Hi 各位前輩:

主要狀況為:目前在公司工作時，時常會有重要郵件跳到垃圾桶，或是檔案被更改儲存位置甚至遭到刪除，甚至檔案被無預警關閉，一開始以為是自己誤動作，但偶然去windows 事件紀錄簿查詢log file，發現再出現異常狀況時候都會有如同網路文章中所註記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140)，但是回頭查詢4624的網路登入資訊在那個時間點卻沒有 登入型別為10（遠端互動），實在難以找到對方IP，推測估計對方為公司同區域網路內人員，不知用什麼方式入侵我主機(ex:在D槽安裝後門程式 或是 C槽有隱藏帳戶?)，已經換過密碼，也查詢過帳戶，沒有可以之處，不知前輩們是否可以給予建議，在電腦如何設定可以找到對方IP，或是推薦同業可以處理分析此問題的 單位 或 人員 或 網站，再麻煩IT前輩們幫忙，謝謝。(我這邊有windows 登入事件紀錄檔案，以及windows遠端讀寫事件紀錄檔案，
若是前輩需要可以來信給我，我再寄給前輩們，謝謝。(icuriousthisworld@gmail.com)

附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50，如下圖1)，回頭對照附件2的4624登入紀錄(如下圖2)，我也看不出所以然，還煩請幫忙分析，謝謝。

新手訓練期間不能回答接回覆在原文:

我也有注意到那是local host，但每次出現異常都會有這筆遠端讀寫紀錄，並且遠端讀寫紀錄有時一天有三四次，有時候一天一次，有時候整天沒有，這現象不和邏輯吧? 若是公司線上系統應該會規律定時定期出現才對。
(note:所有現象只要是斷開網路，都不會出現，連上後就會不定時出現，怎麼想都不合理)

我司IT為外包駐場人員，所以.....

2020/08/02(之後我會定期update，是否有新現象或是痕跡。 )
已經下過:
net share c$ /del
net share d$ /del
net share ipc$ /del
net share admin$ /del

**確定共享都已關閉，並且按照CalvinKuo前輩關掉port :37-139 & 445 (在windows 防火牆設

定的，是勾選UDP)(ADW clean掃過也沒看到東西，另外VNC已經移除，teamviewer & anydesk，之後會再確認)但是仍發生資料夾被C D又被開啟共享?(關閉幾小時後發現檔案被關閉順便

去查詢，只有 C & D無IPC分享)**並且伴隨cmd視窗被關閉?

現象， (沒有IPC分享如何共享?) 這個現象是系統或是人為哪個可能性較高? 無論是系統或是

人為估計都是在區域網路發生，還是請前輩們建議，謝謝。

(note:所有現象只要是斷開網路，都不會出現，連上後就會不定時出現。)

另外想請教，似乎無法斷開網路(包含區域網路)之下設定密碼?頂多關掉proxy，但區網仍然是通

的之下設定密碼?有辦法所有網路都關掉之下設定密碼嗎?(擔心已經被木馬側錄?或改變的密碼直

接被網路傳出去給攻擊者?)

此外之後會安裝comodo firewall 來做嘗試(從PTT上面板友介紹)，並且再加裝IP分享器試試

(公司區網中還有區域網路的概念?)以及msnman大所推薦:防火牆下，允許應用程式通過，將 檔

案及共用 取消勾選。

08/03一樣是發生，明明上午已經把(C & D & IPC & administor) 分享權限都關閉(用net

指令 ex:net share c$ /delete 依序D ,IPC & administor)，但是過一小時後仍然開啟

而且只開啟(C &D）並伴隨5140遠端讀寫的window log ，感覺是人為，若是系統重啟or

server線上掃到重啟，會是(C & D & IPC & administor)都一起重新啟動且不會有遠端讀寫

紀錄，再請大家幫忙了，謝謝。(有可能被入侵亂搞log卻做得像是自己local host所做嗎？）

note:登入紀錄太多筆無發一一分析，但看起來都是我自己得帳號名稱或系統或是administor登入，理論上沒問題，但跟實際現象合不起來。