日期:2014-05-17  浏览次数:21293 次

事件类型:审核成功事,件来源:Security,事件 ID:577
事件类型: 审核成功
事件来源: Security
事件种类: 特权使用 
事件 ID: 577
日期: 2011-1-13
事件: 1:24:31
用户: NT AUTHORITY\SYSTEM
计算机: ****
描述:
调用的特许服务:
  服务器: NT Local Security Authority / Authentication Service
  服务: LsaRegisterLogonProcess()
  主要用户名: ****$
  主要域: WORKGROUP
  主要登录 ID: (0x0,0x3E7)
  客户端用户名: ****$
  客户端域: WORKGROUP
  客户端登录 ID: (0x0,0x3E7)
  特权: SeTcbPrivilege

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

电脑上根本没有 ****$ 这个用户,1:24:31,这个时间,我们自己的管理员也不可能登录的

到底是什么情况 产生这个情况
安装了 iis6,asp.net 





------解决方案--------------------
一般来说·以$结尾的用户都不是什么好鸟。因为$结尾的用户在cmd下是看不到的。至于没有这个用户的话,很简单,不知道你有没有听说过克隆用户或者影子用户,不知道的话,上baidu,google上搜一搜就知道了。所以lz的电脑多半是有朋自远方来啊。
------解决方案--------------------
被黑了 感觉备份数据 重装系统吧
------解决方案--------------------
****$ 后面的$符号,表示用户是隐藏的,基本就是被黑了的证明。
如果想查看用户信息,可以在CMD下面 net user ****$
删除该用户的命令则是 net user ****$ /del

当然前提都是你做好了服务器的安全工作,不然删了也是白删。