瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接
herryber - 2011-2-12 18:29:00
帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLogEm.LOG
johnnyft - 2011-2-12 19:35:00
朋友你好,请点开始--程序启动,把启动项删除就可以了,再点我的电脑——属性——远程,把远程桌面和远程协助都关掉,这样就万无一失了。
wangxiaoyu1101 - 2011-2-12 22:08:00
楼主将这个文件C:\WINDOWS\system32\asxc.exe传到杀毒网上http://ww.w.virscan.org/查一下,有点可疑。
别的没有发现什么,您可以按照2楼的方法关掉远程。
herryber - 2011-2-13 12:29:00
这些方法我都试过了...删除启动...
关闭远程.没用

ASXC.EXE....这个我是试试
StreetMilk - 2011-2-13 15:24:00
楼主在命令提示符下输入“netstat -an”,查看默认远程控制端口3389是否被打开。如果没有发现3389被打开不能保证,黑客通过注册表修改远程控制端口。通过netstat -an命令查看,陌生的IP并且连接状态为established,然后通过查询这些陌生IP所在地判断,这个最好是重启电脑连接网络后再直接运行那个命令来查看。

查看自己系统的注册表,路径为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
查看项的值是否和截图的一样?

查看“Terminal Server”的权限是否有其他不明用户可以控制。

当然,你最好也在“计算机管理”——“本地用户和组”——“用户”那是否多了陌生的用户。当然如果没有的话,不能保证黑客没有创建了隐藏账户。
还有就是,会不会是你安装的“速达3000Pro服务器”才导致出现这个情况。
通过你提供的日志,发现一下问题。
    [C:\WINDOWS\system32\msjetoledb40.dll]  [, ]    ——>最好上传到瑞星文件诊所分析一下
    [C:\WINDOWS\system32\dll18073.dll]  [N/A, ]    ——>最好上传到瑞星文件诊所分析一下
    [C:\WINDOWS\system32\dll50060.dll]  [N/A, ]      ——>最好上传到瑞星文件诊所分析一下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <shell><net user>  [N/A]    ——>在注册表编辑器找到该项并删除

[sf / sas][Stopped/Disabled]
  <C:\WINDOWS\system32\asxc.exe><(File is missing
)>——>“asxc.exe”,这个网上查了下,据说是木马下载者,不确定的话最好上传到瑞星文件诊所分析一下
超级游戏迷 - 2011-2-15 10:39:00
这问题多半是病毒利用sql漏洞入侵的,注意打好相关补丁是良策。

1楼日志是在EMERGENCY情况下扫描的,不是很完整,难道正常情况下楼主的机器无法正常启动SRENG?

如果可能的话,建议在正常模式下扫描一个上传。
1
查看完整版本: 帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接