今天服务器突然死掉了(也ping不通),让机房重起,过不多久,远程,ftp,aspweb不能上,html能上,也能ping.
再让机房重起,远程登上去,做了些备份,清理所有的硬盘,一个多小时机器不死,正在庆幸的时候, 突然看到cpu已经到了100%,察看进程是个叫logon.scr的占用了。再看web连结都已经死掉了。慌忙中以为远程连结马上要中断,连忙远程重起,结果死在那里。重起也失败。现在能ping,能浏览html文件,其他都不行。
查了logon.scr原来是个默认屏保,机器默认15分钟不动作就启动。可能是黑客把这个文件换成他的文件了,然后它能干些事,不知道我的判断对不对?应该怎么对应?有没有这种病毒?谢谢
---------------------------------------------------------------
看看下面的这篇文章,不知道对你有没有用
如果你有普通用户帐号,有个一个很简单的方法获取NT Administrator帐号:
先把c:winntsystem32下的logon.scr改名为logon.old备份
然后把usrmgr.exe改名为logon.scr
然后重新启动
logon.scr是启动时加载的程序,重新启动后,不会出现以往的登陆密码输入界面,而是用户管理器
这时他就有权限把自己加到Administrator组
不要忘记把文件名改回来啊!