info.txt logfile of random's system information tool 1.10 2015-07-18 19:54:38 ======MBR====== 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ninstall list====== -->F:\Program files\Syberia 2\Syberia 2\unins000.exe -->MsiExec /X{C963C417-CFE3-4950-8B83-466AED0C1599} 7-Zip 15.05 beta x64-->C:\Program Files\7-Zip\Uninstall.exe Adobe Acrobat XI Pro-->MsiExec.exe /I{AC76BA86-1033-FFFF-7760-000000000006} Adobe Digital Editions 4.0-->"C:\Program Files (x86)\Adobe\Adobe Digital Editions 4.0\uninstall.exe" AIDA64 Extreme v5.00-->"C:\Program Files (x86)\FinalWire\AIDA64 Extreme\unins000.exe" Altap Salamander 3.06 (x64)-->C:\Program Files\Altap Salamander\remove\remove.exe AMD Accelerated Video Transcoding-->MsiExec.exe /X{1D1CB210-D05E-5BF4-F998-2B1903EE4323} AMD Catalyst Install Manager-->msiexec /q/x{B73DADFD-55B4-2DB6-2A03-7162A7D5AC81} REBOOT=ReallySuppress ArcSoft TotalMedia Theatre 6-->"C:\Program Files (x86)\InstallShield Installation Information\{5232358C-7C23-4319-8271-E43F924196AC}\setup.exe" -runfromtemp -l0x0413 -removeonly ArcSoft TotalMedia Theatre 6-->C:\Program Files (x86)\InstallShield Installation Information\{5232358C-7C23-4319-8271-E43F924196AC}\setup.exe Arena 3.5-->"C:\Program Files (x86)\Arena\unins000.exe" Asmedia ASM104x USB 3.0 Host Controller Driver-->MsiExec.exe /X{E4FB0B39-C991-4EE7-95DD-1A1A7857D33D} AVG PC TuneUp 2015-->C:\Program Files (x86)\AVG\AVG PC TuneUp\TUInstallHelper.exe --Trigger-Uninstall AviSynth 2.6-->"C:\Program Files (x86)\AviSynth 2.5\Uninstall.exe" Catalyst Control Center - Branding-->MsiExec.exe /I{11087D24-567D-7D88-69C6-D7A08B5F4C47} CCC2-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{8B1A559A-FB9D-42F5-A8A7-2F132CF28414}\setup.exe" -l0x13 Chess Assistant 14-->"C:\Chess Assistant 14\unins000.exe" ChessBase 13 64-bit-->MsiExec.exe /I{DC2A2AB5-1DFB-4DFA-889A-2735543DC636} ComicRack v0.9.176-->C:\Program Files\ComicRack\uninst.exe DAEMON Tools Pro-->C:\Program Files (x86)\DAEMON Tools Pro\uninst.exe DVD Rebuilder-->"C:\Program Files (x86)\DVD-RB PRO\unins000.exe" DVDFab 9.2.0.2 (10/06/2015)-->"C:\Program Files (x86)\DVDFab 9\unins000.exe" Eusing Free Registry Cleaner-->C:\PROGRA~2\EUSING~1\UNWISE.EXE C:\PROGRA~2\EUSING~1\INSTALL.LOG FastStone Image Viewer 5.3-->C:\Program Files (x86)\FastStone Image Viewer\uninst.exe ffdshow v1.3.4504 [2013-03-12]-->"C:\Program Files (x86)\ffdshow\unins000.exe" Gabriel Knight Sins of the Fathers-->"F:\Program files\Gabriel Knight Sins of the Fathers\unins000.exe" Google Toolbar for Internet Explorer-->"C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarManager_BA9226F4C70BECC2.exe" /uninstall Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C} Google Update Helper-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Grim Fandango Remastered-->"F:\Program files\Grim Fandango Remastered\unins000.exe" Haali Media Splitter-->"C:\Program Files (x86)\Haali\MatroskaSplitter\uninstall.exe" HL-1110 series-->"C:\Program Files (x86)\InstallShield Installation Information\{4F2442B7-A89E-42A4-8F0E-6937499855CA}\Setup.exe" -runfromtemp -l0x0013 UNINSTALL Reg=DSL-PRT -removeonly ImgBurn-->"C:\Program Files (x86)\ImgBurn\uninstall.exe" IncrediBackup-->MsiExec.exe /X{D44222FB-31A2-4D2B-B222-D0C5599F28D0} IncrediBackup-->MsiExec.exe /X{D44222FB-31A2-4D2B-B222-D0C5599F28D0} ARPVAL="UnInst" /qf /L*V "%temp%\IncrediBackupUninstallLog.log" IncrediMail 2.0-->C:\Program Files (x86)\IncrediMail\Bin\ImSetup.exe /uninstallProduct /addon:incredimail IncrediMail JunkFilter Plus-->MsiExec.exe /X{DC754D8F-1D06-4016-BF57-8D21F97E1F0A} /qf /Lpar C:\Users\Hans\AppData\Local\Temp\\JfpUnInstall.log IncrediMail-->MsiExec.exe /X{FDFE5E63-116A-4655-9B4D-29F4AFE441B3} JMicron JMB36X Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x9 -removeonly JunkFilterPlus-->MsiExec.exe /X{DC754D8F-1D06-4016-BF57-8D21F97E1F0A} KMSpico v9.1.3-->"C:\Program Files\KMSpico\unins000.exe" LAV Filters 0.63.0-->"C:\Program Files (x86)\LAV Filters\unins000.exe" Malwarebytes Anti-Malware versie 2.1.6.1022-->"C:\Program Files (x86)\Malwarebytes Anti-Malware\unins000.exe" Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00} Microsoft Visual C++ 2005 Redistributable (x64)-->MsiExec.exe /X{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{710f4c1c-cc18-4c49-8cbf-51240c89a1a2} Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148-->MsiExec.exe /X{4B6C7001-C7D6-3710-913E-5BC23FCE91E6} Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161-->MsiExec.exe /X{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{6AFCA4E1-9B78-3640-8F72-A7BF33448200} Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219-->MsiExec.exe /X{1D8E6291-B0D5-35EC-8441-6616F567A0F7} Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219-->MsiExec.exe /X{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5} Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727-->"C:\ProgramData\Package Cache\{15134cb0-b767-4960-a911-f2d16ae54797}\vcredist_x64.exe" /uninstall Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030-->"C:\ProgramData\Package Cache\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}\vcredist_x64.exe" /uninstall Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727-->"C:\ProgramData\Package Cache\{22154f09-719a-4619-bb71-5b3356999fbf}\vcredist_x86.exe" /uninstall Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.51106-->"C:\ProgramData\Package Cache\{8e70e4e1-06d7-470b-9f74-a51bef21088e}\vcredist_x86.exe" /uninstall Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.50727-->MsiExec.exe /X{AC53FC8B-EE18-3F9C-9B59-60937D0B182C} Microsoft Visual C++ 2012 x64 Additional Runtime - 11.0.61030-->MsiExec.exe /X{37B8F9C7-03FB-3253-8781-2517C99D7C00} Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.50727-->MsiExec.exe /X{A2CB1ACB-94A2-32BA-A15E-7D80319F7589} Microsoft Visual C++ 2012 x64 Minimum Runtime - 11.0.61030-->MsiExec.exe /X{CF2BEA3C-26EA-32F8-AA9B-331F7E34BA97} Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.50727-->MsiExec.exe /X{FDB30193-FDA0-3DAA-ACCA-A75EEFE53607} Microsoft Visual C++ 2012 x86 Additional Runtime - 11.0.51106-->MsiExec.exe /X{6C772996-BFF3-3C8C-860B-B3D48FF05D65} Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.50727-->MsiExec.exe /X{2F73A7B2-E50E-39A6-9ABC-EF89E4C62E36} Microsoft Visual C++ 2012 x86 Minimum Runtime - 11.0.51106-->MsiExec.exe /X{E824E81C-80A4-3DFF-B5F9-4842A9FF5F7F} Microsoft_VC80_CRT_x86-->MsiExec.exe /I{92D58719-BBC1-4CC3-A08B-56C9E884CC2C} Microsoft_VC90_CRT_x86-->MsiExec.exe /I{08D2E121-7F6A-43EB-97FD-629B44903403} Movie Collector-->"C:\Program Files\Movie Collector\unins000.exe" MPC-HC 1.7.9 (64-bit)-->"C:\Program Files\MPC-HC\unins000.exe" NewsLeecher v3.9 Final-->"C:\Program Files (x86)\NewsLeecher\unins000.exe" NVIDIA PhysX-->MsiExec.exe /I{C963C417-CFE3-4950-8B83-466AED0C1599} OpenAL-->"C:\Program Files (x86)\OpenAL\oalinst.exe" /U OpenOffice 4.1.1-->MsiExec.exe /I{89FD914D-4472-4E4F-8638-69E857E82DC9} PerfectDisk Professional Business-->MsiExec.exe /I{682B22AB-EAAA-4B1C-83AF-B26E7D4ED01E} QoQReVerse-->C:\Program Files (x86)\QoQReverse\Uninstall.exe QuickPar 0.9-->C:\Program Files (x86)\QuickPar\uninst.exe Realtek Ethernet Controller Driver-->C:\Program Files (x86)\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\setup.exe -runfromtemp -removeonly Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -removeonly Revo Uninstaller Pro 3.1.2-->"C:\Program Files\VS Revo Group\Revo Uninstaller Pro\unins000.exe" Sherlock Holmes Crimes and Punishments-->"F:\Program files\Sherlock Holmes Crimes and Punishments\unins000.exe" Skype Click to Call-->MsiExec.exe /X{6D1221A9-17BF-4EC0-81F2-27D30EC30701} Skype™ 7.6-->MsiExec.exe /X{24991BA0-F0EE-44AD-9CC8-5EC50AECF6B7} SolSuite 2015 v15.6-->"C:\Program Files (x86)\SolSuite\unins000.exe" Spotnet-->"C:\Program Files (x86)\Spotnet\unins000.exe" SpyHunter-->MsiExec.exe /X{AF549236-6258-4AC6-A043-5B5B89C6EB61} Start Menu 8-->"C:\Program Files (x86)\IObit\Start Menu 8\unins000.exe" Steam-->C:\Program Files (x86)\Steam\uninstall.exe Stellar Phoenix Windows Data Recovery - Professional-->"C:\Program Files (x86)\Stellar Phoenix Windows Data Recovery\unins000.exe" Subtitle Edit 3.4.6-->"C:\Program Files (x86)\Subtitle Edit\unins000.exe" Subtitle Workshop 6.0b-->"C:\Program Files (x86)\Subtitle Workshop\uninstall.exe" Syberia 2-->"F:\Program files\Syberia 2\Syberia 2\unins000.exe" Tesla Effect: A Tex Murphy Adventure-->"F:\Program files\Tesla Effect A Tex Murphy Adventure\unins000.exe" The Lost Crown-->"C:\Program Files (x86)\Steam\steam.exe" steam://uninstall/291710 Van Dale Grote woordenboeken Engels 2.1-->E:\Programmas\Woordenboeken\Engels\uninstall.exe VLC media player-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe WinRAR 5.21 (64-bit)-->C:\Program Files\WinRAR\uninstall.exe yEncBin Poster 1.0.457 (Beta 2)-->"C:\Users\Public\Hans\yEncBin Poster\unins000.exe" ======Hosts File====== 127.0.0.1 activation.acronis.com 127.0.0.1 activate.adobe.com 127.0.0.1 practivate.adobe.com ======System event log====== Computer Name: Vishera Event Code: 16 Message: De toegangsgeschiedenis in component \??\C:\Users\Hans\AppData\Local\Packages\junipernetworks.junospulsevpn_cw5n1h2txyewy\Settings\settings.dat is gewist, waarbij 2 sleutels zijn bijgewerkt en 1 gewijzigde pagina's zijn gemaakt. Record Number: 34958 Source Name: Microsoft-Windows-Kernel-General Time Written: 20140926225214.181514-000 Event Type: Informatie User: Vishera\Hans Computer Name: Vishera Event Code: 16 Message: De toegangsgeschiedenis in component \??\C:\Users\Hans\AppData\Local\Packages\filemanager_cw5n1h2txyewy\Settings\settings.dat is gewist, waarbij 2 sleutels zijn bijgewerkt en 1 gewijzigde pagina's zijn gemaakt. Record Number: 34957 Source Name: Microsoft-Windows-Kernel-General Time Written: 20140926225214.110509-000 Event Type: Informatie User: Vishera\Hans Computer Name: Vishera Event Code: 16 Message: De toegangsgeschiedenis in component \??\C:\Users\Hans\AppData\Local\Packages\f5.vpn.client_cw5n1h2txyewy\Settings\settings.dat is gewist, waarbij 2 sleutels zijn bijgewerkt en 1 gewijzigde pagina's zijn gemaakt. Record Number: 34956 Source Name: Microsoft-Windows-Kernel-General Time Written: 20140926225214.039456-000 Event Type: Informatie User: Vishera\Hans Computer Name: Vishera Event Code: 16 Message: De toegangsgeschiedenis in component \??\C:\Users\Hans\AppData\Local\Packages\checkpoint.vpn_cw5n1h2txyewy\Settings\settings.dat is gewist, waarbij 2 sleutels zijn bijgewerkt en 1 gewijzigde pagina's zijn gemaakt. Record Number: 34955 Source Name: Microsoft-Windows-Kernel-General Time Written: 20140926225213.925228-000 Event Type: Informatie User: Vishera\Hans Computer Name: Vishera Event Code: 7045 Message: Er is een service geïnstalleerd. Servicenaam: WinDivert1.1 Naam servicebestand: C:\Program Files\KMSpico\WinDivert.sys Servicetype: stuurprogramma voor kernelmodus Starttype van service: starten op aanvraag Serviceaccount: Record Number: 34954 Source Name: Service Control Manager Time Written: 20140926205902.549944-000 Event Type: Informatie User: NT AUTHORITY\SYSTEM =====Application event log===== Computer Name: Vishera Event Code: 0 Message: Record Number: 53861 Source Name: gusvc Time Written: 20150108201506.000000-000 Event Type: Informatie User: Computer Name: Vishera Event Code: 0 Message: Record Number: 53860 Source Name: gusvc Time Written: 20150108201406.000000-000 Event Type: Informatie User: Computer Name: Vishera Event Code: 1001 Message: Foutbucket -618358012, type 1 Naam van gebeurtenis: APPCRASH Antwoord: Niet beschikbaar Id van CAB-bestand: 0 Handtekening van probleem: P1: MovieCollector.exe P2: 9.0.0.6 P3: 00000000 P4: StackHash_4c4a P5: 0.0.0.0 P6: 00000000 P7: c0000005 P8: PCH_F8_FROM_ntdll+0x0003CEEC P9: P10: Toegevoegde bestanden: C:\Users\Hans\AppData\Local\Temp\WERD6DA.tmp.appcompat.txt C:\Users\Hans\AppData\Local\Temp\WERD7B6.tmp.WERInternalMetadata.xml C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportQueue\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_cab_0a82d7c4\memory.hdmp C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportQueue\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_cab_0a82d7c4\triagedump.dmp Deze bestanden zijn mogelijk hier beschikbaar: C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportArchive\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_24f6dc09 Analysesymbool: Opnieuw zoeken naar oplossing: 0 Rapport-id: ac18c5f4-976d-11e4-8412-5404a638344a Rapportstatus: 0 Opgedeelde bucket: 01e39080987292eff3e3efcd83d923b7 Record Number: 53859 Source Name: Windows Error Reporting Time Written: 20150108193644.000000-000 Event Type: Informatie User: Computer Name: Vishera Event Code: 1001 Message: Foutbucket , type 0 Naam van gebeurtenis: APPCRASH Antwoord: Niet beschikbaar Id van CAB-bestand: 0 Handtekening van probleem: P1: MovieCollector.exe P2: 9.0.0.6 P3: 00000000 P4: StackHash_4c4a P5: 0.0.0.0 P6: 00000000 P7: c0000005 P8: PCH_F8_FROM_ntdll+0x0003CEEC P9: P10: Toegevoegde bestanden: C:\Users\Hans\AppData\Local\Temp\WERD6DA.tmp.appcompat.txt C:\Users\Hans\AppData\Local\Temp\WERD7B6.tmp.WERInternalMetadata.xml C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportQueue\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_cab_0a82d7c4\memory.hdmp C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportQueue\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_cab_0a82d7c4\triagedump.dmp Deze bestanden zijn mogelijk hier beschikbaar: C:\Users\Hans\AppData\Local\Microsoft\Windows\WER\ReportQueue\AppCrash_MovieCollector.e_439fdb5652f96175d851814761dfcf5023a506d_cfc0eb11_cab_0a82d7c4 Analysesymbool: Opnieuw zoeken naar oplossing: 0 Rapport-id: ac18c5f4-976d-11e4-8412-5404a638344a Rapportstatus: 4 Opgedeelde bucket: Record Number: 53858 Source Name: Windows Error Reporting Time Written: 20150108193643.000000-000 Event Type: Informatie User: Computer Name: Vishera Event Code: 1000 Message: Naam van toepassing met fout: MovieCollector.exe, versie: 9.0.0.6, tijdstempel: 0x00000000 Naam van module met fout: unknown, versie: 0.0.0.0, tijdstempel: 0x00000000 Uitzonderingscode: 0xc0000005 Foutmarge: 0xab392964 Id van proces met fout: 0x13ec Starttijd van toepassing met fout: 0x01d02b7a6e659b92 Pad naar toepassing met fout: C:\Program Files (x86)\Collectorz.com\Movie Collector\MovieCollector.exe Pad naar module met fout: unknown Rapport-id: ac18c5f4-976d-11e4-8412-5404a638344a Volledige pakketnaam met fout: Relatieve toepassings-id van pakket met fout: Record Number: 53857 Source Name: Application Error Time Written: 20150108193643.000000-000 Event Type: Fout User: =====Security event log===== Computer Name: Vishera Event Code: 4624 Message: Er is een account aangemeld. Onderwerp: Beveiligings-id: S-1-5-18 Accountnaam: VISHERA$ Accountdomein: WORKGROUP Aanmeldings-id: 0x3E7 Aanmeldingstype: 7 Imitatieniveau: Imitatie Nieuwe aanmelding: Beveiligings-id: S-1-5-21-17723306-1273488591-2101582234-1001 Accountnaam: h.christen@chello.nl Accountdomein: MicrosoftAccount Aanmeldings-id: 0x8032C Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Procesgegevens: Proces-id: 0x2c0 Naam proces: C:\Windows\System32\lsass.exe Netwerkgegevens: Naam van werkstation: VISHER Netwerkadres van bron: - Poort van bron: - Gedetailleerde verificatiegegevens: Aanmeldingsproces: Negotiat Verificatiepakket: Negotiate Doorgezette services: - Pakketnaam (alleen NTLM): - Sleutellengte: 0 Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen. De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe. In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk). Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld. In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn. De velden met authenticatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag. - Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis. - In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt. - Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt. - Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd. Record Number: 56632 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20150124231930.944492-000 Event Type: Controle geslaagd User: Computer Name: Vishera Event Code: 4624 Message: Er is een account aangemeld. Onderwerp: Beveiligings-id: S-1-5-18 Accountnaam: VISHERA$ Accountdomein: WORKGROUP Aanmeldings-id: 0x3E7 Aanmeldingstype: 7 Imitatieniveau: Imitatie Nieuwe aanmelding: Beveiligings-id: S-1-5-21-17723306-1273488591-2101582234-1001 Accountnaam: h.christen@chello.nl Accountdomein: MicrosoftAccount Aanmeldings-id: 0x8027C Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Procesgegevens: Proces-id: 0x2c0 Naam proces: C:\Windows\System32\lsass.exe Netwerkgegevens: Naam van werkstation: VISHER Netwerkadres van bron: - Poort van bron: - Gedetailleerde verificatiegegevens: Aanmeldingsproces: Negotiat Verificatiepakket: Negotiate Doorgezette services: - Pakketnaam (alleen NTLM): - Sleutellengte: 0 Deze gebeurtenis wordt gegenereerd wanneer een aanmeldingssessie wordt gemaakt. De gebeurtenis wordt gegenereerd op de computer waartoe toegang wordt verkregen. De velden Onderwerp bevatten de account op het lokale systeem waardoor de aanmelding is aangevraagd. Dit is meestal een service zoals de Server-service, of een lokaal proces zoals Winlogon.exe of Services.exe. In het veld Aanmeldingstype ziet u het type aanmelding. De meest algemene typen zijn 2 (interactief) en 3 (netwerk). Het veld Nieuwe aanmelding bevat de account waarvoor de nieuwe aanmelding is gemaakt. Dit is de account waarmee is aangemeld. In de netwerkvelden ziet u de bron van een externe aanmeldingsaanvraag. Naam van werkstation is niet altijd beschikbaar en kan in sommige gevallen leeg zijn. De velden met authenticatiegegevens bevatten gedetailleerde informatie over deze aanmeldingsaanvraag. - Aanmeldings-GUID is een unieke id die kan worden gebruikt om deze gebeurtenis af te stemmen met een KDC-gebeurtenis. - In Doorgezette services ziet u welke tussentijdse services voor deze aanmeldingsaanvraag zijn gebruikt. - Pakketnaam geeft aan welk subprotocol van de NTLM-protocollen is gebruikt. - Sleutellengte geeft de lengte van de gegenereerde sessiesleutel aan. Dit veld is 0 als er geen sessiesleutel is aangevraagd. Record Number: 56631 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20150124231930.944492-000 Event Type: Controle geslaagd User: Computer Name: Vishera Event Code: 4648 Message: Poging tot aanmelden met expliciete referenties. Onderwerp: Beveiligings-id: S-1-5-18 Accountnaam: VISHERA$ Accountdomein: WORKGROUP Aanmeldings-id: 0x3E7 Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Account waarvan de referenties zijn gebruikt: Accountnaam: h.christen@chello.nl Accountdomein: MicrosoftAccount Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Doelserver: Naam van doelserver: localhost Aanvullende gegevens: localhost Procesgegevens: Proces-id: 0x348 Procesnaam: C:\Windows\System32\winlogon.exe Netwerkgegevens: Netwerkadres: 127.0.0.1 Poort: 0 Deze gebeurtenis wordt gegenereerd wanneer een proces probeert zich op een account aan te melden door expliciet de referenties van die account op te geven. Meestal gebeurt dit in batchconfiguraties zoals geplande taken, of bij gebruik van de opdracht Uitvoeren als. Record Number: 56630 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20150124231930.944492-000 Event Type: Controle geslaagd User: Computer Name: Vishera Event Code: 4648 Message: Poging tot aanmelden met expliciete referenties. Onderwerp: Beveiligings-id: S-1-5-18 Accountnaam: VISHERA$ Accountdomein: WORKGROUP Aanmeldings-id: 0x3E7 Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Account waarvan de referenties zijn gebruikt: Accountnaam: h.christen@chello.nl Accountdomein: MicrosoftAccount Aanmeldings-GUID: {00000000-0000-0000-0000-000000000000} Doelserver: Naam van doelserver: localhost Aanvullende gegevens: localhost Procesgegevens: Proces-id: 0x2c0 Procesnaam: C:\Windows\System32\lsass.exe Netwerkgegevens: Netwerkadres: - Poort: - Deze gebeurtenis wordt gegenereerd wanneer een proces probeert zich op een account aan te melden door expliciet de referenties van die account op te geven. Meestal gebeurt dit in batchconfiguraties zoals geplande taken, of bij gebruik van de opdracht Uitvoeren als. Record Number: 56629 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20150124231930.944492-000 Event Type: Controle geslaagd User: Computer Name: Vishera Event Code: 4738 Message: Er is een gebruikersaccount gewijzigd. Onderwerp: Beveiligings-id: S-1-5-18 Accountnaam: VISHERA$ Accountdomein: WORKGROUP Aanmeldings-id: 0x3E7 Doelaccount: Beveiligings-id: S-1-5-21-17723306-1273488591-2101582234-1001 Accountnaam: Hans Accountdomein: Vishera Gewijzigde kenmerken: SAM-accountnaam: - Weergavenaam: Jan de Groot Principal-naam van gebruiker: - Basismap: - Basisstation: - Pad naar script: - Pad naar profiel: - Gebruikerswerkstations: - Wachtwoord voor het laatst ingesteld: - Account verloopt op: - Primaire groeps-id: - Mag overdragen aan: - Oude UAC-waarde: - Nieuwe UAC-waarde: - Gebruikersaccountbeheer: - Gebruikersparameters: - SID-geschiedenis: - Aantal uren aangemeld: - Aanvullende gegevens: Bevoegdheden: - Record Number: 56628 Source Name: Microsoft-Windows-Security-Auditing Time Written: 20150124231930.928859-000 Event Type: Controle geslaagd User: ======Environment variables====== "FP_NO_HOST_CHECK"=NO "USERNAME"=SYSTEM "Path"=C:\Program Files (x86)\NVIDIA Corporation\PhysX\Common;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\Common Files\Acronis\SnapAPI\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\AMD\ATI.ACE\Core-Static;C:\Program Files (x86)\Skype\Phone\ "ComSpec"=%SystemRoot%\system32\cmd.exe "TMP"=%SystemRoot%\TEMP "OS"=Windows_NT "windir"=%SystemRoot% "PROCESSOR_ARCHITECTURE"=AMD64 "TEMP"=%SystemRoot%\TEMP "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC "PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\ "NUMBER_OF_PROCESSORS"=8 "PROCESSOR_LEVEL"=21 "PROCESSOR_IDENTIFIER"=AMD64 Family 21 Model 2 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0200 -----------------EOF-----------------