我的电脑是不是被黑了？总是有登陆成功的记录，电脑有被改过！

使用者:
    安全 ID:        SYSTEM
    帐户名称:        DESKTOP-4BRTK34$
    帐户域:        WORKGROUP
    登录 ID:        0x3E7

登录信息:
    登录类型:        5
    受限制的管理员模式:    -
    虚拟帐户:        否
    提升的令牌:        是

模拟级别:        模拟

新登录:
    安全 ID:        SYSTEM
    帐户名称:        SYSTEM
    帐户域:        NT AUTHORITY
    登录 ID:        0x3E7
    链接的登录 ID:        0x0
    网络帐户名称:    -
    网络帐户域:    -
    登录 GUID:        {00000000-0000-0000-0000-000000000000}

进程信息:
    进程 ID:        0x3d4
    进程名称:        C:\Windows\System32\services.exe

网络信息:
    工作站名称:    -
    源网络地址:    -
    源端口:        -

详细的身份验证信息:
    登录进程:        Advapi  
    身份验证数据包:    Negotiate
    传递的服务:    -
    数据包名(仅限 NTLM):    -
    密钥长度:        0
---

使用者:
    安全 ID:        SYSTEM
    帐户名称:        DESKTOP-4BRTK34$
    帐户域:        WORKGROUP
    登录 ID:        0x3E7

登录类型:            5

新登录:
    安全 ID:        SYSTEM
    帐户名称:        SYSTEM
    帐户域:        NT AUTHORITY
    登录 ID:        0x3E7

事件顺序:        1/1

组成员身份:            
        BUILTIN\Administrators
        Everyone
        NT AUTHORITY\Authenticated Users
        Mandatory Label\System Mandatory Level

---

为新登录分配了特殊权限。

使用者:
    安全 ID:        SYSTEM
    帐户名:        SYSTEM
    帐户域:        NT AUTHORITY
    登录 ID:        0x3E7

特权:        SeAssignPrimaryTokenPrivilege
            SeTcbPrivilege
            SeSecurityPrivilege
            SeTakeOwnershipPrivilege
            SeLoadDriverPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege
            SeAuditPrivilege
            SeSystemEnvironmentPrivilege
            SeImpersonatePrivilege
            SeDelegateSessionUserImpersonatePrivilege

---

有一次登录发现所有打开的word文档突然变成一半的宽度排列，另一次是登录后发现XSHELL里面的登录站点全被删除了。

事件有4624，4627,4672

看看用户组里面有没有可疑的用户名

你怀疑有人登陆，还不改密码吗