Возможно ли в win 10 узнать о подключениях посредством RDP после удаления истории?

[InetTester]

Возможно ли в win 10 узнать о всех подключениях посредством RDP после удаления истории?
Когда я говорю об удаление истории я имею ввиду удаление веток реестра, насколько я знаю история хранится только там:

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

ps: Боюсь что после выхода просто очистил историю так как в реестре нет ни одной из данных веток, пароль весьма вероятно был подсмотрен при наборе, какие варианты могут быть что бы поднять максимум инфы о его действиях? Если есть компетентные люди которые могут помочь в частном порядке то буду очень рад, личку читаю.

 

[Valkiria]

Информация об авторизации в системе содержится не столько в реестре, сколько в журналах Windows.
Eventvwr.msc

Очистка журналов может быть выполнена из командной строки:

for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

 

[☠xrahitel☠]

этим смотрим

Ссылка скрыта от гостей

For /F "Tokens=1* Delims==" %%A In ('WMIC NTEVENTLOG GET LogFileName /Value^|FindStr .') Do ( Call WMIC NTEVENTLOG Where ^(LogFileName^="%%B"^) Call ClearEventLog 1>nul)

 

[InetTester]

Спасибо, просматривая свой журнал мне не удалось понять откуда у меня столько событий Logon и Special Logon, из учетной записи я не выходил, но события периодически генерируются.
В Avast нашел trojan.packed.24060 он его кинул в карантин, попробую завтра уже запустить его на виртуалке и посмотреть куда он стучится.