前些日子偶的機(jī)子也出此問題!很是頭疼啊！用了幾款殺毒軟件如：NOD32、瑞星、Mcafee等都無濟(jì)于事！只有Mcafee查出在system32下發(fā)現(xiàn)兩個(gè)文件eq和tt，但清除掉后，過上一會(huì)就會(huì)自動(dòng)生成了！總是無發(fā)徹底清除！

后用木馬殺客v5.31查看網(wǎng)絡(luò)狀態(tài),發(fā)現(xiàn)1433訪問量非常大!1433不是sqlserver的默認(rèn)端口嘛?說明有人在連接我的數(shù)據(jù)庫(機(jī)子上裝有slqserver2000用來臨時(shí)測(cè)試用)，同時(shí)還發(fā)現(xiàn)ftp.exe進(jìn)程在訪問一個(gè)遠(yuǎn)程計(jì)算機(jī)的端口，不知道在下載什么！估計(jì)不是什么好東西!看來偶的機(jī)子是被人監(jiān)控了！怎么辦？關(guān)掉ftp.exe和cmd.exe兩個(gè)進(jìn)程后！沒多久就又自動(dòng)被打開了！但我發(fā)現(xiàn)被打開的時(shí)間沒有規(guī)律！有時(shí)很快就被打開調(diào)用，有時(shí)則很長(zhǎng)時(shí)間才又會(huì)出現(xiàn)！看來是被別人手動(dòng)的執(zhí)行的呢！仔細(xì)想了下！看來問題是出在sqlserver 上了，到網(wǎng)上查了下相關(guān)資料，最后注意到這個(gè)存儲(chǔ)過程上xp_cmdshell，網(wǎng)上資料解釋說： 

xp_cmdshell 操作系統(tǒng)命令外殼 。這個(gè)過程是一個(gè)擴(kuò)展存儲(chǔ)過程，用于執(zhí)行指定命令串，并作為文本行返回任何輸出。

一般情況下，xp_cmdshell對(duì)管理員來說也是不必要的，xp_cmdshell的消除不會(huì)對(duì)Server造成 
  任何影響。 
   可以將xp_cmdshell消除： 
   Use Master 
   Exec sp_dropextendedproc N'xp_cmdshell' 
   Go 

   如果需要的話，可以把xp_cmdshell恢復(fù)回來： 
   Use Master 
   Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll' 
   Go 

  [經(jīng)驗(yàn)] 
   最好把Server的xp_cmdShell存貯過程消除。

于是便將其關(guān)閉掉！呵呵。。。。再用木馬殺客查看網(wǎng)絡(luò)狀態(tài)！哈。。1433端口也比較正常了，而且ftp.exe和cmd.exe也再?zèng)]有出現(xiàn)過了！看來問題確實(shí)出在安全設(shè)置上?。“堰@次經(jīng)歷貼出來，希望碰到同樣問題的朋友能有個(gè)參考了!

最新評(píng)論