新人又来求助了

Aisaka

之前电脑中毒过  今天不在家挂机下东西 发现3点多有4个系统日志 这期间没人动过电脑啊  大家帮我看看是不是被入侵了啥的


为新登录分配了特殊权限。

主题:
        安全 ID:                SYSTEM
        帐户名:                SYSTEM
        帐户域:                NT AUTHORITY
        登录 ID:                0x3e7

特权:                SeAssignPrimaryTokenPrivilege
                        SeTcbPrivilege
                        SeSecurityPrivilege
                        SeTakeOwnershipPrivilege
                        SeLoadDriverPrivilege
                        SeBackupPrivilege
                        SeRestorePrivilege
                        SeDebugPrivilege
                        SeAuditPrivilege
                        SeSystemEnvironmentPrivilege
                        SeImpersonatePrivilege





已成功登录帐户。

主题:
        安全 ID:                SYSTEM
                帐户名:                LIAN-PC$
        帐户域:                WORKGROUP
        登录 ID:                0x3e7

登录类型:                        5

新登录:
        安全 ID:                SYSTEM
        帐户名:                SYSTEM
        帐户域:                NT AUTHORITY
        登录 ID:                0x3e7
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

进程信息:
        进程 ID:                0x2a0
        进程名:                C:\Windows\System32\services.exe

网络信息:
        工作站名:       
        源网络地址:        -
        源端口:                -

详细身份验证信息:
        登录进程:                Advapi  
        身份验证数据包:        Negotiate
        传递服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0

在创建登录会话后在被访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段会指明新登录是为哪个帐户创建的，即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
        -“传递服务”指明哪些直接服务参与了此登录请求。
        - “数据包名”指明在 NTLM 协议之间使用了哪些子协议。

老机子

不知你装的是什么杀软？？你可下载毒霸，用防黑墙里的漏洞扫描！看看！另外，若被入侵了，查看一下毒霸日志！也能知道个大概！

風箏、執手

从记录上看似乎远程开启了你机器的共享，至于共享了什么不可知，但总不是好事。
建议先关机，把硬盘挂到别人的机器上进行彻底的查杀

驴肉火烧

上个Hips吧，嫌麻烦就用个智能的比如mamutu，一切尽在掌握

吼吼、鹏

加个毛豆，全程无忧

Aisaka

風箏、執手 发表于 2012-2-14 17:14
从记录上看似乎远程开启了你机器的共享，至于共享了什么不可知，但总不是好事。
建议先关机，把硬盘挂到别 ...

扫过了啥也没  仔细一看 好几个月的日志都有莫名其妙的登陆

風箏、執手

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7558 MBSA工具，选择适用于自己系统的版本，扫描报告截图上来看看
设置如下图

Aisaka

風箏、執手 发表于 2012-2-14 18:53
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=7558 MBSA工具，选择适用于自己系统 ...

好的 我马上

Aisaka

Aisaka 发表于 2012-2-14 19:05
Security assessment: Severe Risk
Computer name: WORKGROUP\LIAN-PC
IP address: 172.16.0.1

不太懂这些  系统是Win7家庭高级版的  就用来聊天 逛贴吧 论坛 看看动漫啥的
奇怪之前不知道怎么会中毒...

Aisaka

Aisaka 发表于 2012-2-14 19:07
不太懂这些  系统是Win7家庭高级版的  就用来聊天 逛贴吧 论坛 看看动漫啥的
奇怪之前不知道怎么会中毒 ...

还有密码是几分钟之前加的 金山说要我设置个密码