StreetMilk - 2011-2-13 15:24:00
楼主在命令提示符下输入“netstat -an”,查看默认远程控制端口3389是否被打开。如果没有发现3389被打开不能保证,黑客通过注册表修改远程控制端口。通过netstat -an命令查看,陌生的IP并且连接状态为established,然后通过查询这些陌生IP所在地判断,这个最好是重启电脑连接网络后再直接运行那个命令来查看。
查看自己系统的注册表,路径为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
查看项的值是否和截图的一样?
查看“Terminal Server”的权限是否有其他不明用户可以控制。
当然,你最好也在“计算机管理”——“本地用户和组”——“用户”那是否多了陌生的用户。当然如果没有的话,不能保证黑客没有创建了隐藏账户。
还有就是,会不会是你安装的“速达3000Pro服务器”才导致出现这个情况。
通过你提供的日志,发现一下问题。
[C:\WINDOWS\system32\msjetoledb40.dll] [, ] ——>最好上传到瑞星文件诊所分析一下
[C:\WINDOWS\system32\dll18073.dll] [N/A, ] ——>最好上传到瑞星文件诊所分析一下
[C:\WINDOWS\system32\dll50060.dll] [N/A, ] ——>最好上传到瑞星文件诊所分析一下[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<shell><net user> [N/A] ——>在注册表编辑器找到该项并删除
[sf / sas][Stopped/Disabled]
<C:\WINDOWS\system32\asxc.exe><(File is missing)>——>“asxc.exe”,这个网上查了下,据说是木马下载者,不确定的话最好上传到瑞星文件诊所分析一下
查看自己系统的注册表,路径为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
查看项的值是否和截图的一样?
查看“Terminal Server”的权限是否有其他不明用户可以控制。
当然,你最好也在“计算机管理”——“本地用户和组”——“用户”那是否多了陌生的用户。当然如果没有的话,不能保证黑客没有创建了隐藏账户。
还有就是,会不会是你安装的“速达3000Pro服务器”才导致出现这个情况。
通过你提供的日志,发现一下问题。
[C:\WINDOWS\system32\msjetoledb40.dll] [, ] ——>最好上传到瑞星文件诊所分析一下
[C:\WINDOWS\system32\dll18073.dll] [N/A, ] ——>最好上传到瑞星文件诊所分析一下
[C:\WINDOWS\system32\dll50060.dll] [N/A, ] ——>最好上传到瑞星文件诊所分析一下[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<shell><net user> [N/A] ——>在注册表编辑器找到该项并删除
[sf / sas][Stopped/Disabled]
<C:\WINDOWS\system32\asxc.exe><(File is missing)>——>“asxc.exe”,这个网上查了下,据说是木马下载者,不确定的话最好上传到瑞星文件诊所分析一下