尹素婉视频卓不凡:sqldbug.exe是不是木马？

它是木马的.在网上一搜就知道啦.我没遇到过这种木马,刚才找到个杀它的经验之谈.你可以参考下.
中此木马后上网每隔一段时间就弹出两个对话框。一是Symantec AntiVirus弹出发现系统受到“79**.dll”威胁并删除成功；二是“b.exe”程序运行时遇到错误要被中止。这时不要关闭这两个对话框，按照以下的步骤操作： 一、立即断开网络，用笔记下以上两个对话框中提到的文件名称。
二、打开“任务管理器”，查看进程列表，发现多出了A.exe、b.exe、svchost.exe这三个进程，笔者在上文提到在出现病毒提示时不要关闭那两个对话框，是因为如果关闭对话框再查看进程就不会出现A.exe这个进程。这时也不要急于结束以上的三个进程，因为对于这个小写的svchost.exe进程还不是很确定，用笔记下来就可以了，这时也可以关闭上文提到的两个对话框了。 三、打开“搜索”对话框，分别输入以上三个进程名，选择搜索对话框中的“高级选项”中的“搜索隐藏文件和文件夹”及“搜索系统文件”和“搜索子文件夹”这三项后进行搜索。发现svchost.exe文件存在于“c:\windows\”、“c:\program files\sfx software\”、“c:\windows\srchasst|”这三个目录下的就是木马文件了，而在“c:\windows\system32\”下的svchost.exe文件就是系统自行的程序，这可以通过查看文件属性中的建立时间来进一步确定。a.exe和b.exe这两个程序在“C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files”和“E:\Temp\”（如果你的系统没有把临时文件夹移到E盘就是“C:\windows\Temp”）这两个文件夹中。把所有的文件夹地址都记下，此时你可以中止上述三个进程，也可以直接进入安全模式。
四、重新启动系统进入安全模式。删除“c:\windows”下的svchost.exe文件，删除“c:\program files\sfx software”文件夹，删除“c:\windows\srchasst”文件夹。
五、进入“e:\temp”目录，发现除了b.exe文件外还有一个mms.exe和css.exe的文件，这两个程序也很可疑，记下来后清空此临时文件夹。然后进入“C:\Documents and Settings\你所登录时的用户名\Local Settings\Temporary Internet Files”目录，发现除了有a.exe、b.exe文件外还有一个css1.exe文件，同时发现a.exe、b.exe文件后的路径竟然是一个IP地址，具体如下：a.exe 58.215.76.197/a.exeb.exe 58.215.65.211/b.execss1.exe 222.240.184.59/css1.exe把IP地址记下来，查看css1.exe的属性发现这个程序就是产生“sfx software”文件夹和svchost.exe文件的原凶，记下来后清空此文件夹。
六、打开“运行”对话框，输入“msconfig”，在“启动”项中清除有关上述程序的自动启动项。
七、在“运行”对话框中输入“regedit”进入注册有编辑器，查找上述进程在注册表中的所有项并删除。svchost.exe在“HKLM\software\microsoft\windows\currentversion\run”和“HKLM\software\microsoft\shared Tools\msconfig\”下。同时查找出search assistant在注册表中的所有项并删除。
八、做完以上的各项后，笔者还是有点不放心，用HijackThis进行系统扫描后，在扫描日志中又发现一个“KB759762.LOG”和“c:\windows\system32\Navlogin.dll”的可疑文件，重新进入注册表中查找上述两个文件并全部删除相对项后删除文件夹中的相应文件。如果不肯定可查找出来后查看属性后决定。
九、进入防火墙中设置相应的IP规则，拦截从上述三个IP地址对本机的所有访问。同时在防火墙中关闭TCP协义的135、139、1025和UDP协义的137、138端口。
十、在“运行”对话框中输入“gpedit.msc”，进入组策略，依次打开“软件限制策略－其它规则－右击新建新路径规则”，在“路径”中填入上述所有可疑的程序的绝对路径加程序名，安全级别选择“不允许的”。这样就算以后又中了与此相同的木马，由于软件限制策略这些软件不能运行!