一些文件夹上出现了这个用户正常吗？

sdchen

我用的是微点主动防御，今天突然发现了一个问题，在一些文件夹上有“S-1-5-21-1177238915-1647877149-2147093213-500”这个用户，删也删不掉，禁也禁不了。查了一下，在这些文件夹上存在：我的文档、360文件夹、arswp3、new_qlzq（通达顺）、Tencent、同花顺核新、除了C盘外的RECYCLER。而在其它文件夹上就没有这种情况。这是正常吗？是不是中了木马了？

laoxie1hao

好像是垃圾箱

sdchen

好像是垃圾箱
laoxie1hao 发表于 2010-4-27 14:55

看表面好像是，我查了一下，在系统C区的RECYCLER下的垃圾箱只有一个，数值是S-1-5-21-1390067357-1202660629-1177238915-1003，而其它分区RECYCLER下的垃圾箱都是三个数值分别是：S-1-5-21-789336058-1214440339-1417001333-1003、
S-1-5-21-1177238915-1647877149-2147093213-500、
S-1-5-21-1390067357-1202660629-1177238915-1003
奇怪了，我是所有驱动器均使用同一设置呀！难道和我使用了虚拟机有关？

stoneyu

这个东西好像是SID值，这两天学习组策略好像有这个东西
S-1-5-21-1177238915-1647877149-2147093213-500这个好像是管理员的SID值
我也是菜鸟，所知不多，等待高手

sdchen

估计是木马，删除了多余的垃圾箱，运用权限把这个用户终于删除了！

sdchen

呵呵，肯定是木马了，一个分区里的垃圾箱怎么有三个呢？把不同于C区的S-1-5-21-789336058-1214440339-1417001333-1003、
S-1-5-21-1177238915-1647877149-2147093213-500都删除了，只保留和C区相同的S-1-5-21-1390067357-1202660629-1177238915-1003（这个垃圾箱也无法删除，提示是系统文件不能删除），然后在有关文件夹属性里依次点安全、高级、所有者，竟然发现所有者是可恶的S-1-5-21-1177238915-1647877149-2147093213-500，不是我本人的用户名，当然杀无赦了，用我的用户名更改了它，点了确定。然后再回到文件夹属性，点开安全，呵呵，直接就把这个可恶的S-1-5-21-1177238915-1647877149-2147093213-500用户删除了。
哈哈，微点客服没有解决的问题，让我这个老菜鸟琢磨着解决了！最后查了一遍，应用软件的所有者现在都是本人了，这个S-1-5-21-1177238915-1647877149-2147093213-500用户消失了，成功了！看来C区是因为常常还原的缘故，这个用户没有取得控制，而其它分区没有还原，被这个用户远程控制了。
感觉是，微点的防火墙还比较脆弱呐，得继续改进。建议微点用户再选用一个防火墙配合使用。微点的客服还得加强业务能力呐，昨天下午第一个客服说是正常；第二个客服挺热情，教了我用权限删除这个用户，结果搞得我自己也打不开文件了，删也删不了；最后在第三个客服的提示下，才在PE下完全删除，重新安装了软件。

etianzhihen

不像是木马，应该是你使用时改过用户名，c盘还原后有改回了，造成这一状况的

sdchen

哈哈，这是家里的电脑，我从来没有改过用户名，也不会创这么一个长名乏味的用户的！这个用户不是本地的，应该是被远程用木马伪装了垃圾箱来实现的！