瑞星卡卡安全论坛

1月18日之前几天，曾经有过连续三次在19点05分左右自动关机（当时电压也比较低），用at命令显示没有任务。
18日晚上并没有启用远程桌面和QQ远程协助之类的，但是用net user helpassistant检查出登陆的消息。我的helpassitant早就是禁用了。但是[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsuserlist下面有好几个用户什么helpassistant、netshowservicessqlcmdagentexec、tsinternetUser等，那些是不是黑客的隐藏账户啊？那些账户默认属性是隐藏吧。在命令行中net user只有我的在用账户和被禁用的guest、helpassitant，只有用户guest在guests组里面，其他只有管理员组的我的在用的一个账户。
事件查看器中有 remote desktop成功发送控件的日志。截图如下，附sr-engldr扫描的结果，请大大帮我一把，我是不是被人远程控制了？怕怕啊 我该怎么办？？







用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1));  Embedded Web Browser from: http://bsalsa.com/; 360SE)

附件: SREngLOG.log

该用户帖子内容已被屏蔽

我看了这个介绍用注册表隐藏账户后怀疑是不是有些隐藏账户的，请看——
附：
在Windows XP下完美隐藏帐户 2009-02-11 08:16:50  www.hackbase.com  来源：互联网
在Windows XP下完美隐藏帐户
有些兄弟入侵xp后不敢加帐号，因为加的帐号在登陆界面是可以看见的，所以一般的兄弟都是把helpassistant这个帐号加为管理员，然后改注册表把xp远程连接改为经典模式，然后用helpassistant登陆。但是这种方法太不隐蔽了，很容易被主人发现！！
所以今天我介绍一种新的方法，权当抛砖引玉，大家有什么好的方法尽管砸过来！！
  首先还是先改注册表，把xp改为经典模式，然后建一个管理员帐号test，用ca远程把guest克隆了，然后删除test帐号，
最后将下面的代码导入注册表：

CODE

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsuserlist]
//"guest//"=dword:00000000  // guest就是你要隐藏的帐号


这样guest表面上看来还是guest组的，但他实际已经拥有管理员权限，而且在登陆界面上也看不到它的身影！！
当然你也可以用这个方法来隐藏系统其它的帐户！！
实际上你也可以用ca把helpassistant这个帐号克隆了，一样可以达到目的，因为helpassistant帐号默认就是隐藏的！
同样你还可以改administratror的密码，用这个帐号作为你的后门用户，因为在xp下也是不显示这个用户的，管理员一般只有在进安全模式的时候才需要这个帐号！！！

没人分析吗 谢谢啊

日志没发现异常，截图中的几个账户也是正常账户  ，具体情况可以在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users这里查看

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下面没有任何账户，只有默认的一个空内容

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽