Salut a tous   , je possede XP Edition Familial et dans un laps de temps de 23h a 2h environ mon PC est susceptible d'avoir été utilisé a mon insu, mais je n'en suis pas sûre et j'ai absolument besoin de savoir, existe t'il des moyens de savoir si des dossiers ou internet explorer on été visité s'il vous plait?  
 
Edit: Je ne sais pas si c'est censé mais dans "l'observateur d'evenements" onglet "sécurité" dans la colonne "type" il a des "Audits des échecs" et "Audit des succés" tout les 5/10 min sur toute la journée, ensuite plus rien a partir de 23 heures heure de mon départ puis ca reprend de 23h29,21sec a 23h30 (a cet heure précisément Bitdefender c'est automatiquement mi a jour), ensuite ca reprend de 23h45 a 00h10 sans raison apparente puis plus aucun evenements jusqu'a 2h heure a laquelle je suis rentré et utilisé mon PC, comment savoir si les 150 "Audit des echecs" durant ce laps de temps de 25 minutes sont du a une visite du PC?  
 
Apparement dans la colonne evenements le numéro indiqué est 529 et c'est le meme evenement durant tout ce laps de temps, le voici:
 

Shot at 2007-08-25
 
 
 

Coucou.
 
Fais une recherche de fichiers en précisant une date précise. Tu peux aussi faire un tour dans "temporary internet files" ou "temp".
 
Sinon, pour éviter ça tu mets un mot de passe et quand tu quittes ton poste, tu le vérouilles systématiquement.
 
edit: tu penses qu'il a été utilisé à partir du clavier ou à distance?

Merci croquy pour "temporary internet files" apparement pas d'accés pendant le laps de temps, utilisé a partir du clavier.

Fais une recherche de fichiers en spécifiant la date et ensuite tu ranges le tout par date et tu regardes lesquels correspondent à la fourchette où tu as tes doutes.  
 
Ensuite mets donc un mot de passe et attention à ce que tu mets en partage si tu as d'autres machines en réseau.
 

Ok c'est fait merci Croquy, je doit trier par date d'accé ensuite c'est ca? Date d'accés cela indique l'heure et la date auquels ils ont été ouvert c'est bien ca? Parce que bizzarement il n'y a pas les JPG ouvert avant 23h...

Oui, tu cliques sur sur "dates de modification" dans l'explorateur de fichiers et automatiquement ça va se ranger dans l'ordre chronologique.
On t'a peut-être effacé des fichiers aussi?
 
Ton ordi était où? Tu as du monde chez toi qui pourrait aller dessus?

C'est un probleme assez personnel et specifique a ce soir, date de modification de ce que je sais ca ne m'indique en rien si le fichier ou dossier a été ouvert ou non.

Hé ben, je peux rien faire de plus.
 
Prochaine fois, ne fais confiance en personne, même à tes proches!

Disons que c'est un concour de circonstance... Merci de ton aide en tout cas ! je vais voir si d'autres personnes ont d'autre soluce.

moi je dirais plus que qqun a essayé d'utiliser ton pc mais sans succès

---------------

tous les évènements de type "échec" possèdent le même contenu? C'est sur l'utilisateur "ADMIN" que se produit l'erreur?

Salut, pour te repondre Ryo oui tout les evenements pendant le laps de temps de 25 minutes sont les meme que celui en screen shot. Par contre je n'ai pas compris ta deuxieme question.

troisième ligne du message : "Nom de l'utilisateur : ADMIN"
 
Est ce que c'est pareil pour tous les autres évènements de type echec? ADMIN correspond-t-il à un compte existant sur ta machine?

Oui c'est Admin sur tout les evenements. J'ai un compte adiministrateur "Alex" et un compte invité, c'est tout.

Va vérifier quels sont réellement tous les comptes déclarés sous  
 
Panneau de config -> Outil d'aministration -> Gestion de l'ordi -> Outils systeme -> Utilisateurs et groupes locaux -> Utilisateurs.

Que moi merci.
 
up

Sujet trés intéréssant !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

 
T'es la nana de Xogeur?

Je me demande bien ce que cette considération vient fiche ici  

bah quelqu'un a assayé mais n'a pas reussi a ouvrir tas session c'est ça?

Non, session deja ouverte.

ouverte OK mais verrouillée ou pas ?

Sinon, accès peut être via le Bureau à Distance
Ton PC s'appelle LOCALHOST ?

Ah bah non, j'avais pas vu il s'appelle ALEX-machintruc

Donc mon avis -> tentative d'intrusion à distance
Vérifie si t'as pas un trojan...

J'ai omi de precisé dans mon premier post que cette eventuelle intrusion se serait faite directement sur mon PC, pas par le net ou le reseaux.

Pourtant le "\\LOCALHOST" dans ta capture d'écran me semble étrange...

Désolé aucune idée je n'y connais rien...

Ben y a clairement tentative d'intrusion à distance...
 
Logon Type 3 = accès par le réseau
 
\\LOCALHOST c'est le nom de la station distante qui essaie d'établir une connexion avec ta machine. Bon clairement, là, il n'y a pas de résolution de nom NetBIOS, je ne sais pas pourquoi (peut-être une autre machine sur internet ou une station Linux utilisant un client SMB).
 
Regarde si tu as un évènement 680 juste avant celui-ci (si l'audit de connexion des comptes est activé).