狼西 - 2005-11-15 10:58:00
我在进程中发现问题。一些svchost是由nt authority发起的。在日志中可以看到nt authority组中anonymous logon用户登陆审核成功!关于Anonymous Logon我在微软的网站上找到一些信息:
任何不使用帐户名、密码或域而通过网络访问计算机及其资源的用户均是 Anonymous Logon 内置安全组的成员。在早期版本的 Windows 中,Anonymous Logon 安全组的成员由于和 Everyone 组具有成员关系而可以访问许多资源。由于 Administrators 没有意识到匿名用户是 Everyone 组的成员,因而他们可能在无意间授权匿名用户访问原本针对身份验证用户的资源。
我仔细追踪了一下,发现他只是登陆注销,所以我想是不是因为网络中ping或病毒扫描的缘故呢!于是我准备安装一个防火墙测试一下!主要是两个方面:一是安装后看还有没有那个用户。另一个想法是看是不是病毒在作怪。是否能阻挡什么东西。安装完防火墙后果然没有那个用户的审核记录了,说明它确实是在网上发起的。
那是不是简单得ping和共享呢?我做了个实验。用一台电脑ping本机,看是不是能留下什么痕迹,但什么也没写!那我又访问共享,用错误的密码,结果还没有什么提示。用正确的密码,倒是有记录,但不是匿名的,是管理员的!因为我的135,139都开着,所以我怀疑是病毒的问题.
又经过一些实验。主要是svchost.exe和服务的实验。确定为病毒。并且是和自己没有关系的病毒,就好像是前几年流行的什么尼姆达病毒。并不是你的电脑感染了木马!一般是你网络中的病毒。什么病毒我现在还没有发现。只是他在进行netbios在扫描!
当然了,有一个前提:你得pc一定是开了135。139。445端口的
© 2000 - 2025 Rising Corp. Ltd.