CE} /uninstall {94A4609B-0414-4427-81F3-0FD282A2D0D3}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-00A1-0415-0000-0000000FF1CE} /uninstall {72776234-19F1-4688-9312-85FAF07143F4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
32 Bit HP CIO Components Installer-->MsiExec.exe /I{2614F54E-A828-49FA-93BA-45A3F756BFAA}
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8 - Polish-->MsiExec.exe /I{AC76BA86-7AD7-1045-7B44-A81200000003}
Aktualizacja produktu Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-0415-0000-0000000FF1CE} /uninstall {04E205D6-88B1-4652-B162-42DF2C3B1228}
Aktualizacja produktu Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-0415-0000-0000000FF1CE} /uninstall {442ECBCF-94A7-48CC-8CD9-D31FFFD5FA86}
Aktualizacja produktu Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-0415-0000-0000000FF1CE} /uninstall {128A36ED-21BE-4547-9FFE-5B85AEC735DD}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiwizator WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ASUS Gamer OSD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F88C9E5-12BD-404F-AC6A-108BAAC9B708}\setup.exe" -l0x9  -removeonly
AudibleManager-->C:\Program Files\Audible\Bin\Upgrade.exe /Uninstall
BitComet 1.04-->C:\Program Files\BitComet\uninst.exe
BitDefender Free Edition v10-->MsiExec.exe /I{BDF62CC9-FE60-4F9D-8194-8EB7E6E1412D}
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
Creative System Information-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x9  /remove
Creative ZEN-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D24DDB61-8868-46CF-BC36-BECC1674F0C1}\SETUP.EXE" -l0x9  /remove
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Fakturka 1.07-->C:\Programy\fakturka\unins000.exe
Hattrick Organizer (remove only)-->C:\Users\Agata\Desktop\bartek\HattrickOrganizer\Uninstall.exe
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Customer cenzura! Program 8.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 8.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP OCR Software 8.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
HP Photosmart Essential-->MsiExec.exe /X{EB21A812-671B-4D08-B974-2A347F0D8F70}
HP Photosmart, Officejet, PSC and Deskjet All-In-One Driver Software 8.0.B-->C:\Program Files\HP\Digital Imaging\{C916D86C-AB76-49c7-B0E4-A946E0FD9BC2}\setup\hpzscr01.exe -datfile hposcr19.dat -onestop -showdisconnect -forcereboot
HP Product Assistant-->MsiExec.exe /I{36FDBE6E-6684-462B-AE98-9A39A1B200CC}
HP Solution Center 8.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
HP Update-->MsiExec.exe /X{7059BDA7-E1DB-442C-B7A1-6144596720A4}
HPSSupply-->MsiExec.exe /X{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Lektury na CD-->"C:\Program Files\Cartall\Lektury na CD\unins000.exe"
Linksys Compact Wireless-G USB Adapter Driver - WUSB54GC-->C:\Program Files\InstallShield Installation Information\{F855C3AE-992D-4B84-A09D-07103CDCDAC2}\setup.exe -runfromtemp -l0x0009 -removeonly
Microsoft Office Excel MUI (Polish) 2007-->MsiExec.exe /X{90120000-0016-0415-0000-0000000FF1CE}
Microsoft Office Home and Student 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall HOMESTUDENTR /dll OSETUP.DLL
Microsoft Office Home and Student 2007-->MsiExec.exe /X{91120000-002F-0000-0000-0000000FF1CE}
Microsoft Office OneNote MUI (Polish) 2007-->MsiExec.exe /X{90120000-00A1-0415-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Polish) 2007-->MsiExec.exe /X{90120000-0018-0415-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Polish) 2007-->MsiExec.exe /X{90120000-001F-0415-0000-0000000FF1CE}
Microsoft Office Proofing (Polish) 2007-->MsiExec.exe /X{90120000-002C-0415-0000-0000000FF1CE}
Microsoft Office Shared MUI (Polish) 2007-->MsiExec.exe /X{90120000-006E-0415-0000-0000000FF1CE}
Microsoft Office Word MUI (Polish) 2007-->MsiExec.exe /X{90120000-001B-0415-0000-0000000FF1CE}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.2)-->C:\Programy\Mozilla Firefox\uninstall\helper.exe
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Essentials-->MsiExec.exe /I{C1E544E5-EF3C-4103-A57B-3A499FD91045}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Niezbędnik CD-->C:\Windows\unins000.exe
Nokia Connectivity Cable Driver-->MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia Lifeblog 2.5-->MsiExec.exe /I{E94603CA-2996-4154-8EE2-A5FCD4BFB500}
Nokia NSeries Application Installer-->MsiExec.exe /I{FD349381-D79C-4E5C-8980-015DFFB962D5}
Nokia NSeries Content Copier-->MsiExec.exe /X{F779EC8D-6703-4C4A-817C-37B07898E647}
Nokia NSeries Multimedia Player-->MsiExec.exe /I{FA25FAF6-3097-43C9-BBB2-A77CE8AF1881}
Nokia NSeries One Touch Access-->MsiExec.exe /I{F4EE8763-EAA8-4BC1-8594-8501F5F00414}
Nokia NSeries System Utilities-->MsiExec.exe /X{96E94E18-54D6-42C1-8FC4-24DACEDC3395}
Nokia Software Launcher-->MsiExec.exe /I{A8C856AD-63CD-4613-AA29-E6C85607EA06}
Nokia Software Updater-->MsiExec.exe /X{3186AEAE-E104-424D-9152-1BF6A4404758}
Nowe Gadu-Gadu-->C:\Program Files\Nowe Gadu-Gadu\Uninstall.exe
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
PC Connectivity Solution-->MsiExec.exe /I{6094AB91-4CC8-498E-9DFF-134CC0B159DE}
Philips Intelligent Agent-->"C:\Program Files\Philips\Intelligent Agent\Uninst\unins000.exe"
ReadManiac 2.5.2-->"C:\Programy\ReadManiac\unins000.exe"
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office OneNote 2007 (KB950130)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {F1B2401C-B610-4BF2-AA1C-52C55827A8F4}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
SopCast 3.0.3-->C:\Program Files\SopCast\uninst.exe
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-002F-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
XviD MPEG-4 Video Codec-->C:\Windows\system32\rundll32.exe setupapi,InstallHinfSection Remove_XviD 132 C:\Windows\INF\xvid.inf
ZENcast Organizer-->"C:\Program Files\Creative Installation Information\ZENCAST_ORGANIZER\Setup.exe" /remove /l0x0009

======Security center information======

AV: Bitdefender Antivirus
AS: Windows Defender

======System event log======

Computer Name: Agata-PC
Event Code: 7036
Message: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP weszła w stan uruchomienia.
Record Number: 60437
Source Name: Service Control Manager
Time Written: 20090806135815.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 1001
Message: Skanowanie produktu Windows Defender zostało zakończone.
   Identyfikator skanowania: {53821D3F-177B-4E98-B79B-2F0894BB15E4}
     Typ skanowania: Program antyszpiegowski
   Parametry skanowania: Szybkie skanowanie
     Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA
   Czas skanowania: 0:57:17
Record Number: 60438
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090806140453.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 7036
Message: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP weszła w stan zatrzymania.
Record Number: 60439
Source Name: Service Control Manager
Time Written: 20090806141445.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 7036
Message: Usługa Pomoc techniczna panelu sterowania Raporty i rozwiązania problemów weszła w stan uruchomienia.
Record Number: 60440
Source Name: Service Control Manager
Time Written: 20090806142526.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 7036
Message: Usługa Pomoc techniczna panelu sterowania Raporty i rozwiązania problemów weszła w stan zatrzymania.
Record Number: 60441
Source Name: Service Control Manager
Time Written: 20090806142527.000000-000
Event Type: Informacje
User:

=====Application event log=====

Computer Name: Agata-PC
Event Code: 302
Message: WinMail (4728) WindowsMail0: The database engine has successfully completed recovery steps.
Record Number: 20977
Source Name: ESENT
Time Written: 20090806125337.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 103
Message: WinMail (4728) WindowsMail0: The database engine stopped the instance (0).
Record Number: 20978
Source Name: ESENT
Time Written: 20090806125414.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 1000
Message: Aplikacja powodująca błąd RSIT.exe, wersja 3.2.12.1, sygnatura czasowa 0x4850e379, moduł powodujący błąd sockspy.dll, wersja 0.0.0.0, sygnatura czasowa 0x458bf18b, kod wyjątku 0xc0000005, przesunięcie błędu 0x0000104a, identyfikator procesu 0x102c, godzina rozpoczęcia aplikacji 0x01ca16a1ac296203.
Record Number: 20979
Source Name: Application Error
Time Written: 20090806142512.000000-000
Event Type: Błąd
User:

Computer Name: Agata-PC
Event Code: 1001
Message: Pakiet błędów 1402037862, typ 1
Nazwa zdarzenia: APPCRASH
Odpowiedź: http://oca.microsoft.com/resredir.aspx?SID=9439&iBucketTable=1&iBucket=1402037862
Identyfikator pliku Cab: 0

Podpis problemu:
P1: RSIT.exe
P2: 3.2.12.1
P3: 4850e379
P4: sockspy.dll
P5: 0.0.0.0
P6: 458bf18b
P7: c0000005
P8: 0000104a
P9:
P10:

Dołączone pliki:
C:\Users\Agata\AppData\Local\Temp\WER27EB.tmp.version.txt

Te pliki mogą być dostępne tutaj:
C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Report0eba5dd9
Record Number: 20980
Source Name: Windows Error Reporting
Time Written: 20090806142526.000000-000
Event Type: Informacje
User:

Computer Name: Agata-PC
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 20981
Source Name: LightScribeService
Time Written: 20090806142632.000000-000
Event Type: Informacje
User:

=====Security event log=====

Computer Name: Agata-PC
Event Code: 4648
Message: Podjęto próbę logowania przy użyciu jawnych poświadczeń.

Podmiot:
   Identyfikator zabezpieczeń:   S-1-5-18
   Nazwa konta:   AGATA-PC$
   Domena konta:   WORKGROUP
   Identyfikator logowania:   0x3e7
   Identyfikator GUID logowania:   {00000000-0000-0000-0000-000000000000}

Konto, którego poświadczenia zostały użyte:
   Nazwa konta:   Agata
   Domena konta:   Agata-PC
   Identyfikator GUID logowania:   {00000000-0000-0000-0000-000000000000}

Serwer docelowy:
   Nazwa serwera docelowego:   localhost
   Informacje dodatkowe:   localhost

Informacje o procesie:
   Identyfikator procesu:   0x2e0
   Nazwa procesu:   C:\Windows\System32\winlogon.exe

Informacje o sieci:
   Adres sieciowy:   127.0.0.1
   Port:   0

To zdarzenie jest generowane, gdy proces podejmie próbę zalogowania się na koncie, określając w sposób jawny poświadczenia konta. To zdarzenie najczęściej występuje w konfiguracjach wsadowych, takich jak zaplanowane zadania, lub podczas używania polecenia RUNAS.
Record Number: 24943
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090423154111.525552-000
Event Type: Sukces inspekcji
User:

Computer Name: Agata-PC
Event Code: 4624
Message: Użytkownik pomyślnie zalogował się na koncie.

Podmiot:
   Identyfikator zabezpieczeń:      S-1-5-18
   Nazwa konta:      AGATA-PC$
   Domena konta:      WORKGROUP
   Identyfikator logowania:      0x3e7

Typ logowania:         2

Nowe logowanie:
   Identyfikator zabezpieczeń:      S-1-5-21-750660368-1668459557-3690056806-1000
   Nazwa konta:      Agata
   Domena konta:      Agata-PC
   Identyfikator logowania:      0x36670
   Identyfikator GUID logowania:      {00000000-0000-0000-0000-000000000000}

Informacje o procesie:
   Identyfikator procesu:      0x2e0
   Nazwa procesu:      C:\Windows\System32\winlogon.exe

Informacje o sieci:
   Nazwa stacji roboczej:   AGATA-PC
   Adres źródłowy sieci:   127.0.0.1
   Port źródłowy:      0

Szczegółowe informacje o uwierzytelnianiu:
   Proces logowania:      User32
   Pakiet uwierzytelniania:   Negotiate
   Usługi przejściowe:   -
   Nazwa pakietu (tylko NTLM):   -
   Długość klucza:      0

To zdarzenie jest generowane w momencie utworzenia sesji logowania. Jest ono generowane na komputerze, do którego został uzyskany dostęp.

Pola podmiotu wskazują konto w systemie lokalnym, które zażądało logowania. Najczęściej jest to usługa, na przykład usługa Serwer, lub proces lokalny taki jak Winlogon.exe lub Services.exe.

Pole typu logowania wskazuje rodzaj zaistniałego logowania. Najczęstsze typy to 2 (interakcyjne) i 3 (sieciowe).

Pola nowego logowania wskazują konto, dla którego zostało utworzone nowe logowanie, czyli konto, które zostało zalogowane.

Pola sieci wskazują lokalizację, z której pochodziło zdalne żądanie logowania. Nazwa stacji roboczej nie zawsze jest dostępna i w niektórych przypadkach może być pusta.

Pola informacji o uwierzytelnianiu zawierają szczegółowe informacje o tym konkretnym żądaniu logowania.
   - Identyfikator GUID logowania to unikatowy identyfikator, za pomocą którego można skorelować to zdarzenie ze zdarzeniem centrum dystrybucji kluczy.
   - Usługi przejściowe wskazują, które usługi pośrednie uczestniczyły w tym żądaniu logowania.
   - Nazwa pakietu wskazuje, który protokół podrzędny spośród protokołów NTLM został użyty.
   - Długość klucza wskazuje długość wygenerowanego klucza sesji. Jeśli nie zażądano klucza sesji, jest to wartość 0.
Record Number: 24944
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090423154111.525552-000
Event Type: Sukces inspekcji
User:

Computer Name: Agata-PC
Event Code: 4624
Message: Użytkownik pomyślnie zalogował się na koncie.

Podmiot:
   Identyfikator zabezpieczeń:      S-1-5-18
   Nazwa konta:      AGATA-PC$
   Domena konta:      WORKGROUP
   Identyfikator logowania:      0x3e7

Typ logowania:         2

Nowe logowanie:
   Identyfikator zabezpieczeń:      S-1-5-21-750660368-1668459557-3690056806-1000
   Nazwa konta:      Agata
   Domena konta:      Agata-PC
   Identyfikator logowania:      0x3668d
   Identyfikator GUID logowania:      {00000000-0000-0000-0000-000000000000}

Informacje o procesie:
   Identyfikator procesu:      0x2e0
   Nazwa procesu:      C:\Windows\System32\winlogon.exe

Informacje o sieci:
   Nazwa stacji roboczej:   AGATA-PC
   Adres źródłowy sieci:   127.0.0.1
   Port źródłowy:      0

Szczegółowe informacje o uwierzytelnianiu:
   Proces logowania:      User32
   Pakiet uwierzytelniania:   Negotiate
   Usługi przejściowe:   -
   Nazwa pakietu (tylko NTLM):   -
   Długość klucza:      0

To zdarzenie jest generowane w momencie utworzenia sesji logowania. Jest ono generowane na komputerze, do którego został uzyskany dostęp.

Pola podmiotu wskazują konto w systemie lokalnym, które zażądało logowania. Najczęściej jest to usługa, na przykład usługa Serwer, lub proces lokalny taki jak Winlogon.exe lub Services.exe.

Pole typu logowania wskazuje rodzaj zaistniałego logowania. Najczęstsze typy to 2 (interakcyjne) i 3 (sieciowe).

Pola nowego logowania wskazują konto, dla którego zostało utworzone nowe logowanie, czyli konto, które zostało zalogowane.

Pola sieci wskazują lokalizację, z której pochodziło zdalne żądanie logowania. Nazwa stacji roboczej nie zawsze jest dostępna i w niektórych przypadkach może być pusta.

Pola informacji o uwierzytelnianiu zawierają szczegółowe informacje o tym konkretnym żądaniu logowania.
   - Identyfikator GUID logowania to unikatowy identyfikator, za pomocą którego można skorelować to zdarzenie ze zdarzeniem centrum dystrybucji kluczy.
   - Usługi przejściowe wskazują, które usługi pośrednie uczestniczyły w tym żądaniu logowania.
   - Nazwa pakietu wskazuje, który protokół podrzędny spośród protokołów NTLM został użyty.
   - Długość klucza wskazuje długość wygenerowanego klucza sesji. Jeśli nie zażądano klucza sesji, jest to wartość 0.
Record Number: 24945
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090423154111.525552-000
Event Type: Sukces inspekcji
User:

Computer Name: Agata-PC
Event Code: 4672
Message: Przypisano specjalne uprawnienia do nowego logowania.

Podmiot:
   Identyfikator zabezpieczeń:      S-1-5-21-750660368-1668459557-3690056806-1000
   Nazwa konta:      Agata
   Domena konta:      Agata-PC
   Identyfikator logowania:      0x36670

Uprawnienia:      SeSecurityPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeTakeOwnershipPrivilege
         SeDebugPrivilege
         SeSystemEnvironmentPrivilege
         SeLoadDriverPrivilege
         SeImpersonatePrivilege
Record Number: 24946
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090423154111.525552-000
Event Type: Sukces inspekcji
User:

Computer Name: Agata-PC
Event Code: 5032
Message: Zapora systemu Windows nie może powiadomić użytkownika, że zablokowała aplikacji możliwość akceptowania połączeń przychodzących z sieci.

Kod błędu:   2
Record Number: 24947
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090423154154.691752-000
Event Type: Niepowodzenie inspekcji
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0f07
"NUMBER_OF_PROCESSORS"=4
"configsetroot"=%SystemRoot%\ConfigSetRoot

-----------------EOF-----------------


ten drugi dokument => http://wklej.org/id/131525/