近来老发现有些客户端用户名被锁定,而且越来越大规模.有点吃惊,查了日志,发现有些电脑不停地在尝试登陆别人电脑主机.

找了个有"问题"主机,nestat -an发现不停地对网内电脑445,139等共享端口SYN_SENT.SYN完了之后就再也不发作,再重起开机那会就会出现扫描一次.netstat -nao却是看到svchost.exe系统进程关联在一起.用杀毒软件也都不行,甚至弄了个开源的CLAMFREE,也尝试过在安全模式里弄过.想了大半天,突然灵机一动,会不会是好久前的啥震荡波或者啥之类?!

赶快down了个FixDwndp.exe(具体地址去GOOGLE百度一下),真的发现二个木马,一个是因网页的缓存图片,另一个是在\system32的根目录下.清除了再看进程却没事了.

原来是之前电脑中标了,也打了补丁;虽然打了补丁却不会删除这个开机扫描.

小事情却造成网内或多或少的一些影响.