Spolubydlící se mi asi vrtal v pc - ověření

[Trhanec]

Zdravím, mam trochu podezření na spolubydlícího, že se mi vrtal v pc, když jsem tu nebyl. Když jsem přišel, byl pc vypnutý uplně, já ho dávám jen do režimu spánku. Při startu se mě to ptalo, jestli chci pustit pc normálním způsobem, takže byl vypnut natvrdo. Mohla to být bouřka, ale to se mi nezdálo, tak jsem mrkl do údálostí co se dělo v pc. Našel jsem, že pc byl 0:30 zapnut a pár hlášek - Službě Podpora rozhraní NetBIOS nad protokolem TCP/IP byl úspěšně odeslán ovládací prvek Zastaveno.

Byl zadán důvod: 0x40030011 [Operační systém: Připojení k síti (Plánováno)]

Tahle hláška znamená co? Další vykřičník u události v 0:30 když jsem tu nebyl - Překlad názvu teredo.ipv6.microsoft.com nebyl v požadované době dokončen. Žádný z nakonfigurovaných serverů DNS neodpověděl.
Předchozí vypnutí systému (0:38:11, ‎9.‎6.‎2013) bylo neočekávané.
Stav služby Funkčnost aplikací byl změněn na: Zastaveno
Stav služby Služba Plánovač multimédií byl změněn na: Zastaveno
Stav služby Načítání obrázků (WIA) byl změněn na: Spuštěno

Jsou tohle normální události co se dějou v pc nebo to někdo musel měnit? V pc mám normálně heslo, ale vím, že se to dá obejít - windows 7.
Je někde ještě možnost jak tohle zjistit na 100%? Jestli nějak obcházel to heslo, tak jestli je někde záznam.

EDIT: z 0:30
Novému přihlášení byla přiřazena zvláštní oprávnění.

Předmět:
ID zabezpečení: SYSTEM
Název účtu: SYSTEM
Doména účtu: NT AUTHORITY
ID přihlášení: 0x3e7

Oprávnění: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
další

Účet byl úspěšně přihlášen.

Předmět:
ID zabezpečení: SYSTEM
Název účtu: DAN-PC$
Doména účtu: WORKGROUP
ID přihlášení: 0x3e7

Typ přihlášení: 5

Nové přihlášení:
ID zabezpečení: SYSTEM
Název účtu: SYSTEM
Doména účtu: NT AUTHORITY
ID přihlášení: 0x3e7
GUID přihlášení: {00000000-0000-0000-0000-000000000000}

Informace o procesu:
ID procesu: 0x208
Název procesu: C:\Windows\System32\services.exe

Informace o síti:
Název pracovní stanice:
Adresa zdrojové sítě -
Zdrojový port: -

Podrobné informace o ověření:
Proces přihlášení: Advapi
Balíček ověření: Negotiate
Přenosové služby: -
Název balíčku (pouze NTLM): -
Délka klíče: 0

[Tomina]

Těžko říct, btw. proč si tam nedáš heslo? Měl bys po problému..

[Trhanec]

Musíš to číst celý, psal jsem, že mám normálně heslo. Udělám mu pěkný peklo už jen proto, jestli mi vlezl do pokoje a zkoušel se mi dostat do Pc, to jestli se do něj dostal už je jedno.

--- Doplnění předchozího příspěvku (09 Čer 2013 19:46) ---

Tady ještě jedna zajímavá věc z toho 0:30
Účet byl úspěšně přihlášen.

Předmět:
ID zabezpečení: SYSTEM
Název účtu: DAN-PC$
Doména účtu: WORKGROUP
ID přihlášení: 0x3e7

Typ přihlášení: 5

Nové přihlášení:
ID zabezpečení: SYSTEM
Název účtu: SYSTEM
Doména účtu: NT AUTHORITY
ID přihlášení: 0x3e7
GUID přihlášení: {00000000-0000-0000-0000-000000000000}

Informace o procesu:
ID procesu: 0x208
Název procesu: C:\Windows\System32\services.exe

Informace o síti:
Název pracovní stanice:
Adresa zdrojové sítě -
Zdrojový port: -


a pak další

Novému přihlášení byla přiřazena zvláštní oprávnění.

Předmět:
ID zabezpečení: SYSTEM
Název účtu: SYSTEM
Doména účtu: NT AUTHORITY
ID přihlášení: 0x3e7

Oprávnění: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege

--- Doplnění předchozího příspěvku (09 Čer 2013 20:00) ---

Hmm tak jsem koukal na další logy a zvláštní přihlášení a novému přihlášení byla přiřazena zvláštní oprávnění, není nic neobvyklého, ale pokud v logu stojí 0:34 úspěšné přihlášení, tak to mluví za vše předpokládám? Je asi jasný, že se do pc někdo úspěšně přihlásil, a já to v 0:30 nebyl, takže je to asi jasný....

[petr22]

Jak mas nastavene bootovani - USB, CD? Je BIOS chranen heslem? Pres to se nejde dostat aniz bys to poznal.

Jinak doporucuji torturu 1. a 2. stupne, je to nejjednodussi

[X]

Pokud došlo k mžikovému výpadku proudu, PC se restartuje ...

[Trhanec]

Bis chráněnej heslem není, to hned napravim. Spolubydlící druhej, mi řekl, že spadla elektrika včera, jelikož jsem měl pc v režimu spánku, tak to by vysvětlovalo vypnutí pc. Dveře jsem asi nechal otevřený já, když jsem odjížděl. Jen mě tam znervozňuje, jak to píše, že bylo úspěšně přihlášeno.
a s tou torturou vůbec nemám tušení o čem mluvíš :)

[El Diablo]

http://cs.wikipedia.org/wiki/Pr%C3%A1vo ... trpn%C3%A9

[petr22]

Strucne receno, ho budes mucit (to je ta tortura) dokud se neprizna. Obvykle se ti prizna, i kdyz nic neudelal.

Jinak to co se ti tam uspesne prihlasuje je ucet SYSTEM (ne uzivatel), coz bych rekl ze bude po kazdem startu PC aniz by se nekdo prihlasoval

[Trhanec]

Mě nějak nenapadlo si to spojit s timhle, každopádně i tak jsem neměl tušení co tortura je :) Člověk se neustále učí, díky...
Tak pokud to takhle zapíše i systém do logu, tak to vše vysvětluje. No jsem rád, že ho nemusim zabíjet...
Díky.

[MiliNess]

K přihlášení sice došlo, ale k přihlášení účtu Local System. Myslím, že spolubydlícího podezříváš neprávem a došlo k restartu počítače.
Takovýto výcuc je na ho*no. Pokud chceš něco zjistit, vyexportuj v prohlížeči událostí protokoly Zabezpečení, Aplikace a Systém, vyexportuj je do .evtx souborů a upni na http://www.leteckaposta.cz.
A napiš časový interval, ve kterém k tomu proniknutí do PC mělo dojít.

[petr22]

Zapni PC, neprihlasuj se, vypni ho a podivej se do logu.

Solubidliciho bych zatim nezabijel, staci natahnout na skripec nebo lamat v kole - nikdy nevis, co na tebe chysta

[MiliNess]

A co se týká tortury, perfektní je prý elektroda zavedená do močové trubice + příslušné napětí.