各位专家救命啊，服务器被黑客控制了，还给我发消息，帮帮忙啊，多谢！

我用远程桌面进行管理，不一会就提示有另一个登录，而我就自动退出。  我再进行远程登录，不一会又出现这个情况。


然后我再登录，  忽然就有一个消息提示框， 说  ：　bu wan le


系统用户里被加入了 yyc 用户，删除了以后还是能加进来


而且看日志  用了用户名  WOSHISHUI$                这个带$ 的用户从来没见过啊～～～～，搜索引擎还不能搜索$


以下是 系统事件：


=======================================================

受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。

登录过程名:  Winlogon\MSGina

=======================================================

指派给新登录的特殊权限:
  用户名: yyc
  域:  WOSHISHUI
  登录 ID:  (0x0,0x2FC8C1)
  特权: SeSecurityPrivilege
  SeBackupPrivilege
  SeRestorePrivilege
  SeTakeOwnershipPrivilege
  SeDebugPrivilege
  SeSystemEnvironmentPrivilege
  SeLoadDriverPrivilege
  SeImpersonatePrivilege


=======================================================


登录成功:
  用户名:  yyc
  域:  WOSHISHUI
  登录 ID:  (0x0,0x2FC8C1)
  登录类型:  10
  登录进程:  User32 
  身份验证数据包:  Negotiate
  工作站名: WOSHISHUI  登录 GUID: -
  调用方用户名: WOSHISHUI$
  调用方域: WORKGROUP
  调用方登录 ID: (0x0,0x3E7)
  调用方进程 ID: 3568
  传递服务: -
  源网络地址: 124.171.221.178
  源端口: 4720


=======================================================

使用明确凭据的登录尝试:
登录的用户:
  用户名: WOSHISHUI$
  域:  WORKGROUP
  登录 ID:  (0x0,0x3E7)
  登录 GUID: -
凭据被使用的用户:
  目标用户名: yyc
  目标域: WOSHISHUI
  目标登录 GUID: -

目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3568
源网络地址: 124.171.221.178
源端口: 4720


=======================================================


用户：S-1-5-21-1143463164-3768803249-1987012963-1019

登录成功:
  用户名:  yyc
  域:  WOSHISHUI
  登录 ID:  (0x0,0x2FC8C1)
  登录类型:  10
  登录进程:  User32 
  身份验证数据包:  Negotiate
  工作站名: WOSHISHUI
  登录 GUID: -
  调用方用户名: WOSHISHUI$
  调用方域: WORKGROUP
  调用方登录 ID: (0x0,0x3E7)
  调用方进程 ID: 3568

=======================================================

用户：S-1-5-21-1143463164-3768803249-1987012963-1019


尝试登录的用户:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:  yyc
源工作站:  WOSHISHUI
错误代码:  0x0

=======================================================

---

这个问题第1个回答：
你的问题估计是让人家给玩了，没有办法，只有恢复备份或者重新做系统。不过， 要二者都不做，还得研究一段时间。你的服务器的安全性能估计是很差，以后搜索者方面的资料看看。

---

这个问题第2个回答：
看看
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下面有没有做过gina替换

---

这个问题第3个回答：
这样的情况没什么大不了的，可能很多人都见过。
你可以这样做：
1、删除那个新建的用户，就是黑客使用的帐户
2、修改你现在系统中所有用户的密码，禁用GUEST帐户
3、检查计算机是否存在木马
4、你的计算机是否是应用服务器？，如果是就检查相关应用是否存在漏洞，比如ASP木马。
5、如果是在还是不放心，最好重新做一遍系统
6、还是检查你的应用，是否存在漏洞。

---

这个问题第4个回答：
没有发现 gina 内容

---

这个问题第5个回答：
$的用户删除，然后检查磁盘安全，有需要联系我，我是做安全的qq：371523109

---

这个问题第6个回答：
来看看~~~~~~~学习

---

这个问题第7个回答：
顶帖要顶好帖

---

这个问题第8个回答：
呵呵，没什么奇怪的。

---