瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

1   1  /  1  页   跳转

帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLogEm.LOG
下载次数:624
文件类型:application/octet-stream
文件大小:
上传时间:2011-2-12 18:29:05
描述:log

分享到:
gototop
 

回复:帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

朋友你好,请点开始--程序启动,把启动项删除就可以了,再点我的电脑——属性——远程,把远程桌面和远程协助都关掉,这样就万无一失了。
gototop
 

回复:帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

楼主将这个文件C:\WINDOWS\system32\asxc.exe传到杀毒网上http://ww.w.virscan.org/查一下,有点可疑。
别的没有发现什么,您可以按照2楼的方法关掉远程。
gototop
 

回复:帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

这些方法我都试过了...删除启动...
关闭远程.没用

ASXC.EXE....这个我是试试
gototop
 

回复: 帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

楼主在命令提示符下输入“netstat -an”,查看默认远程控制端口3389是否被打开。如果没有发现3389被打开不能保证,黑客通过注册表修改远程控制端口。通过netstat -an命令查看,陌生的IP并且连接状态为established,然后通过查询这些陌生IP所在地判断,这个最好是重启电脑连接网络后再直接运行那个命令来查看。

查看自己系统的注册表,路径为:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
查看项的值是否和截图的一样?

查看“Terminal Server”的权限是否有其他不明用户可以控制。

当然,你最好也在“计算机管理”——“本地用户和组”——“用户”那是否多了陌生的用户。当然如果没有的话,不能保证黑客没有创建了隐藏账户。
还有就是,会不会是你安装的“速达3000Pro服务器”才导致出现这个情况。
通过你提供的日志,发现一下问题。
    [C:\WINDOWS\system32\msjetoledb40.dll]  [, ]    ——>最好上传到瑞星文件诊所分析一下
    [C:\WINDOWS\system32\dll18073.dll]  [N/A, ]    ——>最好上传到瑞星文件诊所分析一下
    [C:\WINDOWS\system32\dll50060.dll]  [N/A, ]      ——>最好上传到瑞星文件诊所分析一下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <shell><net user>  [N/A]    ——>在注册表编辑器找到该项并删除

[sf / sas][Stopped/Disabled]
  <C:\WINDOWS\system32\asxc.exe><(File is missing
)>——>“asxc.exe”,这个网上查了下,据说是木马下载者,不确定的话最好上传到瑞星文件诊所分析一下
gototop
 

回复:帮我看看是不是被黑客留后门了。。。电脑总是自己打开远程连接

这问题多半是病毒利用sql漏洞入侵的,注意打好相关补丁是良策。

1楼日志是在EMERGENCY情况下扫描的,不是很完整,难道正常情况下楼主的机器无法正常启动SRENG?

如果可能的话,建议在正常模式下扫描一个上传。
打酱油的……
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT