1   1  /  1  页   跳转

[求助] net use bye xuzijianyes /add(net病毒)

net use bye xuzijianyes /add(net病毒)

服务器中这个病毒,求解决,万分感谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
gototop
 

回复 1F mydiakua 的帖子

下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html
gototop
 

回复 2F networkedition 的帖子

稍等,等客户2点30上班开机房门后,进去扫描一下再传上来
gototop
 

回复 3F mydiakua 的帖子

此类病毒一般都是服务器有弱口令导致,例如安装了sqlserver,sa的密码过于简单,使用了默认端口等等。
gototop
 

回复: net use bye xuzijianyes /add(net病毒)

查杀病毒以后再扫描的记录
之前在注册表启动项 自动加了net use bye xuzijianyes /add 这样一条命令,后来自己把它删了,现在也不知道系统安全不?
版主的意思是sql里的sa 密码设置简单导致被黑吗?
但是我们的服务器出来之后是有防火墙的,sql的端口没有开放
只开放了一个80端口,还有一个远程端口(并且是改过了的,不是默认的)

附件附件:

文件名:SREngLOG.rar
下载次数:354
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-22 17:42:54
描述:rar

gototop
 

回复 5F mydiakua 的帖子

c:\program files\everything\everything.exe
c:\documents and settings\all users\drm\%sessionname%\imege.cc3
c:\windows\system32\yqyywk.exe
以上3个文件找到压缩发来。
gototop
 

回复: net use bye xuzijianyes /add(net病毒)

另外两个文件找不到 %sessionname%
这个文件夹进不去,我刚刚又扫描了一下

附件附件:

下载次数:319
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-23 9:55:55
描述:rar

附件附件:

下载次数:324
文件类型:application/octet-stream
文件大小:
上传时间:2011-9-23 9:55:55
描述:rar

gototop
 

回复 7F mydiakua 的帖子

找不到有可能被杀毒软件杀掉了,只是剩下了文件残余注册表项。可疑文件样本已经收集反馈。
gototop
 

回复 7F mydiakua 的帖子

经分析附件样本不是病毒。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT