昨天发现公司外网服务器又被人侵入了，种了几个黑客软件。只要是用户通过3389端口从远程桌面登录系统，账号密码就会被记录下来。干掉这些个黑客软件和木马病毒后，用诺顿扫描，发现还有一个CryptWan.dll病毒，在system32目录下。

直接杀也没杀掉，因为正在被使用，也无法直接删除。用360卫士看了一下当前的进程，发现是winlogon进程在使用，看来是启动的时候装载的。直接跑到注册表中，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify 下面一看，果然在这里面有，直接删掉，并重起系统。系统起来后，跑到system32目录下，直接删除，呵呵，搞定。

同时还发现该注册表键值下面还有几个可疑的dll项，google了一下，发现果然是木马，干掉。最后提高了系统的安全级别，提高了防火墙的级别。世界清静了，哈。

查一下发现CryptWan.dll这个可疑度最好，有８０％，进注册表也查到了，而且其他服务器则没有这项。没得说了，注册表删除。另外直接删除不了这个文件，只好把这CryptWan.dll的所有权限都去掉，让它不能执行。然后服务器重新启动后，再也没有发现有发动arp攻击了。