![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
CachedLogonsCount 0
아주 예전에 포멧 하기 전에 딱 한번 1로 한적 있는대. 그 뒤로.
계속 로그인 유형이 11로 뜨고 해서.
포멧을 하고 다시는 1로 한적이 없거든요.
계정 로그인 감사를 켠 상태에요
수상하게 게스트 계정이 로그인 실패 이벤트가 있어서 켜게 되었네요.
ms 계정 비밀 번호도 바꺼 보고 비밀 번호 없는 로그인도 해보고 했는대 그래도 이러네요
ㅠㅠ.. 이미 CachedLogonsCount 그인은 0로고요.
이런 경우 어떻게 해야 할까요?
윈도우10 입니다.
[Version 10.0.19044.1288]
업데이트를 해도 안해도 증상은 같고요
sfc 무결성 검사는 처음 포멧 하고 다서 해보면 복원 하고 있고.
그렇네요.
인사이더로 해도 같고. 일반으로 해도 같더라고요.
일단 피드백 허브에는 이벤트를 저장 해서 보냈습니다.
단지 헤프닝이면 좋은대. ㅠㅠ. 점 찝찝 하네요.
앞서 말씀 드린 것 같이 컴퓨터는 한대 이며 타인과 공유 하지 않고.
원격으로 외부에서 접속 하지 않고 휴대폰으로 접속 해서 윈도우를 로그인 하지 않았고요
최초에 로그인 할때는 비밀번호 없는 인증으로 로그인 했어요 포멧 할때.
한대 아래의 로그인은 그것과 상관 없이 계속 지속적으로 뜨내요.
캐쉬 로그인임을 알고 있어요 저에게 설명 할 필요는 없고요 ㅠㅠ
이런 로그인을 차단 하고 싶어요.
게스트 로그인을 차단 하고 있는대 누군가 계속 시도 하네요. ㅠ
명시적 자격 증명을 사용하여 로그온을 시도했습니다.
주체:
보안 ID: SYSTEM
계정 이름: DESKTOP$
계정 도메인: WORKGROUP
로그온 ID: 0x3E7
로그온 GUID: {00000000-0000-0000-0000-000000000000}
자격 증명이 사용된 계정:
계정 이름: 나의아이디@ms.com
계정 도메인: MicrosoftAccount
로그온 GUID: {00000000-0000-0000-0000-000000000000}
대상 서버:
대상 서버 이름: localhost
추가 정보: localhost
프로세스 정보:
프로세스 ID: 0x614
프로세스 이름: C:\Windows\System32\svchost.exe
네트워크 정보:
네트워크 주소: 127.0.0.1
포트: 0
이 이벤트는 프로세스에서 명시적으로 해당 계정의 자격 증명을 지정하여 계정에 로그온하려고 할 때 생성됩니다. 주로 예약된 작업과 같은 일괄 유형의 구성에서 발생하거나 RUNAS 명령을 사용할 때 발생합니다.
계정이 성공적으로 로그온되었습니다.
주체:
보안 ID: SYSTEM
계정 이름: DESKTOP$
계정 도메인: WORKGROUP
로그온 ID: 0x3E7
로그온 정보:
로그온 유형: 11
제한된 관리 모드: -
가상 계정: 아니요
상승된 토큰: 예
가장 수준: 가장
새 로그온:
보안 ID: DESKTOP\test
계정 이름: 나의아이디@ms.com
계정 도메인: MicrosoftAccount
로그온 ID: 0x4645C1
연결된 로그온 ID: 0x464609
네트워크 계정 이름: -
네트워크 계정 도메인: -
로그온 GUID: {00000000-0000-0000-0000-000000000000}
프로세스 정보:
프로세스 ID: 0x614
프로세스 이름: C:\Windows\System32\svchost.exe
네트워크 정보:
워크스테이션 이름: DESKTOP
원본 네트워크 주소: 127.0.0.1
원본 포트: 0
인증 세부 정보:
로그온 프로세스: User32
인증 패키지: Negotiate
전송된 서비스: -
패키지 이름(NTLM 전용): -
키 길이: 0
계정이 성공적으로 로그온되었습니다.
주체:
보안 ID: SYSTEM
계정 이름: DESKTOP$
계정 도메인: WORKGROUP
로그온 ID: 0x3E7
로그온 정보:
로그온 유형: 11
제한된 관리 모드: -
가상 계정: 아니요
상승된 토큰: 아니요
가장 수준: 가장
새 로그온:
보안 ID: DESKTOP\test
계정 이름: 나의아이디@ms.com
계정 도메인: MicrosoftAccount
로그온 ID: 0x464609
연결된 로그온 ID: 0x4645C1
네트워크 계정 이름: -
네트워크 계정 도메인: -
로그온 GUID: {00000000-0000-0000-0000-000000000000}
프로세스 정보:
프로세스 ID: 0x614
프로세스 이름: C:\Windows\System32\svchost.exe
네트워크 정보:
워크스테이션 이름: DESKTOP
원본 네트워크 주소: 127.0.0.1
원본 포트: 0
인증 세부 정보:
로그온 프로세스: User32
인증 패키지: Negotiate
전송된 서비스: -
패키지 이름(NTLM 전용): -
키 길이: 0
활동 기록에 수상 한것이 있군요 중국어가.. 저번에도 중국 키보드가 설치 되어 있더니. 번역 해보니 기본 응용프로그램이라고 번역 되더라고요.
基础类应用程序
기본 클래스 응용 프로그램입니다
참고로 전 절대 클래스 응용 프로그램을 쓰지 않아요. ㅠ.. 중국 형님의 전교한 해킹 프로그램일까요? -_-;;
해킹 할것도 없어서 제가 연애인도 아니고요. 그다지 인대. 그냥 제가 먼가 실행 하고 우연 이겠지만. -_;; 그렇네요 좀
9월 9일에도 해킹 시도가 있긴 했네요. -_- 이분이 그분인건지. 아무튼.. 일단 외부 ip는 다행이 보이지 않지만.. 예전에 스푸핑도 당해 본 경험이 있기 때문에.. 걱정 좀 되네요. 심지어 로그인이 IE로 했더라고요. 전 IE 절대 안쓰거든요. 엣지로도 거의 안쓰고요. 윈도우10은 IE가 기본이라 그런건지 아무튼.. 전 설치 하자 마자 IE 삭제 하네요. 윈도우11은 해보니 엣지로 바로 로그인 된 기록이 나오긴 하는대. 대충.. 모르겠어요 ㅠ. 원격아닌대 원격이라 나오니 단지 헤프닝 이면 좋은대.
이런 기록이 있을줄은 몰랐네요.
잠긴 질문. 이 질문은 Microsoft 지원 커뮤니티에서 마이그레이션되었습니다. 질문이 도움이 되었는지 여부에 대해 응답할 수는 있지만, 메모나 회신을 추가하거나 질문을 따를 수는 없습니다.
이 응답은 자동으로 번역되었습니다. 따라서 문법 오류 또는 이상한 표현이 있을 수 있습니다.
안녕하세요 돈,
우리의 제안에 응답하고 수행 해 주셔서 감사합니다.
진행 상황과 관련하여 알려주십시오.
프로세스 후에도 여전히 해킹 당하고 있다고 생각되면 실시간 지원 팀에 문의하는 것이 좋습니다. 그들은 문제를 진단하기 위해 모든 도구와 자원을 더 잘 갖추고 있습니다. 아래 단계에 따라 실시간 지원 팀에 문의하십시오.
브라우저를 열고 방문 : Microsoft 지원에 문의
문제를 검색한 다음 도움말 보기를 클릭하십시오.
그런 다음 하단의 연락처 지원을 클릭하십시오.
TrojanDownloader:O97M/Dornoe.A!ams
포멧 하고 윈도우 사용자 설정중에 이런 것이 검출 되었네요.
나는 여러번 포멧을 하고 있습니다
안타깝게 난 pc가 한대 입니다 다른 pc가 없습니다.
다른 외부 ip 접속은 보이지 않습니다.
나의 생각은 ms 서버가 나의 계정으로 로그인 하는 것 같은 느낌 입니다.
내가 아무리 포멧 을 하고 나의 컴퓨터 계정을 지워도 동일 하게 로그인 되었습니다.
그래서 캐시 로그인 11은 나의 추측으로.. 서버와 계정이 접속 시도를 하는 것이 기록에 나오는 것이 아닌가? 하고 생각 합니다.
안전한 것 같기도 하고 그렇네요.
일단 더 지켜 봐야 할것 같습니다.
이밖에 새로 포멧 할때. 계정 보호 알림이 해제 되곤 합니다.
아무튼 나는 테스트를 위해서 리눅스로 하드와 usb를 모두 포멧 해보았습니다.
그리고 윈도우를 다시 설치 했습니다.
피드백 보내기를 하고 있으니. 문제가 있으면 보안 담당 직원이 잘 보안 문제를 해결 해주면 좋겠네요.
ㄳ 합니다.
이 응답은 자동으로 번역되었습니다. 따라서 문법 오류 또는 이상한 표현이 있을 수 있습니다.
안녕하세요 동우,
응답해 주셔서 감사합니다. 계정으로 변경 한 후에도 여전히 해킹 당하고 있다고 생각되면이 문제를 처리하는 동안 컴퓨터의 전원을 끄는 것이 좋습니다. PC에 숨어있을 수있는 암호를 변경 한 후에도 데이터를 저장할 수있는 맬웨어가 있습니다.
다른 컴퓨터를 사용하거나 로그인하여 암호를 변경합니다.
윈도우 수비수 오프라인 스캔 실행
Microsoft Defender Offline을 사용하여 PC 보호
아무것도 변경되지 않으면 Windows를 새로 설치하는 것이 좋습니다.
Windows 10의 단계별 새로 설치를 수행하는 방법 (새로 설치) - Microsoft 커뮤니티
완료되면 Microsoft 계정으로 로그인하지 않을 수 있습니다.
나중에 추가할 수 있습니다.
이 프로세스를 수행하는 동안 장치 활동을 계속 모니터링 할 수 있습니다.
또한 계정을 안전하게 만드는 방법에 대한이 가이드를 확인하십시오.
Microsoft 인증자 앱 및 2단계 인증을 사용하여 보안 강화
Microsoft 계정에서 2단계 인증을 사용하는 방법
일단 모든 것이 평온해지면
Microsoft 계정을 사용하여 자신을 다시 추가하고 관리자로 추가 할 수 있습니다.
나는 이것이 도움이되기를 희망하며 진전과 관련하여 우리에게 알려주십시오.
이미 비밀 번호를 변경 하였습니다. 그리고 FIDO2도 변경 한 상태입니다.
부팅 할때 자동으로 되는 것을 보니 보안 결함 같은 느낌 입니다.
정식버전에서 이와 같은 문제가 발생 하여 인사이더 버전으로 변경 하였습니다.
윈도우10 정식버전.
그래서 저의 생각을 종합 하자면.
1 자동로그인을 해커가 하는 것 같습니다.
3 사용자인증 캐시로 로그인 할수 있는 새로운 결함 생기는 것 같아요.
그리고 나머지는 게스트 접근.
자격증명 무한대 입력.. 같습니다. 그래서 저의 생각은
자격증명을 계속 입력 거부 기능.
사용자가 ms 계정에 원격 연결 거부 기능을 추가 하면 좋겠습니다.
그럼 ms 계정 설정을 ms 홈페이지에서 하면 외부에서 접속 할 경우. 거부 된 경우.
원격으로 공격 안 받게 하는 것이죠.
편의성 때문에 보안이 너무 취악 한것 같아요.
이 응답은 자동으로 번역되었습니다. 따라서 문법 오류나 이상한 표현이 있을 수 있습니다.
안녕 동우,
Microsoft 커뮤니티에 게시해 주셔서 감사합니다.
의심스러운 로그인과 활동이 최근에 생성되고 있음을 이해합니다. 내부자 빌드는 수수께끼이며 다른 유형의 문제가 발생할 수 있습니다.
계정이 해킹 당하고 있다고 생각되면 아래 스레드에서 수행 할 수있는 작업을 확인하십시오.
계정이 해킹되었다고 생각되면 - Microsoft 커뮤니티
(이 링크는 영어로 되어 있으며 설명을 위해 번역이 필요할 수 있습니다.)
여러분의 의견을 기다리고 있습니다. 친절하게 저희에게 대답을 보내고 우리의 설명의 어떤 오해 또는 설명이 있는 경우에 저희에게 알게 하십시오.
솔직히
카르치