Hallo, Gerade frisch Win 10 Installiert (per gekaufter DVD 120€) und folgende Meldung gefunden https://ibb.co/7z4w71r
PC war vorher Infiziert, kann es sein das sich da was vorbeigeschlichen hat ?
--Win10User (Diskussion) 12:18, 20. Jun. 2020 (CEST)
https://ibb.co/zfdW918
Hier noch ein screenshot --Win10User (Diskussion) 12:25, 20. Jun. 2020 (CEST)

hier noch paar Protokolle

Code: Alles auswählenAufklappen

ATTFilter

Schlüsselwörter	Datum und Uhrzeit	Quelle	Ereignis-ID	Aufgabenkategorie
Überwachung erfolgreich	20.06.2020 13:01:59	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4CB

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0x608
	Prozessname:		C:\Windows\System32\mmc.exe"
Überwachung erfolgreich	20.06.2020 13:00:22	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 13:00:22	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 13:00:00	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4CB

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0x608
	Prozessname:		C:\Windows\System32\mmc.exe"
Überwachung erfolgreich	20.06.2020 12:59:52	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:59:52	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:56:54	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:56:54	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:54:42	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:54:42	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:54:39	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:54:39	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:52:55	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:52:55	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:52:40	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:52:40	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:52:23	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4CB

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0x608
	Prozessname:		C:\Windows\System32\mmc.exe"
Überwachung erfolgreich	20.06.2020 12:51:52	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4CB

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0x608
	Prozessname:		C:\Windows\System32\mmc.exe"
Überwachung erfolgreich	20.06.2020 12:51:52	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4E8

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0xaec
	Prozessname:		C:\Windows\explorer.exe"
Überwachung erfolgreich	20.06.2020 12:51:46	Microsoft-Windows-Security-Auditing	4798	Benutzerkontenverwaltung	"Die lokale Gruppenmitgliedschaft eines Benutzers wurde aufgezählt.

Antragsteller:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ
	Anmelde-ID:		0xEB4CB

Benutzer:
	Sicherheits-ID:		DESKTOP-FEJ5UKJ\Tmann
	Kontoname:		Tmann
	Kontodomäne:		DESKTOP-FEJ5UKJ

Prozessinformationen:
	Prozess-ID:		0x608
	Prozessname:		C:\Windows\System32\mmc.exe"
Überwachung erfolgreich	20.06.2020 12:51:21	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:51:21	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:49:48	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:49:48	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie ""Winlogon.exe"" oder ""Services.exe"".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die neue Anmeldung erstellt wurde, d.*h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. Der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Das Feld für die Identitätswechselebene gibt an, in welchem Umfang ein Prozess in der Anmeldesitzung einen Identitätswechsel vornehmen kann.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	- Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0."
Überwachung erfolgreich	20.06.2020 12:49:43	Microsoft-Windows-Security-Auditing	4672	Spezielle Anmeldung	"Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
			SeDelegateSessionUserImpersonatePrivilege"
Überwachung erfolgreich	20.06.2020 12:49:43	Microsoft-Windows-Security-Auditing	4624	Anmelden	"Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		SYSTEM
	Kontoname:		WIN-LQ3M6Q5EG9D$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3E7

Anmeldeinformationen:
	Anmeldetyp:		5
	Eingeschränkter Administratormodus:	-
	Virtuelles Konto:		Nein
	Token mit erhöhten Rechten:		Ja

Identitätswechselebene:		Identitätswechsel

Neue Anmeldung:
	Sicherheits-ID:		SYSTEM
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3E7
	Verknüpfte Anmelde-ID:		0x0
	Netzwerk-Kontoname:	-
	Netzwerk-Kontodomäne:	-
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x2c4
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	-
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0
         

Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.

Zitat:

Gerade frisch Win 10 Installiert (per gekaufter DVD 120€) und folgende Meldung gefunden https://ibb.co/7z4w71r
PC war vorher Infiziert, kann es sein das sich da was vorbeigeschlichen hat ?

Diese Meldung hat nichts mit Malware (Schadsoftware) zu tun.
Derartige Hinweis- oder Fehlermeldungen finden sich auf jedem Gerät, daher ist hier alles in Ordnung.

Da du Windows 10 gerade neu installiert hast, ist auch keine Malware vorhanden.
Außer natürlich du bist so ein "Spezialist" und verwendest illegale Software wie es wir hier schon öfter hatten, aber für derartige Fälle gäbe es dann keinen Support von uns.


Was mich noch interessieren würde:
Du gibst 120 € für Windows 10 aus, nur weil das System zuvor infiziert war?
Wenn dein System infiziert ist und du es nicht bereinigen lassen möchtest, dann macht man doch einfach eine saubere Neuinstallation und das Problem ist gelöst.

Zudem stellt sich die Frage was für eine DVD das war. Wir hatten hier schon einen Spezi, ich glaube letztes Jahr, der hatte ne DVD mit dem Windows-10-Release v1511 der so