info.txt - лог утилиты random's system information tool 1.09 2013-01-14 20:31:02 ======Список установленных программ====== Adobe Flash Player 11 ActiveX-->C:\Windows\system32\Macromed\Flash\FlashUtil32_11_5_502_146_ActiveX.exe -maintain activex Java 7 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217011FF} Элементы Яндекса 7.1 для Internet Explorer-->MsiExec.exe /X{4A4CAD7C-2CBE-493D-8C96-F2D0461E113D} ======Журнал событий "Система"====== Имя компьютера: 37L4247D28-05 Код события: 7036 Сообщение: Служба "Distributed Link Tracking Client" перешла в состояние stopped. Номер записи: 5 Источник: Service Control Manager Время записи: 20090714045645.074339-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 7036 Сообщение: Служба "Security Center" перешла в состояние stopped. Номер записи: 4 Источник: Service Control Manager Время записи: 20090714045645.074339-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 7036 Сообщение: Служба "Desktop Window Manager Session Manager" перешла в состояние stopped. Номер записи: 3 Источник: Service Control Manager Время записи: 20090714045645.074339-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 7036 Сообщение: Служба "Diagnostic Policy Service" перешла в состояние stopped. Номер записи: 2 Источник: Service Control Manager Время записи: 20090714045645.074339-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 7036 Сообщение: Служба "Microsoft Software Shadow Copy Provider" перешла в состояние stopped. Номер записи: 1 Источник: Service Control Manager Время записи: 20090714045645.074339-000 Тип события: Сведения Пользователь: =====Журнал событий "Приложения"===== Имя компьютера: 37L4247D28-05 Код события: 1001 Сообщение: Контейнер ошибки , тип 0 Имя события: PnPDriverNotFound Ответ: Нет данных Идентификатор CAB: 0 Сигнатура проблемы: P1: x86 P2: PCI\VEN_197B&DEV_2382&SUBSYS_30F4103C&REV_00 P3: P4: P5: P6: P7: P8: P9: P10: Вложенные файлы: C:\Windows\Temp\DMI1AB0.tmp.log.xml Эти файлы можно найти здесь: C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_x86_11115bbfbb23d0406174f9d711deaedd19dcea66_cab_06451b5c Символ анализа: Повторный поиск решения: 0 Идентификатор отчета: b5e38382-5e50-11e2-bedd-a7146462f6c2 Состояние отчета: 6 Номер записи: 5 Источник: Windows Error Reporting Время записи: 20130114134552.000000-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 5617 Сообщение: Windows Management Instrumentation Service subsystems initialized successfully Номер записи: 4 Источник: Microsoft-Windows-WMI Время записи: 20130114134551.000000-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 5615 Сообщение: Windows Management Instrumentation Service started sucessfully Номер записи: 3 Источник: Microsoft-Windows-WMI Время записи: 20130114134545.000000-000 Тип события: Сведения Пользователь: Имя компьютера: 37L4247D28-05 Код события: 1531 Сообщение: Служба профилей пользователей успешно запущена. Номер записи: 2 Источник: Microsoft-Windows-User Profiles Service Время записи: 20130114134542.308906-000 Тип события: Сведения Пользователь: NT AUTHORITY\система Имя компьютера: 37L4247D28-05 Код события: 4625 Сообщение: Подсистема EventSystem подавляет повторяющиеся элементы журнала событий в течение 86400 сек. Таймаут подавления управляется значением REG_DWORD с именем SuppressDuplicateDuration в следующем разделе реестра: HKLM\Software\Microsoft\EventSystem\EventLog. Номер записи: 1 Источник: Microsoft-Windows-EventSystem Время записи: 20130114134542.000000-000 Тип события: Сведения Пользователь: =====Журнал событий "Безопасность"===== Имя компьютера: 37L4247D28-05 Код события: 4672 Сообщение: Новому сеансу входа назначены специальные привилегии. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 Привилегии: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege Номер записи: 5 Источник: Microsoft-Windows-Security-Auditing Время записи: 20130114134523.152073-000 Тип события: Аудит успеха Пользователь: Имя компьютера: 37L4247D28-05 Код события: 4624 Сообщение: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-5-18 Имя учетной записи: 37L4247D28-05$ Домен учетной записи: WORKGROUP Код входа: 0x3e7 Тип входа: 5 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x1c4 Имя процесса: C:\Windows\System32\services.exe Сведения о сети: Имя рабочей станции: Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: Advapi Пакет проверки подлинности: Negotiate Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался. Номер записи: 4 Источник: Microsoft-Windows-Security-Auditing Время записи: 20130114134523.152073-000 Тип события: Аудит успеха Пользователь: Имя компьютера: 37L4247D28-05 Код события: 4902 Сообщение: Создана таблица политики аудита по пользователям. Число элементов: 0 Идентификатор политики: 0x24f9e Номер записи: 3 Источник: Microsoft-Windows-Security-Auditing Время записи: 20130114134515.586059-000 Тип события: Аудит успеха Пользователь: Имя компьютера: 37L4247D28-05 Код события: 4624 Сообщение: Вход с учетной записью выполнен успешно. Субъект: ИД безопасности: S-1-0-0 Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 0 Новый вход: ИД безопасности: S-1-5-18 Имя учетной записи: система Домен учетной записи: NT AUTHORITY Код входа: 0x3e7 GUID входа: {00000000-0000-0000-0000-000000000000} Сведения о процессе: Идентификатор процесса: 0x4 Имя процесса: Сведения о сети: Имя рабочей станции: - Сетевой адрес источника: - Порт источника: - Сведения о проверке подлинности: Процесс входа: - Пакет проверки подлинности: - Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0 Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен. Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe. В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой). Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход. В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным. Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход. - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC. - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход. - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM. - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался. Номер записи: 2 Источник: Microsoft-Windows-Security-Auditing Время записи: 20130114134513.355256-000 Тип события: Аудит успеха Пользователь: Имя компьютера: 37L4247D28-05 Код события: 4608 Сообщение: Выполняется запуск Windows. Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита. Номер записи: 1 Источник: Microsoft-Windows-Security-Auditing Время записи: 20130114134513.308455-000 Тип события: Аудит успеха Пользователь: ======переменные среды====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\ "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PROCESSOR_ARCHITECTURE"=x86 "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "USERNAME"=SYSTEM "windir"=%SystemRoot% "PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\ "NUMBER_OF_PROCESSORS"=2 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel "PROCESSOR_REVISION"=1706 -----------------EOF-----------------