_呈 - 2011-6-29 12:50:00
我公司的服务器现在总是被攻击,每次开机会多给我增加几个开机用户名,或者安装其他些软件, 开机启动的时候,进程里会有cmd.exe , rmnlik.exe 还有个 vqbdmm.exe 后台程序 我查不到 所以问下 , 用杀毒软件查杀没有什么用,查了总是反复,装了防火墙效果也不明显 总是跳出来有病毒
然后C:\ 会有很多这些东西,在附件!
麻烦高手帮我搞定,每天都跳病毒,烦躁死了,由于是服务器不能随便重装!!
扫描以上传
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; SE 2.X MetaSr 1.0)附件:
SREngLOG.log
networkedition - 2011-6-29 12:58:00
networkedition - 2011-6-29 15:00:00
c:\program files\common files\microsoft shared\msinfo\nwho0e0k.exe
以上文件找到压缩发来。
networkedition - 2011-6-29 15:17:00
样本已收集反馈,另删除这个文件:c:\program files\common files\microsoft shared\msinfo\nwho0e0k.exe
吧。
下载这个工具删除:
http://bbs.ikaka.com/attachment.aspx?attachmentid=653828。
lz系统安装了sqlserver,建议设置sa密码为强密码,打sqlserver软件补丁,修改sqlserver默认1433端口等防范措施。
_呈 - 2011-6-29 16:31:00
谢谢版主 文件我已经删了 但是每次电脑启动进程里还是会有 CMD,EXE 自己运行 杀毒软件还是会报毒
然后我这个工具删文件的时候,总是卡住死机
networkedition - 2011-6-29 16:44:00
扫描新的日志来看一下。
湖心小筑 - 2011-6-29 16:45:00
先把c:\*.*加入路径策略,那样C盘根目录的病毒可以不让他启动,再重启观察看看,还有按大版主说的密码与端口更改一下,要不然你怎么杀都是治标不治本
天月来了 - 2011-6-29 16:46:00
楼主都用了COMODO
难道没禁止这些???
湖心小筑 - 2011-6-29 17:02:00
留下Q号直接加Q聊,比这个效率要高的多
networkedition - 2011-6-29 17:25:00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<shell><; net user Tsinternetusers 65881 /add> [N/A]
这个启动项删除,那个文件已经不在了。
networkedition - 2011-6-29 17:27:00
另外在看一下本机管理员的用户组删除Tsinternetusers 这个用户。
networkedition - 2011-7-1 10:14:00
先确定一下c:\windows\system32\shgina.dll 是否有这个dll文件,如果有就注册一下这个dll后再尝试打开用户帐户控制面板。
点击开始运行输入:regsvr32 c:\windows\system32\shgina.dll 点击确定即可。
山旺鸟 - 2011-7-1 21:55:00
:default21: 我服务器也是重同样的病毒,电脑是WIN2003系统,装有SQL2000.
进程有很多CMD.EXE
急~~~~~~~~~~~~~~呀
请高手详细说明一下行吗???谢谢
山旺鸟 - 2011-7-1 21:59:00
另系统重装或重先分区,两者都常试过,,..也没用...请问是不是SQL2000端口有关呀,那又如何设置呀......急急.....谢谢
leo108 - 2011-7-4 10:28:00
建议开新帖求助,每个人的解决方案未必相同
© 2000 - 2024 Rising Corp. Ltd.
