瑞星卡卡安全论坛

服务器中这个病毒，求解决，万分感谢！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

稍等，等客户2点30上班开机房门后，进去扫描一下再传上来

此类病毒一般都是服务器有弱口令导致，例如安装了sqlserver，sa的密码过于简单，使用了默认端口等等。

查杀病毒以后再扫描的记录
之前在注册表启动项 自动加了net use bye xuzijianyes /add 这样一条命令，后来自己把它删了，现在也不知道系统安全不？
版主的意思是sql里的sa 密码设置简单导致被黑吗？
但是我们的服务器出来之后是有防火墙的，sql的端口没有开放
只开放了一个80端口，还有一个远程端口（并且是改过了的，不是默认的）

附件: SREngLOG.rar

c:\program files\everything\everything.exe
c:\documents and settings\all users\drm\%sessionname%\imege.cc3
c:\windows\system32\yqyywk.exe
以上3个文件找到压缩发来。

另外两个文件找不到 %sessionname%
这个文件夹进不去，我刚刚又扫描了一下

附件: 可疑文件.rar

附件: SREngLOG0923.rar

找不到有可能被杀毒软件杀掉了，只是剩下了文件残余注册表项。可疑文件样本已经收集反馈。

经分析附件样本不是病毒。