前些日子偶的機子也出此問題!很是頭疼啊！用了幾款殺毒軟件如：NOD32、瑞星、Mcafee等都無濟于事！只有Mcafee查出在system32下發(fā)現(xiàn)兩個文件eq和tt，但清除掉后，過上一會就會自動生成了！總是無發(fā)徹底清除！

后用木馬殺客v5.31查看網(wǎng)絡狀態(tài),發(fā)現(xiàn)1433訪問量非常大!1433不是sqlserver的默認端口嘛?說明有人在連接我的數(shù)據(jù)庫(機子上裝有slqserver2000用來臨時測試用)，同時還發(fā)現(xiàn)ftp.exe進程在訪問一個遠程計算機的端口，不知道在下載什么！估計不是什么好東西!看來偶的機子是被人監(jiān)控了！怎么辦？關掉ftp.exe和cmd.exe兩個進程后！沒多久就又自動被打開了！但我發(fā)現(xiàn)被打開的時間沒有規(guī)律！有時很快就被打開調用，有時則很長時間才又會出現(xiàn)！看來是被別人手動的執(zhí)行的呢！仔細想了下！看來問題是出在sqlserver 上了，到網(wǎng)上查了下相關資料，最后注意到這個存儲過程上xp_cmdshell，網(wǎng)上資料解釋說： 

xp_cmdshell 操作系統(tǒng)命令外殼 。這個過程是一個擴展存儲過程，用于執(zhí)行指定命令串，并作為文本行返回任何輸出。

一般情況下，xp_cmdshell對管理員來說也是不必要的，xp_cmdshell的消除不會對Server造成 
  任何影響。 
   可以將xp_cmdshell消除： 
   Use Master 
   Exec sp_dropextendedproc N'xp_cmdshell' 
   Go 

   如果需要的話，可以把xp_cmdshell恢復回來： 
   Use Master 
   Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll' 
   Go 

  [經驗] 
   最好把Server的xp_cmdShell存貯過程消除。

于是便將其關閉掉！呵呵。。。。再用木馬殺客查看網(wǎng)絡狀態(tài)！哈。。1433端口也比較正常了，而且ftp.exe和cmd.exe也再沒有出現(xiàn)過了！看來問題確實出在安全設置上啊！把這次經歷貼出來，希望碰到同樣問題的朋友能有個參考了!

最新評論