浪子0000000 - 2010-12-7 13:21:00
情况如下:
电脑莫名的多出了管理员级用户;
里面滋生大量强悍病毒,多种杀毒软件无法根除;
有来自不同iP的客户端以sa的身份登录我的数据库;
系统每过1-2小时自动运行多个CMD.EXE后,杀软开始报毒后杀毒病毒可以查杀,但是没办法完全根除恳请高手帮忙解决。
有种预感,此攻击将会恶意流行。
扫描日志太长,只能够做附件上传,请高手帮忙看看在线等
SREngLOG1.log为新扫描的日志
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)附件:
SREngLOG1.log 附件:
SDLog.LOG
networkedition - 2010-12-7 13:32:00
c:\windows\system32\mdsql.exe
c:\documents and settings\all users\drm\%sessionname%\grvdu.dlc
C:\program files\netmeeting\vibto.pdf
c:\windows\system32\f28690593k.cmd
查找一下以上文件系统里是否还有。
浪子0000000 - 2010-12-7 13:50:00
已查看电脑,都没有上述文件了
networkedition - 2010-12-7 13:56:00
没啥异常了,只是一些残留的注册项。
浪子0000000 - 2010-12-7 14:00:00
哦,只是系统每过2小时左右就又会出现病毒,刚才扫描的已经杀毒后的日志,一会报毒的时候我重新扫一次再发上来,麻烦斑竹大大帮忙看看,谢谢了
浪子0000000 - 2010-12-7 15:45:00
又出现莫明CMD.EXE和PING.exe,已扫描,请大大帮忙查看
networkedition - 2010-12-7 15:51:00
是局域网环境么,系统打全补丁,设置强密码。关闭不必要的默认共享。
networkedition - 2010-12-7 15:52:00
浪子0000000 - 2010-12-7 15:54:00
好的,只是我已经把CMD关了,也清除病毒了,不知道还有没有用哦
浪子0000000 - 2010-12-7 16:01:00
已扫描好,在附件2
networkedition - 2010-12-7 16:03:00
没有见附件2:kaka6:
浪子0000000 - 2010-12-7 16:06:00
呵呵,刚才附件弄错:)
networkedition - 2010-12-7 16:23:00
日志未见异常,参考一下7楼的回复吧,还有你的sqlsever最好设置一个强的sa密码。
浪子0000000 - 2010-12-7 16:34:00
好的,非常感谢你的热心
© 2000 - 2024 Rising Corp. Ltd.