小Q凯 - 2008-11-25 8:52:00
公司有一台服务器,其中有很多对外业务,使用的是瑞星网络服务器版杀毒软件,360安全卫士,瑞星防火墙。最近发现一个严重问题,每天凌晨2点16分,系统日志被SYSTEM用户清楚,C盘跟目录下有一个我点点的软件,挂一个自动登陆的用户名。每天早上都需要清楚,杀毒软件没有报告有病毒,360检测满分,没有流氓软件。我用的是2003系统正版,所有补丁均搞定。请问何解?有碰到过此情况的吗?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; aff-kingsoft-ciba; MAXTHON 2.0)附件:
日志.txt
帅哥阿福 - 2008-11-25 9:00:00
不知是否楼主提到的软件导致,能否提供该软件到这里来进行测试。
小Q凯 - 2008-11-25 9:04:00
根据域名显示是这个网站的软件,类似挂机赚钱的软件。我想可能是某个木马,或流氓软件捆绑了这个软件,进行挂机。域名和IP已经被我在路由器屏蔽了,但是早上发现软件还是有,只是不好用。感觉好像是定时发作一样。
帅哥阿福 - 2008-11-25 9:08:00
楼主一楼发贴中“C盘跟目录下有一个我点点的软件”这句话中的软件是什么东东?能否提供一下详细信息或者安装程序来进行测试。
小Q凯 - 2008-11-25 9:12:00
这个软件的名字叫我点点。C盘跟目录下的的程序是main.exe,w_click.exe还有一个.DLL文件和一个记事本文件。由于让我早上删除了。所以无法提供。明天我会提供样本。
piao2008 - 2008-11-25 9:16:00
粑粑孩 - 2008-11-25 9:34:00
你的服务器100%有后门程序, 那人用你机器挂我点点帐号刷分. 可以去淘宝网看看,有卖我点点分的!
小Q凯 - 2008-11-25 9:46:00
如何治疗,杀毒软件检测不出来,360,卡卡,金山清理专家,都扫描不出来啊。
帅哥阿福 - 2008-11-25 10:01:00
小Q凯 - 2008-11-25 10:39:00
日志发出来了,请帮忙检查一下。
networkedition - 2008-11-25 11:04:00
c:\documents and settings\administrator\local settings\temporary internet files\content.ie5\mpiguek1\superkiller[1].exe
打包发上来,将此可疑文件手动删除。
帅哥阿福 - 2008-11-25 11:11:00
看不出可疑进程来,可能还是那个软件导致的,可以进注册表将其删除,如果是控制面板的各个项目的信息,那么他们存储在
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Extended项下
如果是添加/删除程序中已安装程序的信息,那么他们存储在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall项下
© 2000 - 2025 Rising Corp. Ltd.