瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 帮助看看 是不是被黑客以helpassistant给入侵了

1   1  /  1  页   跳转

帮助看看 是不是被黑客以helpassistant给入侵了

帮助看看 是不是被黑客以helpassistant给入侵了

1月18日之前几天,曾经有过连续三次在19点05分左右自动关机(当时电压也比较低),用at命令显示没有任务。
18日晚上并没有启用远程桌面和QQ远程协助之类的,但是用net user helpassistant检查出登陆的消息。我的helpassitant早就是禁用了。但是[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsuserlist下面有好几个用户什么helpassistant、netshowservicessqlcmdagentexec、tsinternetUser等,那些是不是黑客的隐藏账户啊?那些账户默认属性是隐藏吧。在命令行中net user只有我的在用账户和被禁用的guest、helpassitant,只有用户guest在guests组里面,其他只有管理员组的我的在用的一个账户。
事件查看器中有 remote desktop成功发送控件的日志。截图如下,附sr-engldr扫描的结果,请大大帮我一把,我是不是被人远程控制了?怕怕啊 我该怎么办??







用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) (Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1));  Embedded Web Browser from: http://bsalsa.com/; 360SE)

附件附件:

文件名:SREngLOG.log
下载次数:471
文件类型:application/octet-stream
文件大小:
上传时间:2010-2-23 23:10:58
描述:log

最后编辑唐建 最后编辑于 2010-02-23 23:27:39
分享到:
gototop
 

回复:帮助看看 是不是被黑客以helpassistant给入侵了

我看了这个介绍用注册表隐藏账户后怀疑是不是有些隐藏账户的,请看——
附:
在Windows XP下完美隐藏帐户 2009-02-11 08:16:50  www.hackbase.com  来源:互联网
在Windows XP下完美隐藏帐户
有些兄弟入侵xp后不敢加帐号,因为加的帐号在登陆界面是可以看见的,所以一般的兄弟都是把helpassistant这个帐号加为管理员,然后改注册表把xp远程连接改为经典模式,然后用helpassistant登陆。但是这种方法太不隐蔽了,很容易被主人发现!!
所以今天我介绍一种新的方法,权当抛砖引玉,大家有什么好的方法尽管砸过来!!
  首先还是先改注册表,把xp改为经典模式,然后建一个管理员帐号test,用ca远程把guest克隆了,然后删除test帐号,
最后将下面的代码导入注册表:

CODE

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsuserlist]
//"guest//"=dword:00000000  // guest就是你要隐藏的帐号


这样guest表面上看来还是guest组的,但他实际已经拥有管理员权限,而且在登陆界面上也看不到它的身影!!
当然你也可以用这个方法来隐藏系统其它的帐户!!
实际上你也可以用ca把helpassistant这个帐号克隆了,一样可以达到目的,因为helpassistant帐号默认就是隐藏的!
同样你还可以改administratror的密码,用这个帐号作为你的后门用户,因为在xp下也是不显示这个用户的,管理员一般只有在进安全模式的时候才需要这个帐号!!!
gototop
 

回复:帮助看看 是不是被黑客以helpassistant给入侵了

没人分析吗 谢谢啊
gototop
 

回复:帮助看看 是不是被黑客以helpassistant给入侵了

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下面没有任何账户,只有默认的一个空内容
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT