瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 这肯定是被入侵了吗?
炼答 - 2013-12-3 17:31:00
前两天好几次PC要待机的时候在关机画面出现了““其他用户登录到这台计算机,关闭WINDOWS会使他们丢失数据,您想要继续关机么?”这个提示! 十分疑惑
越想想不通,我只有一个管理账户啊,而且没有共享文件夹,今天检查了下


(背景:个人电脑,XP sp3,administrator登录密码是五位数字,同一个路由器下有三台电脑,均未开启网上邻居共享文件夹等。)


查看结果:


1,账户:A,管理工具--计算机管理--系统工具--本地用户与组---用户只有GUEST和ADMINISTRATOR,其中 GUEST停用。
        B,注册表SAM/SAM/里的账户也只有GUEST和ADMININSTRATOR,无异常。
        C,net user,  net localgroup administrators 均未发现可疑隐藏账户


2,  “我的电脑”右键“属性”--远程: “允许远程用户链接到此计算机” 和 “允许从这台计算机发送远程邀请” 前的小方格 均未 打对号。
3,管理工具--服务: TELENT 禁用状态,  Terminal Services、计划任务,互联网时间,硬件探测等当时是自动状态。 Server事发时可能是开启状态。
4,cmd---netstat -an 各端口如图
5,杀毒软件是360杀毒和360卫士,杀软引擎同时开启了BD和小红伞引擎。更新最新杀毒无果。
6,启动项里没有什么可疑。
7,临时开启了系统安全日志,里面频繁有529 680事件,同一秒钟竟然有很多“审核失败”,不知道是被扫,还是由于改了下密码造成。日志文件在如附件。


综上,也不知道前几次出现“其他用户登录到这台计算机...”是由于系统别的原因造成,还是被入侵?求高手解答啊





附件: 2013.11.26.rar (2013-12-3 17:31:18, 6.16 K)
该附件被下载次数 1123

过客2007 - 2013-12-3 18:24:00
楼主短消息,把QQ给我,远程帮楼主看看日志。
天月来了 - 2013-12-3 19:07:00
自己想试验的话,有个简单办法,备份当前系统后,重装个新系统看情况如何。
五色茶 - 2013-12-3 21:23:00
该用户帖子内容已被屏蔽
1
查看完整版本: 这肯定是被入侵了吗?