高手来帮我看看(主机被黑）急~~~！！！

denverfly

今天我发现了一个奇怪的东西，在主机c:\winnt\system32 目录下看到很多的c_10000.nls  c_10001.nls  c_10002.nls  c_10003.nls…………一直到c_950.nls   其中有先不是连续的 ，大概有个112个一  .nls 结尾的文件，估计是病毒产生的垃圾文件，仔细看了看，有看到几个批处理文件，文件的副本我压缩贴上来了，大家帮我看看，是不是有问题。我用瑞星查毒，说是没有病毒。进程里也多了好多，有些陌生的进程更本就无法结束掉。帮着看看。;13

denverfly

昏，有人浏览没人帮我看看

厨师

这台主机是不是一个服务器啊？我怀疑被黑了，这些脚本，是用来执行取得administrator权限的。

denverfly

谢谢厨师。这是我的服务器，我看到这些批处理文件很奇怪，所以就发上来让你们看看

denverfly

有没有什么解决的办法，最近的速度没有以前快了。

takelook

不管对不对，瞎说两句

文件本身不会是病毒的， 象厨师说的估计被黑了
用命令NET USERS 看看有什么帐户
用命令NETSTAT /A 看看有什么进程，端口
如果是XP可以用 NETSTAT /A /O 和命令TASKLIST 看看有什么奇怪的进程

下载补丁， 修改密码， 装防火墙

厨师

说真的，我觉得，这台PC被黑了，hacker方面我不懂，你找个懂一点的朋友来帮你看看。最彻底的办法，就是format重装，呵呵。

对了，你装一个防火墙，看看你的服务器与internet有哪些连接。

denverfly

晕了，这个机子防火墙是瑞星的，防病毒软件也是瑞星的，好象对放饶过了防火墙，修改了一些文件，但具体修改了哪些文件还没有找出来，在WINNT目录下的Application Compatibility Scripts  文件下多了很多的批处理文件，大概也是关于获得系统管理员权限的脚本程序，在任务管理器里那些非法的进程更本无法结束掉，杀不死，现在的问题是如何去防范这种黑客，服务器的系统补丁已经打全了，防火墙也有了，怕重做完系统有又被黑，我看看了所有的进程，包括所坚听的断口，给大家发一个过去帮我看看，还有就是有什么好的防火墙软件能帮我介绍几个。

denverfly

补充

厨师

惭愧，看不懂。

BTW，我用的firewall是ZoneAlarm，直观，我喜欢，推荐试一试