请教：关于Advapi 是不是系统进程的问题

buzhizhe 楼主

这东西是木马还是正常进程，咋不正常呢。

1. 事件类型:        审核失败
   
2. 事件来源:        Security
   
3. 事件种类:        登录/注销
   
4. 事件 ID:        529
   
5. 日期:                2009-10-26
   
6. 事件:                9:51:16
   
7. 用户:                NT AUTHORITY\SYSTEM
   
8. 计算机:        MYAD000
   
9. 描述:
   
10. 登录失败:
    
11.         原因:                用户名未知或密码错误
    
12.         用户名:        vhost004
    
13.         域:                MYAD000
    
14.         登录类型:        8
    
15.         登录进程:        Advapi  
    
16.         身份验证数据包:        Negotiate
    
17.         工作站名称:        MYAD000
    
18.         调用方用户名:        NETWORK SERVICE
    
19.         调用方域:        NT AUTHORITY
    
20.         调用方登录 ID:        (0x0,0x3E4)
    
21.         调用方进程 ID:         5924
    
22.         传递服务:         -
    
23.         源网络地址:        -
    
24.         源端口:        -
    
25. 
    
26. 
    
27. 有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

复制代码

vhost004 是我射的一个iis登录用户，某天我偶尔看到事件查看器里有它登录成功的记录，就把它删除了重建了个其它名字的。
但这两天事件查看器里持续有这个东西在登录，当然登录的结果都是审核失败。

不知道是木马进程在作怪，还是系统正常进程？如果是木马，如果找出来干掉它，如是正常进程，如何让他不继续报这个登录失败？

我google了半天类似的信息不少，但有答案的却一个也没找到，希望此地的高人给解释一下。

annelaw

顶！
我也遇到了！正在研究是不是被黑客登录了！半夜把我机器关掉。登录、关机都是正常登录的。