中科新闻网异地逍遥天尊:电脑被黑了!各位大虾请进!
来源:百度文库 编辑:中科新闻网 时间:2024/04/20 16:59:33
因为想远程桌面做点东西,晚上实验室的电脑没有关,今天中午来到之后,发现系统(xp)多加了三个管理员用户!一个admin,一个admin$,还有一个administat(原来系统中只有Administator一个用户)。admin和admin$被设置了密码,进不去,administat没有密码。
进去后修改登录方式,重启后用Administator登录,删掉了多余的用户,然后在系统日志查看器中看到凌晨4点半左右产生了一些可疑日志,其中包括windows install产生的日志。
运行-〉cmd-〉netstat -ab,看到可疑程序r_server.exe在1千多号端口监听。上网找了些资料,最后在c:\program files中找到两个凌晨四点半左右新建的文件夹%system%和%systemroot%,并且,%system%文件夹下有两个批处理文件,一个注册表文件,还有R_Server.exe,AdmDll.dll和raddrv.dll三个文件。其中,一个批处理文件大致意思好像是注册r_server.ext,并且注入注册表文件,第二个好像是先关掉echo,再禁止什么share的东东。按照网上的说明在命令行里把r_server.exe卸载掉了,然后就把这两个文件夹删掉了。
发现windows内核防火墙一直都没开,就开了。看起来好像应该可以了,可是发现远程桌面不行了。每次用其他机器连接这台机器的远程桌面时就提示:客户端无法连接到远程计算机!!看了远程桌面的设置,都没有什么问题哇!
5555~~~~~我该怎么办呀?本来想,可能是第二个批处理文件里那句禁止什么share的搞得鬼吧?已经删掉了,也无从查证……
此外,如何预防再次被黑呢?偶不想做鸡肉……
r_server.exe是remote administrator远程控制程序。
远程控制你的计算机,你可以在本地看见远程计算机的屏幕显示,本地的鼠标、键盘的有关反应也会传送到远程计算机。
Radmin的特点
---- 1.运行速度快,在10Mbps局域网的测试中,它比流行的VNC(Virtual Network Computing)要快上150倍,也超过了PcAnywhere。
---- 2.在功能上,Radmin支持被控端以服务的方式运行、支持多个连接和IP过滤(即允许特定的IP控制远端机器)、个性化的文件互传,远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等。
---- 3.在安全性方面,Radmin支持Windows NT/2000用户级安全特性,您可以将远程控制的权限授予特定的用户或者用户组,Radmin将以加密的模式工作,所有的数据(包括屏幕影像、鼠标和键盘的移动)都使用128位强加密算法加密; 服务器端会将所有操作写进日志文件,以便于事后查询,服务器端有IP过滤表,对IP过滤表以外的控制请求将不予响应。
---- 4.与PcAnywhere不同,Radmin目前只支持TCP/IP协议,不过没有关系,TCP/IP是目前网络应用中最流行的协议,应用十分广泛。
---- 5.程序体积小巧,并且安装简单、配置容易,安装程序大小为1.2MB,但其具备了所有这类软件的常用功能
我想他是导入注册表,实现自启动,然后来获得权限
我不知道你是不是局域网
断线,备份资料,格式化最简单
如果把程序加过壳,杀毒软件不容易找出来
你可以自己找
查一下注册表中自启动的项,删除就可以了
如果是运行其它文件时附带运行那么先回复正常项再删掉,特征是@“\”%1\这样的值中夹着*.exe
完成之后给系统打上最新的补丁,安装防火墙