注意：使用电脑公司ＧＨＯＳＴ版系统了的注意了

beybey

注意：使用电脑公司ＧＨＯＳＴ版系统了的注意了

我的朋友告诉我有天晚上他在下载东西，睡不着，又闲着无聊，就拿出了扫描工具[s.exe,这个扫描工具的速度我认为是非常快的]，扫描了[***.***.1.1 ***.***.254.254]开了3389的IP，结果太另我惊奇了，开了3389的集子居然有186台(时间是晚上1点多)，这个还不算什么，我就去连接远程桌面了，[对方是WindowsXP的系统]自然是要用户名和密码了，我就拿[Administrator，密码为空]居然让我进去了，而且[Administrator是第一次登陆，没有个人设置的]我就去看看他有哪些用户，Guest自然是禁用的了，只有两个管理员号码[Administrator和new]，我没动它，管理员和我一样，在下载东西，我加了他QQ，传了个Radmin，搞定之后，我便去看看其他的3389机器了！
我连接第二个扫描出来的3389IP也是WindowsXP的系统，还是老路用[Administrator,密码空]去连的时候，提示[new]在线，我就有点奇怪了，他们两个人的用户怎么是一样的啊，也没怎么在意，这个IP暂时放一边，换IP去连。
IP在连，我的心也在凉！我连了186个IP，发现了一个特点：都开放了3389端口，都有Administrator和new这个用户，而且密码都为空。这意味着什么呢！
还有一台电脑我进去了，他是刚装的系统和驱动，什么都没设置，人不在，我看了他可能把硬盘全格式化了，里面都没文件。
现在我就能确定一件事情啦：他们安装完系统之后，就开了3389，而且建立了一个用户[new，密码空]。
怎么可以这样实现呢，据我初步估计，他们一定是在网上下载了GHOST版系统，很可能是，别人在自己的系统里面做了后门，然后做成了镜像，给你们下载！当你们安装了之后。。。。。。。

以上的事情绝对是真实的！在此，我强烈建议大家不要为了省时间，安装GHOST系统，论坛上志鸿兄弟的那个就很好啊，或者你直接下一个xp505原版的iso算号安装。

大家看了这个帖子之后就到命令提示符下面去打这个命令:netstat -na
上面的那个命令是可以查看自己开了哪些端口的！还有就是给自己的用户设置好密码，特别提醒，发现自己有new这个用户的朋友，建议你们换系统吧(估计你们还是很菜，即使在论坛上说了怎么搞，你们也未必会搞)！
好了，我就写到这里了，下面的事情，你们自己去办吧！



解决方案:

1.系统属性——远程——把“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”复选框前面的勾去掉！
2.开始——控制面板——管理工具——服务，“Terminal Services”(允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 - 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机，请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。)括号里的是关于这个服务的描述。禁用了吧！
3.开始——控制面板——管理工具——本地安全策略——本地策略——用户权限分配——通过终端服务允许登陆，你把“Administrators”和“Remote Desktop Users”删除。
4.把用户[new]、用户[Guest]和用户[Administrator]重命名，并且设置一个强密码(推荐：字母＋数字＋字符，的组合)！
5.控制面板——Windows防火墙——例外——把“远程桌面”前的复选框的勾去掉！
6.从IP策略里面关闭木马和病毒默认开放的端口。
7.安装第三方防火墙！
8.多去看看系统日志（开始——控制面板——管理工具——事件查看器）
9.平时多用netstat -na这个命令，去看看有没有开放陌生的端口(运行cmd，在命令提示符下输入netstat -na),也许。。。。
10.养成良好的上网习惯！

[ 本帖最后由 beybey 于 2006-3-30 04:25 编辑 ]

beybey

发这个帖子是因为现在这个版本的XP在网上流传广泛，我们论坛的机油有可能用的就是这个系统，所以我在这里提醒大家一下。不要为了省那一点时间去装GHOST版本的系统，去买个4快的盗版XP装一下也比GHOST的好。（我这里不是提倡盗版哈，有能力的情况下还是支持正版软件）

jet

谢谢楼主的分享...我帮顶上去!

grmhuim

还好我一直没用过

幽文仔

原帖由 jet 于 2006-3-28 21:08 发表
谢谢楼主的分享...我帮顶上去!

:D:o:Q:L:P

QING

学习了一下，谢谢啊！

geliner

我不用ghost,个人觉得Acronis Image Pro 要比ghost要好

从来就不买ghost版的d版xp

ko2835

原来我是菜鸟，唉，，，，，，，

lyyaann

俺也没有用,不过懂得预防好

春树暮云

一般来说，3389是默认打开的，administrator默认具有访问权限，但是administrator空密码的话是不允许连接的。

ailiagt

我来顶一下！

Swallow

谢谢

veryhappiness

感觉ghost的系统比自己安装的要好，速度快，问题也少

sxd945

好贴。版主应该加分的说

swiftlin

这个版本JUJUMAO站长已经提出解决问题的办法了。而且你提到的问题不仅Ghost电脑公司有，即使全新安装的系统也有这些漏洞的。
下载解决方案
http://bt.jujumao.com/view.php?id=32

beybey

不错 只要安全意识到了 那就可以，
我的机子重来不装杀毒软件的，呵呵。

教大家一招金蝉脱窍——一招克死所有病毒！

呵呵，如果大家使用的是windows2k 或xp那么教大家一招金蝉脱窍 —— ——而且只需要这一招克就能死所有病毒！！

       如果你是新装的系统（或者是你能确认你的系统当前是无毒的），那就再好不过了，现在就立即就打开：

“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧！

       首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提

升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽

回的余地，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系

统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为：user1、user2；并且指定他们属于user组，

好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。只

使用user1登陆就可以了。

       登陆之后上网的时候找到ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择“以其他用户方式

运行”点确定！要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密

码！！！好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站

跟网页，而不必再担心中招了！因为你当前的系统活动的用户时user1。而user2是不活动的用户，我们使用这个

不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用

户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的

仅仅时use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2

根本就没运行，怎么能取得系统的操作权呢？？既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来

操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们

无法占据user1的位置！所以你只要能保证总是以这个user2用户做代理来上网（但却不要使用user2来登陆系统，

因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活！），那

么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒！

      不过总有疏忽的时候，一个不小心中毒了怎么办？？
   
      不用担心，现在我们就可以来尽情的表演脱壳的技术了！

开始金蝉脱壳：

重新启动计算机，使用超级管理员登陆——进入系统后什么程序都不要运行

你会惊奇的发现在的系统竟然表现的完全无毒！！，那就再好不过了，现在就立即就打开：

“开始→程序→管理工具→计算机管理→本地用户和组→用户” 吧！

把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在

的病毒也就跟随着这两个用户的消失而一起去长眠了——（好象是陪葬，呵呵！）。这么做过之后我保证你的

win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！

好！现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了

他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的

也是不可能包含病毒的！！！建立完成之后立即注销超级管理员，转如使用user1登陆，继续你象做的事吧，你会

发现你的系统如同全新了！以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的

操作系统是无毒状态！只要你能遵循以下几条规辙：

一、任何时间都不以超级管理员的身份登陆系统——除非你要进行系统级更新和维护、需要使用超级管理员身份的

时候或是你需要添加和删除用户的时候。

二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，

而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不！ 只做做用户和系

统的管理和维护就立即退出，而决不多做逗留！（这也是微软的要求，微软最了解自己的东东，他的建议是正确

的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了！！这应该事能完全

作到的）。

      上面的都作到了，那么排除了硬件和误操作原因、、病毒跟系统瘫痪都将与你无缘了。。。。。。。

[ 本帖最后由 beybey 于 2006-3-30 04:23 编辑 ]

veryhappiness

几乎没检测到病毒，除了专门下的病毒包

ferrari_1

呵呵，我只用自己做的GHOST。。。。顶一下。。。

zjcwhy

顶一下。。。

liuz028ch

兄弟们，这个是要自己注意的啦，我是做电脑的，老实电脑公司版做的真不错，速度快，兼容性好，容易用，（不过有时会出点小错）我们用了人家的系统要多谢人家，作者在发布时也说明了这些问题，我们自己解决一下就行了，装好后第一时间装上防火墙和杀毒软件，改名，加密码，我们不能因噎费食吧，个人意见。