求大神帮我分析一下电脑是否被入侵了，很焦虑

pilibeibei12315

最近觉得自己电脑比较诡异，所以比较留意。之前出现过第二天屏幕分辨率发生改变（我一般远程控制时会降低分辨率，但是前一天没记得远程控制过）。出现过自己屏幕被关闭。出现过来到办公室自己好几个抽屉大开。2021年9月9日，晚上22点多去办公室解锁后发现桌面打开一个空白的word没有印象自己何时这样操作过。感觉电脑或许被人动过。后来发现9月4日之前的事件管理器安全日志还是没有的。
打开recent：

显示18:17和18:20的时候有几个文件的保存操作。这几个文件是自己之前打开的。那个时间段自己肯定没有动电脑。查看事件管理器：


18点19分有很多4648和4624事件，没出现4625（登录失败事件），图中字母表示登录的账户，数字表示4624事件的类型，其中2表示通过键盘解锁事件。比较奇怪的地方在于19分解锁，17分文件是怎么修改或者保存的，在19分42秒出现以我的账户JIM成功登录的记录，并且4624也是2。打开向日葵日志
19分时也有日志产生，这种日志在我重启完计算机后，当向日葵服务启动时会生成日志。查看系统更新：

显示9月9日有更新，但百度没有查到获得更新开始和结束的时间的方法。比较诡异的地方：1.空白word是打开的2.如果是有人当面解锁我电脑，为什么4648日志前几条是其他账户的登录信息，而且会在登录之前就执行保存文件操作。3.如果是电脑入侵，为什么日志类型是2，而不是远程登录（10还是11来着）4.事件管理器，安全里，9月4日之前的信息不见了，是被刻意删除的，还是清理垃圾误删的，还是有自动清除机制？

Lopht

感觉好矛盾。像又不像。
应该是多虑了吧，系统日志有大小限制，超过限额会自动清理。
系统后台静默保存也是可能的，特别是后台更新，至于文件在锁屏下自动访问，应该不会。
按理说如果有人恶意访问了且有觉悟去删了日志的话，那为什么还留个最近访问的“尾巴”不清理呢。
但新建个空白文件的行为也太诡异了，这个确实不合常理吧。
不知道你的电脑上有几个账户，有什么样的权限。我看你工科出身能力应该挺强。看看windows defender还开着吧，查下系统启动吧，看是不是有恶意软件。我直到有种恶意软件可以利用win10漏洞，在登陆界面可以绕过密码以用户名身份登陆。你在登陆界面点下右下角的时钟图标（轻松使用）--讲述人（这是win10密码绕过的恶意程序入口），看看是否能绕过密码。
杀个毒，查看下电脑的用户列表，删除不需要的用户，改个强密码，应该没事。
当然，如果你不放心，也可以搭个“小蜜罐”，在桌面或显眼的地方放个名字诱惑点的文件（其实自己写一个更好，被点击运行后在电脑某个目录生成特定日志。）内容不妨做得真点。自己不点，哪天发现被动了，那就是不安全了呗。

freelive

建议你先断网一段时间，查看一下日志。确定下网络远程还是本地操作。更好的定位问题，注意查看启动项和服务。

浪尘

我记得有个操作记录的，可以打开看最近发生了哪些操作

pilibeibei12315

Lopht 发表于 2021-9-12 20:33
感觉好矛盾。像又不像。
应该是多虑了吧，系统日志有大小限制，超过限额会自动清理。
系统后台静默保存也 ...

感谢大哥回复，我电脑的账户如图所示，guest也是隶属于guest，防火墙开着，系统启动文件夹是空的，讲述人那里我点了进不去桌面，用卡巴斯基全盘杀了没有木马，有几个软件提示感叹号，用火绒杀毒杀了关键区没有异常，准备弄个小蜜罐了。