Chinaunix

标题: 大伙帮忙看看偶是不是中了木马了（深度恐惧中） [打印本页]

---

作者: hejiajun    时间: 2006-06-10 09:32
标题: 大伙帮忙看看偶是不是中了木马了（深度恐惧中）
在windows2000 server事件查看到部份审核记录如下
调用的特许服务:
        服务器:                NT Local Security Authority / Authentication Service
        服务:                LsaRegisterLogonProcess()
        主要用户名:        MYWIN$
        主要域:        WORKGROUP
        主要登录 ID:        (0x0,0x3E7)
        客户端用户名:        MYWIN$
        客户端域:        WORKGROUP
        客户端登录 ID:        (0x0,0x3E7)
        特权:        SeTcbPrivilege

这是什么东东，我的电脑没有mywin$这个用户名啊，系统一开机的时候就会出来这个审核记录，其他时间好像不会，这个用户名还有10多条审核记录

[ 本帖最后由 hejiajun 于 2006-6-12 11:26 编辑 ]

---

作者: ayazero    时间: 2006-06-10 13:23
用户名末尾带$用net user命令看不到
如果账户管理中看不到，可能是被克隆管理员账户了

---

作者: hejiajun    时间: 2006-06-10 16:08
在用户管理中看不到些用户，在注册表中也没有这个用户，但现在也不知道这个是个什么东东，用诺盾也查不出病毒，不知问题出在哪　了

---

作者: frosty    时间: 2006-06-10 18:46
试试这个方法:
在CMD下
net user MYWIN$  /add
net user localgroup MYWIN$ /add
net user MYWIN$ /del

我的意思是覆盖原来的用户,再删除它

---

作者: hejiajun    时间: 2006-06-12 11:24

原帖由 frosty 于 2006-6-10 18:46 发表
试试这个方法:
在CMD下
net user MYWIN$  /add
net user localgroup MYWIN$ /add
net user MYWIN$ /del

我的意思是覆盖原来的用户,再删除它

之前有用过此方法，不管用，在6月10时还可以看到mywin$帐号登入的信息，现在对手更历害了，把审核的记录全删除了，根本看不到系统审核的记录，连本机登入的审核记录也没有，根据网络上查找到的资料获知可能是受到IIs溢出攻击，请版主们帮忙想想办法把那该死的家伙给抓出来。

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2