win10频繁出现4797事件，是被入侵了吗？

AbyssalSage

本人win10 1909 近日来频发问题，例如浏览器主页篡改、windows窗口自动关闭、网页有时提示502（刷新有时就能恢复）让我怀疑电脑中了病毒。但是用了很多杀毒软件在普通联网模式下查杀、安全模式下查杀、急救盘连网线查杀均查不出病毒。杀软用过360、腾讯管家、火绒、卡巴斯基、大蜘蛛、诺顿、小红伞、AVG等。系统也重做过N遍了，也用winpe全盘格式化+清除扇区数据过，但是依旧不能解决问题。
后来学会调查系统安全日志，发现了一天内总在一个集中的时间点出现4797事件，事件指向“试图查询帐户是否存在空白密码“，目标账户分别对应”Administrator“、”DefaultAccount“、”Guest“、”WDAGUtilityAccount“等系统内置账户。
并时而伴随4625登录失败的事件出现，这些4625的登陆类型是3（网络共享）登录账户是Guest，登录失败原因是账户被禁用
详情如下图
[img]https://i.loli.net/2020/05/23/M9uh2VnU13T5AF8.png [/img]
请问这是被黑客用远程木马或者后门入侵的现象吗？如果是我该如何防范解决这个问题呢？

KingStation

看表现应该是系统中有后门或局域网中有被入侵的机器,断网后仍有此问题建议重装系统

AbyssalSage

全盘格式化+清除扇区数据+重装系统都不能解决，依旧会出现这种现象。

DAVIDFREER

4625事件和你电脑本身没什么关系，你这个是被人在爆破，太正常了，把3389端口改了就好了，然后你的本地安全策略那里也要做一些验证上的优化，以禁止这种第三方软件爆破的行为。一般来说服务器不做安全优化就会这样，个人电脑也会这样倒是第一次听说。可能确实与你之前中病毒有关吧。

AbyssalSage

DAVIDFREER 发表于 2020-5-23 11:20
4625事件和你电脑本身没什么关系，你这个是被人在爆破，太正常了，把3389端口改了就好了，然后你的本地安全 ...

请问3389端口如何更改？本地安全策略的验证又如何去做？我完全听不懂。。。

KingStation

DAVIDFREER 发表于 2020-5-23 11:20
4625事件和你电脑本身没什么关系，你这个是被人在爆破，太正常了，把3389端口改了就好了，然后你的本地安全 ...

他主页都被改了哎

AbyssalSage

KingStation 发表于 2020-5-23 14:27
他主页都被改了哎

的确，不过不是特别频繁只出现过几次，windows窗口自动关闭从三月到现在大概关闭过两次。还有就是偶尔浏览器关闭时，会闪出一个类似命令提示符的黑窗然后瞬间消失。

DAVIDFREER

AbyssalSage 发表于 2020-5-23 15:46
的确，不过不是特别频繁只出现过几次，windows窗口自动关闭从三月到现在大概关闭过两次。还有就是偶尔浏 ...

试试我说的，我不认为我说的和你的主页被改有冲突，至于方法百度很多，先把端口改了看是否还有4625事件。

DAVIDFREER

KingStation 发表于 2020-5-23 14:27
他主页都被改了哎

主页被改的原因有很多，解决问题要从一点入手，根据后续现象逐步排查，我不认为我说的和主页被改有什么冲突，前期中了毒导致主页被改，并把电脑做了肉鸡，他重做系统后，那边依然在根据ip反复自动连很正常。至于他说的其他现象，是否是同一个问题导致的还有待商榷。

KingStation

DAVIDFREER 发表于 2020-5-23 16:54
主页被改的原因有很多，解决问题要从一点入手，根据后续现象逐步排查，我不认为我说的和主页被改有什么冲 ...

嗯，赞同赞同
不过我很好奇为什么他这个是固定IP，服务器吗？家用宽带现在都是动态IP了吧