40k событий журнала ошибок час Неизвестное имя пользователя или неверный пароль

Я получаю около 200 тысяч из них в час:

Аккаунт не смог войти в систему.

Тема: Идентификатор безопасности: SYSTEM Имя учетной записи: TGSERVER$ Учетная запись Домен: WORKGROUP Идентификатор входа: 0x3e7

Тип входа: 4

Учетная запись, для которой не удалось выполнить вход: идентификатор безопасности: NULL SID Имя учетной записи: администратор Учетная запись Домен: TGSERVER

Информация об отказе: Причина отказа: неизвестное имя пользователя или неверный пароль. Статус: 0xc000006d Sub Статус: 0xc0000064

Информация о процессе: Идентификатор процесса вызывающей стороны: 0x334 Имя процесса вызывающей стороны: C:\Windows\System32\svchost.exe

Сетевая информация: Имя рабочей станции: TGSERVER Исходный сетевой адрес: - Исходный порт: -

Подробная информация об аутентификации: Процесс входа в систему: Advapi
Пакет проверки подлинности: согласование транзитных служб: - имя пакета (только NTLM): - длина ключа: 0

Это событие генерируется при сбое запроса на вход. Он генерируется на компьютере, к которому была предпринята попытка доступа.

Поля Subject указывают учетную запись в локальной системе, которая запросила вход в систему. Обычно это служба, такая как служба сервера, или локальный процесс, такой как Winlogon.exe или Services.exe.

Поле Тип входа указывает тип входа в систему, который был запрошен. Наиболее распространенными типами являются 2 (интерактивный) и 3 (сетевой).

Поля Информация о процессе указывают, какая учетная запись и процесс в системе запросили вход в систему.

Поля Информация о сети указывают, откуда возник запрос на удаленный вход. Имя рабочей станции не всегда доступно и в некоторых случаях можно оставить пустым.

Поля информации аутентификации предоставляют подробную информацию об этом конкретном запросе на вход. - Транзитные сервисы указывают, какие промежуточные сервисы участвовали в этом запросе на вход. - Имя пакета указывает, какой суб-протокол использовался среди протоколов NTLM. - Длина ключа указывает длину сгенерированного сеансового ключа. Это будет 0, если сессионный ключ не был запрошен.

На моем сервере... Я изменил свое административное имя пользователя на что-то другое, и с тех пор я был заражен этими сообщениями.

Я обнаружил на http://technet.microsoft.com/en-us/library/cc787567(v=WS.10).aspx что 4 означает, что "тип пакетного входа используется серверами пакетной обработки, где процессы могут выполняться от имени пользователя без их прямого вмешательства. " что на самом деле не проливает свет на это для меня.

Я проверил сервисы, и все они входят в систему как локальная система или сетевой сервис. Ничего для администратора.

Кто-нибудь есть идеи, как я могу сказать, откуда они? Я бы предположил, что это программа, которая выходит из строя...

Заранее спасибо!