電腦疑似遭到入侵 - 資安

Hi 各位前輩:

主要狀況為:目前在公司工作時，時常會有重要郵件跳到垃圾桶，或是檔案被更改儲存位

置甚至遭到刪除，甚至檔案被無預警關閉，一開始以為是自己誤動作，但偶然去

windows 事件紀錄簿查詢log file，發現再出現異常狀況時候都會有如同網路文章中所註

記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140)，但是回頭查詢4624的網路

登入資訊在那個時間點卻沒有 登入型別為10（遠端互動），實在難以找到對方IP，推

測估計對方為公司同區域網路內人員，不知用什麼方式入侵我主機(ex:在D槽安裝後門程

式 或是 C槽有隱藏帳戶?)，已經換過密碼，也查詢過帳戶，沒有可以之處，不知前輩

們是否可以給予建議，在電腦如何設定可以找到對方IP，或是推薦同業可以處理分析此問

題的 單位 或 人員 或網站，再麻煩IT前輩們幫忙，謝謝。(推文或是回信都可以)

(我這邊有windows 登入事件紀錄檔案，以及windows遠端讀寫事件紀錄檔案，

若是前輩需要可以來信給我，我再寄給前輩們，謝謝。([email protected])

附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50，如下圖1)

(縮圖網址被判定為廣告，來信提供給您)

回頭對照附件2的4624登入紀錄(如下圖2)，我也看不出所以然，還煩請幫忙分析，謝謝。

(縮圖網址被判定為廣告，來信提供給您)

--