瑞星卡卡安全论坛

:default1: :default1: 检查事件查看器中安全性时,发现机器在不断自动尝试用不同的用户名登录,每换一个用户名它要不断尝试登录好几十次,还在不断尝试更改密码,拔掉网线后也会这样,已经好几天了,升级瑞星到最新也查不出有病毒.细如下:

事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  Administrator
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  Administrator
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  Administrator
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  Administrator
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
...
...
..
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  Guest
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:38
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  Guest
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 627
日期:  2008-10-30
事件:  8:17:38
用户:  CHINA\me
计算机: CHINA
描述:
更改密码尝试:
  目标帐户名称:
  目标域: CHINA
  目标帐户 ID: CHINA\Guest
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 627
日期:  2008-10-30
事件:  8:17:38
用户:  CHINA\me
计算机: CHINA
描述:
更改密码尝试:
  目标帐户名称:
  目标域: CHINA
  目标帐户 ID: CHINA\Guest
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

事件类型: 失败审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 627
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\ANONYMOUS LOGON
计算机: CHINA
描述:
更改密码尝试:
  目标帐户名称:
  目标域: CHINA
  目标帐户 ID: CHINA\HelpAssistant
  呼叫方用户名: -
  呼叫方所属域: -
  呼叫方登录 ID: (0x0,0x3E6)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  HelpAssistant
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  HelpAssistant
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  me
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  me
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  Owner
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  Owner
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 627
日期:  2008-10-30
事件:  8:17:39
用户:  CHINA\me
计算机: CHINA
描述:
更改密码尝试:
  目标帐户名称: Owner
  目标域: CHINA
  目标帐户 ID: CHINA\Owner
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  SUPPORT_388945a0
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  SUPPORT_388945a0
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 627
日期:  2008-10-30
事件:  8:17:39
用户:  CHINA\me
计算机: CHINA
描述:
更改密码尝试:
  目标帐户名称:
  目标域: CHINA
  目标帐户 ID: CHINA\SUPPORT_388945a0
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  SUPPORT_388945a0
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  SUPPORT_388945a0
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  SUPPORT_388945a0
源工作站: CHINA
错误代码: 0xC000006A

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 失败审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 529
日期:  2008-10-30
事件:  8:17:39
用户:  NT AUTHORITY\SYSTEM
计算机: CHINA
描述:
登录失败:
  原因:    用户名未知或密码错误
  用户名:  SUPPORT_388945a0
  域:  CHINA
  登录类型:  2
  登录过程:  Advapi 
  身份验证程序包:  Negotiate
  工作站名:  CHINA
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
.
.
.
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 643
日期:  2008-10-30
事件:  8:17:39
用户:  CHINA\me
计算机: CHINA
描述:
更改了域策略:锁定策略 modified
  域名:  CHINA
  域 ID: CHINA\
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:39
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: Administrator
  目标域: CHINA
  目标帐户 ID: CHINA\Administrator
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:39
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: Guest
  目标域: CHINA
  目标帐户 ID: CHINA\Guest
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:40
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: HelpAssistant
  目标域: CHINA
  目标帐户 ID: CHINA\HelpAssistant
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:40
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: me
  目标域: CHINA
  目标帐户 ID: CHINA\me
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:40
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: Owner
  目标域: CHINA
  目标帐户 ID: CHINA\Owner
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期:  2008-10-30
事件:  8:17:40
用户:  CHINA\me
计算机: CHINA
描述:
更改了用户帐户:
  -
  目标帐户名称: SUPPORT_388945a0
  目标域: CHINA
  目标帐户 ID: CHINA\SUPPORT_388945a0
  呼叫方用户名: me
  呼叫方所属域: CHINA
  呼叫方登录 ID: (0x0,0x151AD)
  特权: -

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

这些审核信息不能断定就是病毒


如果怀疑有恶意程序
一.请先使用WINDOWS清理助手清理一下系统
  (点击下载)
二.请下载一个SRENG工具(点击进2楼下载)
使用它扫描日志，将日志作为附件上传上来。
操作方法：
1、下载后解压缩保存到系统文件夹内，运行SREngLdr.exe；
2、如果无法打开尝试把SREngLdr.exe改名为123.BAT运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】，存为TXT格式；
5、将保存的报告附件上传而不是粘贴到帖子