» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 微点软件使用交流 » 在windows2003上微点老被黑客关闭    13   2/2   <   1   2  作者: 标题: 在windows2003上微点老被黑客关闭 txsj 新手上路 积分 8 发帖 8 注册 2009-8-5 #11   不是误报,晕,我上面安装几个防火墙都被卸载了 ※ ※ ※ 本文纯属【txsj】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2009-8-6 23:27 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #12   一次针对[CryptWan.dll netsvrcz.dll syterm.dll]木马的查杀 继续，发现C:\WINDOWS\system32\winlogon.exe 进程被挂接了两个模块 一个是  C:\WINDOWS\system32\CryptWan.dll 一个是 c:\windows\system32\netsvrcz.dll 继续查一下系统帐号，发现guest帐号处于启用状态，但仍然在GUESTS组里，有问题。 不放心，找了mt.exe mt.exe -chkuser 发现果然administrator帐号被克隆。TMD这鸟人。累不累。 好了现在干掉。 http://www.nc21.cn/ncnet/article.asp?nc=15-0-100-0-2378.xhtml 清理CryptWan.dll病毒 昨天发现公司外网服务器又被人侵入了，种了几个黑客软件。只要是用户通过3389端口从远程桌面登录系统，账号密码就会被记录下来。干掉这些个黑客软件和木马病毒后，用诺顿扫描，发现还有一个CryptWan.dll病毒，在system32目录下。       直接杀也没杀掉，因为正在被使用，也无法直接删除。用360卫士看了一下当前的进程，发现是winlogon进程在使用，看来是启动的时候装载的。直接跑到注册表中，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 下面一看，果然在这里面有，直接删掉，并重起系统。系统起来后，跑到system32目录下，直接删除，呵呵，搞定。       同时还发现该注册表键值下面还有几个可疑的dll项，google了一下，发现果然是木马，干掉。最后提高了系统的安全级别，提高了防火墙的级别。世界清静了，哈。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2009-8-7 09:32 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #13   楼主提供的文件经我们分析微点可以有效拦截处理，推荐楼主到我们的官方网站下载最新版的微点安装程序后重装一遍微点并更新到最新版。 此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！ ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2009-8-12 14:49  13   2/2   <   1   2  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号