瑞星卡卡安全论坛

hex1 利用SQL 1433端口自动下毒

这个毒弄的我很烦了。
刚重做了系统。。。全盘格掉了。
怎么一装上SQL 就开始报毒了。。
SQL 绝对没毒  从朋友刚弄过来的


哪位大侠 教教我

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)

附件: SREngLOG.log

附件: WinOptimize.zip

请扫描系统日志跟帖上传，另将报病毒文件以及报毒图片上传

sql的确常常被很多杀软误报病毒，
如果你确定它是安全的，就不要担心了

这玩意还真不知道了，如果是不连网不报，一连网就报，那也无奈了，得考虑网内其他电脑影响

如果没连网，单纯SQL安装后也报，那就看什么杀毒软件报，报什么文件是病毒，考虑误报。

下载sreng工具扫描日志压缩发来
http://www.kztechs.com/sreng/download.html
另：你的sql的SA密码是否设置的健壮啊，建议更改sql默认链接端口1433为其它端口。

我昨天后来又做了一遍系统
扫描 毒没出来。
毒没出来的原因是。。我没把自带的防火墙关掉。 在网上看见一人说如此可以

但是我知道里面有些文件  本来是没有的，
在C盘 自动生成2个文本文件。我也不知道是不是毒。。然后自己手动改了及格参数 不知道有用没。。我把那些复制上来

RHDSetup.log 

[ResponseResult]
ResultCode=gfdgdf
[Install Progress]
Confirm Realtek Driver
Check Operation System Version
OS Information [WINMAJOR Number] = 6
OS Information [WINMAJOR String] = 6.1
OS Information [SYSINFO.nWinMajor] = 6
OS Information [SYSINFO.nWinMinor] = 1
OS Information [IsWin2000] = 1
OS Information [IsWinXP] = 1
OS Information [IsWin2003] = 1
OS Information [IsVista] = 1
OS Information [IsWin2008] = 1
OS Information [IsWin7] = 0
OS Information [IsWin2008R2x64] = 1
OS Information [IsMCE] = 0
OS Information [IsServer] = 0
OS Information [Service Pack] = 1
OS Information [x64] = 0
Rtlupd [GetRtlupdForPackage] = 1
Rtlupd version [G:\Software\Audio\Vista\RtlUpd.exe] = 2.8.0.3
Rtkupd version [\] =
Current use Rtlupd version [G:\Software\Audio\Vista\RtlUpd.exe] = 2.8.0.3
Default Path [RtkAudioDir] = C:\Program Files\Realtek\Audio
Default Path [RtkAudioDir x64] = C:\Program Files\Realtek\Audio
Default Path [RtlTempDir] = C:\Program Files\Realtek\Audio\Drivers
Default Path [RtkHDADrvDir] = C:\Program Files\Realtek\Audio\Drivers\Vista
Default Path [RtkHDMIDrvDir] = C:\Program Files\Realtek\Audio\Drivers\HDMI\XP2K
Default Path [RtlPFHDADir] = C:\Program Files\Realtek\Audio\HDA
Default Registry key [Installer Base Key] = SOFTWARE\Realtek\Audio\Installer
Current driver version = 6.0.1.6246

Realtek HD Audio Driver Vista Directory Exist .
Realtek HD Audio SRS Directory Exist
Status - ProgramFiles_Installing
delete C:\Program Files\Realtek\Audio\Drivers\Vista
Copy Realtek HD Audio Driver from Vista Directory
Copy Realtek HD Audio SRS from Source-SRS Directory
Execute RTHDCPL.exe -Q to Stop it from C:Program FilesRealtekAudioHDA
Execute RtHDVBg.exe /Q to Stop it from C:Program FilesRealtekAudioHDA
Run RtlUpd.exe : C:\Program Files\Realtek\Audio\Drivers\RtlUpd.exe --- > -s -cb -nrg2709 (TRUE)
Status - ProgramFiles_Installed
Install Realtek HD Audio Audio Driver
Run RtlUpd.exe : C:\Program Files\Realtek\Audio\Drivers\RtlUpd.exe --- > -u -s -fi -nrg2709 (TRUE)
-->Realtek HD Audio - SetupAPI result LAAW_PARAMETERS.nLaunchResult = -4
Register C:\Windows\system32\RtkAPO.dll in Vista system .
Install SRS utility
Status - OnFirstUIAfter
Installer - OnEnd


setup.log
[Application]
Name=JMicron Ethernet Adapter NDIS Driver
Version=6.0.23.4
Company=JMicron Technology Corp.
[ResponseResult]
ResultCode=1dfgdfgfdgdfg



还有一个CMD的口令。。。后面自己出来的。应该是毒

我想改掉SQL  的链接端口  可是病毒就能这么简单的控制么？

你先下载5楼链接的工具扫描日志压缩发来。1433是默认的sql链接端口啊，黑客扫描SA弱口令肯定是使用默认的端口去链接sql啊

这病毒是这样的。。关掉SQL 关掉服务这些。。能正常杀死毒 
但是不关的话。就会提示文件SQL 正在使用

关掉SQL 服务这些。。毒可以杀死

一连的话。死灰复燃  继续下载毒 

我一开始以为就SQL的问题。找朋友那考了个SQL 回来
重装C盘  没用。。原来的病毒又冒出来了。。。。
在格全盘  重装  病毒在还。。。

后面又做了次  没把系统自带的防火墙关掉。。。。毒还是出来了。但是没有自动生成文件，

扫描日志压缩发来啊，分析一下系统啊。估计有启动项没有删除。

扫描了。放在顶楼了

c:\windows\winoptimize.exe 找到压缩发来。

放顶楼了

刚才自己双击了下刚才那个文件
然后被瑞星自动杀掉了。

样本已收集反馈，删除c:\windows\winoptimize.exe

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[WinOptimize]    <C:\WINDOWS\WinOptimize.exe>
sql的SA密码重新设置一下，设置复杂一些。还有就是修改默认的链接端口。

最新版已可以查杀。