TargetUserName АНОНИМНЫЙ ВХОД (расшифруйте) - Компьютерный форум OSzone.net

Причина вопроса: исчезновение заполненных данных в екселе, пока за компом никого не было,
когда вернулся - таблицы были пусты...
Windows7 home basic x32
Помогите понять запись в журнале:

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 08.01.2015 21:35:25
Код события: 4624
Категория задачи:Вход в систему
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: SERVIS-1
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x2bd5f7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: COMPUTERMACHINE
Сетевой адрес источника: 192.168.0.103
Порт источника: 1190

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
- GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-01-08T18:35:25.150567200Z" />
<EventRecordID>14068</EventRecordID>
<Correlation />
<Execution ProcessID="560" ThreadID="2412" />
<Channel>Security</Channel>
<Computer>SERVIS-1</Computer>
<Security />
</System>
<EventData>
<Data Name="SubjectUserSid">S-1-0-0</Data>
<Data Name="SubjectUserName">-</Data>
<Data Name="SubjectDomainName">-</Data>
<Data Name="SubjectLogonId">0x0</Data>
<Data Name="TargetUserSid">S-1-5-7</Data>
<Data Name="TargetUserName">АНОНИМНЫЙ ВХОД</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="TargetLogonId">0x2bd5f7</Data>
<Data Name="LogonType">3</Data>
<Data Name="LogonProcessName">NtLmSsp </Data>
<Data Name="AuthenticationPackageName">NTLM</Data>
<Data Name="WorkstationName">COMPUTERMACHINE</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">NTLM V1</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x0</Data>
<Data Name="ProcessName">-</Data>
<Data Name="IpAddress">192.168.0.103</Data>
<Data Name="IpPort">1190</Data>
</EventData>
</Event>

Ровно через 11 сек (таких записей много во время простоя системы):

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 08.01.2015 21:35:36
Код события: 4634
Категория задачи:Выход из системы
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: SERVIS-1
Описание:
Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x2bd5f7

Тип входа: 3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения "Код входа". Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4634</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12545</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2015-01-08T18:35:36.507387100Z" />
<EventRecordID>14069</EventRecordID>
<Correlation />
<Execution ProcessID="560" ThreadID="2412" />
<Channel>Security</Channel>
<Computer>SERVIS-1</Computer>
<Security />
</System>
<EventData>
<Data Name="TargetUserSid">S-1-5-7</Data>
<Data Name="TargetUserName">АНОНИМНЫЙ ВХОД</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="TargetLogonId">0x2bd5f7</Data>
<Data Name="LogonType">3</Data>
</EventData>
</Event>

айпишник локальный, но что за вход не хватает опыта понять...
(стоит разрешение удаленному помощнику)