我也是这样的情况.这都是sqlservr.exe作怪,即使重装系统也没用的.干净系统一接网线就中招,因为很难找到木码源头,所以现在我是用瑞星的内核加固来防护.调到最高等级,组策略里也禁用一下命令提示符,防火墙也设置一下,阻止cmd.exe进程,如果服务器是不连外网的,建议检查局域网内的机器.绝对是局域网感染.因为我凌晨时候做的系统,测试了一晚上都很正常.等到8点钟正常上班时间就开始感染了.sqlservr.exe进程不停调用cmd.exe做批处理.指令内容就是楼主所写的那些.最毒的是破坏system32目录的文件.hal.dll和ntfs.sys等(这些文件破坏之后是无法启动系统的)和msc后缀组件.也可能也会在c盘的Program Files和Common Files目录下建立一个%Program Files%的隐藏文件夹.里面都是些恶意文件.windows文件夹下也可能会生成best.bat和360.vbs,362.vbs这样的文件,还会在system32建立isql文件夹,里面也是恶意文件.删掉这个隐藏文件夹后,手工建立一个同名称的文件夹,把属性设置完全不可控制,这样木马就写不进来了,系统做好后建议PE下把整个C盘备份下来,若不幸有系统文件被破坏也可以在pe下恢复过去(有些服务器阵列可能不支持ghost,所以在PE下把系统复制到别的分区做备份也可以),建议使用瑞星的内核加固,调至最高等级保护关键位置(你会发现瑞星日志里记了很多调用cmd搞破坏的记录),这些只是防护.最根本的解决方法是查找木马源,1433端口抓鸡很贱的.检查局域网内的机器,sql设置复杂口令.注意备份好数据库,以防木马破坏数据库
这些都是我的经验,希望对楼主有用.
这些都是我的经验,希望对楼主有用.
336
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
