Windows 10 wurde beim Start zufällig heruntergefahren und die Systemprotokolle gelöscht

tag-icon tag-icon windows windows-10 event-viewer
Windows 10 wurde beim Start zufällig heruntergefahren und die Systemprotokolle gelöscht

Ich habe einen Windows 10-Desktop, der unerwartet heruntergefahren wurde. Ich habe es nicht bemerkt, aber er ging zufällig offline. Als ich ihn wieder hochfuhr, war das erste Ereignis laut Ereignisprotokollen ein „Löschen des Protokolls“. Die Einzelheiten des Ereignisses finden Sie unten. Es wurde von Benutzer S-1-5-18 ausgeführt, was meiner Meinung nach der Systembenutzer ist? Ich sehe ihn nirgendwo anders aufgelistet, aber es gibt einige Datensätze im Gruppenrichtlinien-Editor, die auf ähnliche Benutzer verweisen: S-1-5-83 und S-1-5-21.

Nach dem Löschen des Systemprotokolls gab es 6 weitere Protokolllöschungsereignisse. 5 bezogen sich auf den VisualSVN-Server und 1 auf die RemoteDesktopSessionManager/Admin-Protokolldatei.

Ich habe vor Kurzem eine Systemwiederherstellung auf diesem Desktop durchgeführt, um das Betriebssystem auf eine neue Festplatte zu klonen. Ich bin mir also nicht sicher, ob diese Benutzer damit zu tun haben. Wie dem auch sei, das Löschen der Systemprotokolle erscheint verdächtig und verhindert, dass ich herausfinden kann, warum der Computer zufällig heruntergefahren wurde. Ich habe den Windows-Updateverlauf überprüft und der Neustart korreliert nicht mit einem Updatevorgang.

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
  <Provider Name="Microsoft-Windows-Eventlog" Guid="{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}" /> 
  <EventID>104</EventID> 
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>104</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8000000000000000</Keywords> 
  <TimeCreated SystemTime="2022-02-22T02:46:19.2450542Z" /> 
  <EventRecordID>123051</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="1456" ThreadID="11800" /> 
  <Channel>System</Channel> 
  <Computer>**********</Computer> 
  <Security UserID="S-1-5-18" /> 
  </System>
<UserData>
<LogFileCleared xmlns="http://manifests.microsoft.com/win/2004/08/windows/eventlog">
  <SubjectUserName>SYSTEM</SubjectUserName> 
  <SubjectDomainName>NT AUTHORITY</SubjectDomainName> 
  <Channel>System</Channel> 
  <BackupPath /> 
  </LogFileCleared>
  </UserData>
  </Event>

Sind diese Benutzerkonten und/oder der Protokolleintrag verdächtig?

verwandte Informationen