我的机子被黑客光顾了吗？(10分)

一台单机通过ADSL上网浏览了若干网站，主要是几个编程的论坛，下载了一些控件和编程辅助工具，但是没有执行过它们，还进行了瑞星杀毒软件的更新。由于硬盘剩余空间已经很少，所以在连着网络的同时，执行了删除瑞星升级时生成的备份文件操作（一次性删除同一目录下的几十个文件），由于win98的脆弱性，执行以上操作的过程中系统突然变慢就像死机一样。我用CTRL+ALT+DEL强行关闭了“正在删除...”任务之后，win98桌面右下方的托盘图标区的图标只剩下几个，由于没了WinPoET的托盘图标，无法断开网络连接，我只好点“开始”－“关闭系统”重启系统，这时出现提示说“有一个用户连接到了我的系统，是否断开”。

请问以上现象是否代表有黑客光顾？会不会是误报？怎样情况才会出现以上误报？如果真的是黑客光顾，而他很想再次光顾的话，是否我一连网上他就能马上发现并继续其不法勾当？

由于事发时我的网络连接超过40分钟，并且在桌面上显著位置放置了我的即将发布的软件及其源码的链接，黑客完全有足够的时间下载我的程序代码，回想“系统突然变慢就像死机一样”的这一现象，太可怕了！

norton

有可能！

恩， 完全可能。 只是不知道他干了些什么了。

下次不要这样暴露了， 稳妥的方法是安装防火墙， 例如： 天网防火墙、瑞星的防火墙
Norton似乎也有

如果你的IP有公网的IP，则可能比较大。

有人通过网上邻居访问你也可能这种的。
不要太在意。

我的机子没有连接局域网，是单机，没有网上邻居。

不一定的，，如果你是在98下上网的，因为没有用户名所以，别人的一般是进不了你的系统的，除非你中木马，，在98的系统下是不好入侵的，，你刚才说的情况，可能性大的就是你共享了你电脑上的文挡，，如果你没有共享过自己的文挡的话，我记得如果浏览一些不怀好意的网站，，他会共享你所有的磁盘，，，但，他所能做的，也就是COPY你的文件，如果是完全共享的话，会把一些文件COPY到你的电脑，或是从你的电脑上删除文件，，也就是这些权限，，但，如果是中了木马的话，那就不好说了，，

有网卡吗？如果没有， 则网上邻居、网卡绑定的服务也没有， 当然不存在 共享了。
这时候唯一可连的， 就是通过拨号程序或ADSL之类的东西。必然和Internet有关联。

木马也可能哦。

还是装个防火墙监视一下， 先把级别调高， 在你不操作的情况下， 看有没有什么程序
试图向网络发数据包， 有的话，会提示的。 这样可以怀疑木马之类。
如果有人试图通过黑客端口向你发数据包或取数据包， 那么八成是黑客。

有防火墙， 不经过你的确认， 黑客一般是进不来的。
但是也有麻烦， 安装了防火墙， 级别调高些的话， 你的确认项目就多了起来。
级别低的话， 又不够安全。

我既然用ADSL，当然也有网卡了。不知升级杀毒软件会不会出现上面的误报。

有网卡？ 这个情况就复杂了。 升级杀毒软件， 是自动连接到杀毒软件的网站，
然后找最近更新版本， 这个东西不应该引起这个问题。

内部人员可以通过网络访问你的机器吗？

我刚装了金山网镖，这是我几分钟前上网以来的日志部分内容如下：
金山网镖安全日志

时间: 2003-07-17
数量: 31

[2003-07-17 16:08:53] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:08:53] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:08:56] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:09:02] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:09:14] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:09:38] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:10:29] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
[2003-07-17 16:12:49] 从24.54.58.71:53000接收TCP数据包, 对应的本机地址为218.20.117.233:6346,拦截
[2003-07-17 16:12:52] 从24.54.58.71:53000接收TCP数据包, 对应的本机地址为218.20.117.233:6346,拦截
[2003-07-17 16:12:55] 从24.54.58.71:53000接收TCP数据包, 对应的本机地址为218.20.117.233:6346,拦截
[2003-07-17 16:12:58] 从24.54.58.71:53000接收TCP数据包, 对应的本机地址为218.20.117.233:6346,拦截
[2003-07-17 16:13:32] 从61.70.136.239:57890接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:13:35] 从61.70.136.239:57890接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:13:41] 从61.70.136.239:57890接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:13:52] 从218.20.117.61:4197接收TCP数据包, 对应的本机地址为218.20.117.233:139,拦截
[2003-07-17 16:13:53] 从61.70.136.239:57890接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:13:55] 从218.20.117.61:4197接收TCP数据包, 对应的本机地址为218.20.117.233:139,拦截
[2003-07-17 16:14:02] 从218.20.117.61:4197接收TCP数据包, 对应的本机地址为218.20.117.233:139,拦截
[2003-07-17 16:14:14] 从218.20.117.61:4197接收TCP数据包, 对应的本机地址为218.20.117.233:139,拦截
[2003-07-17 16:14:26] 从218.20.228.130:5724接收TCP数据包, 对应的本机地址为218.20.117.233:445,拦截
[2003-07-17 16:14:29] 从218.20.228.130:5724接收TCP数据包, 对应的本机地址为218.20.117.233:445,拦截
[2003-07-17 16:20:58] 从61.140.108.4:2516接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:21:01] 从61.140.108.4:2516接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:21:06] 从61.140.108.4:2516接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:24:12] 从61.70.136.239:59007接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:24:13] 从218.20.229.190:4737接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:24:15] 从61.70.136.239:59007接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:24:16] 从218.20.229.190:4737接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:24:21] 从61.70.136.239:59007接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
[2003-07-17 16:24:22] 从218.20.229.190:4737接收TCP数据包, 对应的本机地址为218.20.117.233:80,拦截
[2003-07-17 16:24:33] 从61.70.136.239:59007接收TCP数据包, 对应的本机地址为218.20.117.233:4661,拦截
是不是黑客，如果是，有谁能帮我教训它？

呵呵， 现在明朗化了， CodeRed2不就是红色代码II嘛。 拿最新的杀毒软件可对付的。
这是个病毒， 到杀毒软件的主页例如瑞星就可以看到它的介绍了。

金山毒霸的主页上有专杀工具，可免费下载

CodeRed2好像是针对w2k的吧

当时我的系统已经安装了瑞星和KV2003，我想一般的病毒是可以发现的。我想知道，对于一台没有连局域网的家用电脑，以上情况有没有可能是误报？是何种情况下才会发生误报？

误报？ 虽然说不是没有可能， 但是， 防火墙是根据IP包来进行拦截， 根本不管你是不是
病毒。你看上面你贴的日志， 这个东西正在不停地尝试进入你的主机。这个报告应该可靠的。
这个东西在别的机器上， 试图进入你的机器。你的瑞星版本是不是最新的？

后面那一串218.20.117.233是你的本机地址(公网地址)。有些机器正在对你发送东西， 不过多数都是正常的询问式联系， 不必紧张。

只有前面那一串：
[2003-07-17 16:08:53] 拦截针对本机的CodeRed2攻击, 来自 218.20.188.196 ,拦截
这个东西看来才是引起“有一个用户连接到了我的系统，是否断开”的根源。但是是不是
真正的红色代码II， 倒不一定。但是它的确连接了你的机器， 这点不必怀疑。

杀毒软件只有在发现已知病毒特征代码的情况下才报告， 而防火墙是根据有没有发送或
接收IP包 来报告。
因此如果要监视网络行为， 用防火墙是准确的。

多人接受答案了。