事件类型:审核成功事,件来源:Security,事件 ID:577
事件类型:审核成功
事件来源:Security
事件种类:特权使用
事件 ID:577
日期:2011-1-13
事件:1:24:31
用户:NT AUTHORITY\SYSTEM
计算机:****
描述:
调用的特许服务:
服务器:NT Local Security Authority / Authentication Service
服务:LsaRegisterLogonProcess()
主要用户名:****$
主要域:WORKGROUP
主要登录 ID:(0x0,0x3E7)
客户端用户名:****$
客户端域:WORKGROUP
客户端登录 ID:(0x0,0x3E7)
特权:SeTcbPrivilege
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
电脑上根本没有 ****$ 这个用户,1:24:31,这个时间,我们自己的管理员也不可能登录的
到底是什么情况 产生这个情况
安装了 iis6,asp.net
[解决办法]
一般来说·以$结尾的用户都不是什么好鸟。因为$结尾的用户在cmd下是看不到的。至于没有这个用户的话,很简单,不知道你有没有听说过克隆用户或者影子用户,不知道的话,上baidu,google上搜一搜就知道了。所以lz的电脑多半是有朋自远方来啊。
[解决办法]
被黑了 感觉备份数据 重装系统吧
[解决办法]
****$ 后面的$符号,表示用户是隐藏的,基本就是被黑了的证明。
如果想查看用户信息,可以在CMD下面 net user ****$
删除该用户的命令则是 net user ****$ /del
当然前提都是你做好了服务器的安全工作,不然删了也是白删。
