瑞星卡卡安全论坛

开机出现的画面




SQL 2005登陆报错



QQ：18923260

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 661; TencentTraveler 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; CIBA)

病毒样本以及系统详细情况

图看不到

将图压缩打包发来看

找不到病毒样本，这个病毒还会给建两个用户一个是 IIS 一个是SYS  都是管理员权限，删除后，重启还会出现SYS 这个用户。

:kaka6: 找找样本

用SRENG工具扫描系统日志发这论坛来,建议日志文件以附件形式接本贴发来：

下载：http://www.kztechs.com/sreng/download.html

取消“智能扫描”项内的“Windows安全更新检查”前的勾再扫描，否则可能扫描半天没结果。

日志文件以附件形式发来点击我这贴右下角的“引用”,然后就应该知道怎么发了。

注意，如果其他软件没问题，仅影响sql，那么需要考虑是否更换正版sql软件使用

这是扫描日志

附件: SREngLOG.log

日志没看出什么

这两启动项是什么呢？？

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IIS1><net1 user sys lele /add>  [N/A]
    <IIS2><net1 localgroup administrators sys /add>  [N/A]

别的软件没有那异常，只有考虑更换sql 软件了

我已经发了，请注意查收，多谢

不是知道，我也没有建过，中了这个病毒后，系统会自动建两个用户名，一个是IIS  一个是SYS ，删除后重启还会出现。

那两启动项，你删除过？？？

我刚才才删的，我是删除过IIS 和SYS这两个用户， 删除后重启登陆界面还有出现这两个用户

删除两个启动项，删除多出的帐户

然后重启电脑，还继续异常？？

启动项又出现？

没删除启动项前，删除用户重启 ，这SYS这个用户还会出现。
现在我把启动项删除了，这个用户也不出现了。
但是我的SQL 2005登陆还是出现宝山男错误提示。

我想起来了，昨天我用360查时，查出过一个2.exe 的病毒，这个病毒就是开机出现的那个dos界面里的2.exe.
我把这个文件找到发给你们，你们查下。

压缩包里就是病毒文件

附件: 2.rar.rar

瑞星也杀了呀

要不你用瑞星升级后，全盘杀毒试试

至于SQL 2005卸载后，重装试试

在WIN7系统运行了你那个2.exe。

释放的病毒程序.cc3插入一个svchost中运行。




还在%system%目录下释放了一个.rdb。
想了个办法（更改权限），这两个病毒文件还是可以弄死的。