金山和诺顿总是反复提示：发现病毒，已删除病毒。该如何处理。

sdsczfm

自从安装了SQL数据库、安装了会计电算化用友通软件。金山和诺顿总是反复提示：发现病毒，已删除病毒

进程:C:\Windows\SysWOW64\cmd.exe
子进程:C:\Windows\SysWOW64\i2595\B20.exe
进程参数:B20.exe  
病毒名称:Win32.Troj.Generic.a.(kcloud)
功能:进程监控
操作文件 MD5:ad7b9c14083b52bc532fba5948342b98


各位高手。我该如何处理呢。为什么说已删除。之后还提示呢。

强妈威武

这个位置...扫全盘，然后传sreng日志～

yyyyhh123

会不会是这个软件一直会释放这个东西  不排除是误报  如果隔离区有文件  上传上来看看

sdsczfm

强妈威武 发表于 2012-12-1 22:10
这个位置...扫全盘，然后传sreng日志～

用金山扫描全盘后，显示没有病毒。传sreng日志？我不明白是什么意思。还请高手说的具体些

yaoogle007

估计是冲突了。。。

vm001

明显是因为SQL数据库被1433端口入侵了，断网杀毒，修改SQL密码吧

【乱】

看文件名就知道是有问题的

打开毒霸进程管理器 按照创新时间排列看看什么可疑进程

sdsczfm

vm001 发表于 2012-12-2 04:21
明显是因为SQL数据库被1433端口入侵了，断网杀毒，修改SQL密码吧

对。正解。非常感谢。昨天就显示黑客远程登陆。端口1433。怎么修改SQL密码呢？还请高手继续指教。说下具体的操作步骤。

陈识宇

sql数据库，极易发生基于认证的入侵问题，如果方法不当，你就是重新分区、全格、换机器也无济于事
方案如下：
1.到安全模式下，用adnimistrator（管理员）账号登陆；
禁用其它不明或可疑账号；
所有管理员权限用户，设置复杂登机（不低于12位，数字、字母、符号混用）密码；设置复杂 sa账号密码（同前要求）
2.重置xindows防火墙，“还原到默认值”；
3.打全补丁（老生常谈）
4.如果是个人pc机（无共享任务的机器），关闭 server服务
5关闭可疑的计划任务
6.删除:C:\Windows\SysWOW64\i2595文件夹，就地建一个  i2595  空文件
——————————
ps：删除所有的 C:\Windows\SysWOW64\ iXXXX文件夹      注：X为任意数字

sdsczfm

陈识宇 发表于 2012-12-2 09:06
sql数据库，极易发生基于认证的入侵问题，如果方法不当，你就是重新分区、全格、换机器也无济于事
方案如下 ...

非常感谢热心的指导。