系统会在c:windowssystem32下自动生成isql文件夹，不知是什么病毒

这个是有一个木马造成的。

你看一下，c:/windows/system32下是否有多个64K的xml文件，还有一个隐藏的wsynalibexe，服务里还会有一个叫Windows System Active的。

处理方法，是先删除wsynalibexe和多个64k的xml文件，再删c:\windows\system32下isql文件夹，之后修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor下AutoRun 的选项为空，然后再删掉服务Windows System Active。

以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法：

一、Web Server（以Nginx为例）

1、为防止跨站感染，将虚拟主机目录隔离（可以直接利用fpm建立多个程序池达到隔离效果）

2、上传目录、include类的库文件目录要禁止代码执行（Nginx正则过滤）

3、path_info漏洞修正：

在nginx配置文件中增加：

if ($request_filename ~ ()\php) {

set $php_url $1;

　 }

if (!-e $php_urlphp) {

return 404;

}

4、重新编译Web Server，隐藏Server信息

5、打开相关级别的日志，追踪可疑请求，请求者IP等相关信息。

二改变目录和文件属性，禁止写入

find -type f -name \php -exec chmod 444 {} \;

find -type d -exec chmod 555 {} \;

注：当然要排除上传目录、缓存目录等；

同时最好禁止chmod函数，攻击者可通过chmod来修改文件只读属性再修改文件！

三PHP配置

修改phpini配置文件，禁用危险函数：

disable_funcions = dl,eval,exec,passthru,system,popen,shell_exec,proc_open,proc_terminate,curl_exec,curl_multi_exec,show_source,touch,escapeshellcmd,escapeshellarg

四MySQL数据库账号安全：

禁止mysql用户外部链接，程序不要使用root账号，最好单独建立一个有限权限的账号专门用于Web程序。

五查杀木马、后门

grep -r –include=php ‘[^a-z]eval($_POST’ > greptxt

grep -r –include=php ‘file_put_contents($_POST\[\]);’ > greptxt

把搜索结果写入文件，下载下来慢慢分析，其他特征木马、后门类似。有必要的话可对全站所有文件来一次特征查找，上传肯定有也捆绑的，来次大清洗。

查找近2天被修改过的文件：

find -mtime -2 -type f -name \php

注意：攻击者可能会通过touch函数来修改文件时间属性来避过这种查找，所以touch必须禁止

六及时给Linux系统和Web程序打补丁，堵上漏洞

1、通过mysql的-V参数查询版本信息

mysql -V

2、登录mysql时可以查询版本信息

mysql -u用户名 -p用户密码

3、数据库状态查询版本信息

status;

4、通过mysql数据库函数查询版本信息

select version();

5、通过version环境变量查询版本信息

php 不会。

mysql 里面， 查询 表的信息， 我倒是会的。

是从 information_schematables 这里查询的。

下面是一个例子：

mysql> SELECT table_name, table_type, engine

-> FROM information_schematables

-> WHERE table_schema = 'test'

-> ORDER BY table_name DESC;

-> //

+--------------------+------------+--------+

| table_name | table_type | engine |

+--------------------+------------+--------+

| v_sale_report_x | VIEW | NULL |

| v_sale_report | VIEW | NULL |

| union_tab_2 | BASE TABLE | InnoDB |

| union_tab_1 | BASE TABLE | InnoDB |

| test_trigger_table | BASE TABLE | InnoDB |

| test_tab2 | BASE TABLE | InnoDB |

| test_tab | BASE TABLE | InnoDB |

| test_main | BASE TABLE | InnoDB |

| test_dysql | BASE TABLE | InnoDB |

| test_create_tab4 | BASE TABLE | InnoDB |

| test_create_tab2 | BASE TABLE | InnoDB |

| test_create_tab1 | BASE TABLE | InnoDB |

| test_create_tab | BASE TABLE | InnoDB |

| sale_report | BASE TABLE | InnoDB |

| log_table | BASE TABLE | InnoDB |

+--------------------+------------+--------+

15 rows in set (002 sec)

基本系统进程

基本系统进程是系统运行的必备条件，它们保证了系统正常的运行，一般是不能关掉的。

SMSSEXE

会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的线程和设定的系统变量作出反映。

可否关掉：否

SERVICEEXE

包含Alerter、Event Log、Plug and Play等系统服务

可否关掉：否

SVCHOSTEXE

可看到多个SVCHOSTEXE进程，它们加载多个系统服务。

可否关掉：否

CSRSSEXE

这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

可否关掉：否

WINLOGONEXE

管理用户登录和退出的。

可否关掉：否

LSASSEXE

用来存储本地用户账户的安全信息，并且管理网域登录，支持网络计算机pass-through 账户登录身份验证事件。

可否关掉：否

EXPLOREREXE

资源管理器，包括任务条，桌面等等。

可否关掉：可

taskmagrexe

这个进程就是任务管理器。

可否关掉：可

System Idle Process

这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

可否关掉：否

internatexe

加载EN图标进入系统的图标区。

可否关掉：可

金山软件百科-装机必备软件下载

附加系统进程

附加系统进程有些是不必要了，我们可以根据情况，通过“服务管理器”（“控制面板→管理工具服务”）来启动与停止。

进程名称 对应服务 对应服务说明 服务 *** 作建议

Clipsrvexe ClipBook 剪贴簿。启用“剪贴簿查看器”储存信息并实现与远程计算机共享。 停止

Netddeexe Network DDE 网络动态数据交换服务。为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全。如无需ClipBook服务，停止

Network DDE DSDM 网络动态数据交换网络共享服务。管理动态数据交换(DDE)网络共享。如无需Network DDE服务，停止

Dllhostexe COM+ System Application 和COM+系统应用服务。管理基于COM+组件的配置和跟踪。启动

MS Software Shadow Copy Provider 管理磁盘区卷复制服务。如果该服务被停止，软件卷影复制将无法管理，任何依赖它的服务将无法启动，如MS Backup。启动

Msdtcexe Distributed Transaction Coordinator 分布式交易协调器。协调跨多个数据库、消息队列、文件系统等资源管理器的事务。停止

Cisvcexe Indexing Service 索引服务。本地和远程计算机上文件的索引内容和属性，通过灵活查询语言提供文件快速访问。 停止

Dmadminexe Logical Disk Manager Administrative Service 逻辑磁盘管理员系统管理服务。配置硬盘驱动器和卷。此服务只为配置处理运行，然后终止,根据具体情况，设置为手动

Spoolsvexe Print Spooler 打印后台处理服务。将文件加载到内存中，待打印机空闲后，再将数据送往打印机处理。 如果没有打印机，可停止

Vssvcexe Volume Shadow Copy 上传管理服务。管理并执行用于备份和其他目的的卷影复制。 停止

Msiexecexe Windows Installer Windows安装服务。根据包含在MSI文件中的指示来安装、修复或删除软件。 视具体情况而定

Imapiexe IMAPI CD-Burning COM Service IMAPI CD刻录服务。用Image Mastering Applications Programming Interface(IMAPI)管理CD刻录。如果停止该服务，这台计算机将无法录制CD。 停止

Smlogsvcexe Performance Logs and Alerts 效能记录日志及警示服务。收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。 停止

Scardsvrexe Smart Card 智能卡服务。管理此计算机对智能卡的取读访问。 停止

Smart Card Helper 智能卡协助服务。启用对此计算机使用的旧式非即插即用智能卡读取器的支持。 停止

Upsexe Uninterruptible Power Supply UPS电源管理服务。管理连接到计算机的不间断电源(UPS)。 停止

Wmiapsrvexe WMI Performance Adapter WMI性能适配器服务。从WMI HiPerf提供程序性能库信息。 停止

Algexe Application Layer Gateway Service 应用层网关。为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。 如不使用因特网联机防火墙，停止。

Mnmsrvcexe NetMeeting Remote Desktop Sharing NetMeeting 远程桌面共享。允许经过授权的用户使用NetMeeting在公司Intranet 上远程访问这台计算机。 如无需远程桌面共享，停止

Rsvpexe QoS RSVP QoS许可控制服务。为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 如网卡不支持8021P或网络中没有ACS server，停止。

Sessmgrexe Remote Desktop Help Session Manager 远程桌面协助服务。管理并控制远程协助。 如不使用远程协助，停止

Locatorexe Remote Procedure Call(RPC)Locator 远程过程调用定位服务。管理RPC名称服务数据库。 停止

Tlntsvrexe Telnet 远程登录服务。允许远程用户登录到此计算机并运行程序，并支持多种TCP/IP Telnet客户。 停止

常见病毒、木马进程

进程名称 对应病毒、木马名称

dvldr32exe 口令病毒

winrpcsrv exe

winrpcexe 恶邮差病毒

wingateexe 恶邮差病毒

syshelpexe 恶邮差病毒

rpcsrvexe 恶邮差病毒

iexploreexe 恶邮差病毒

winVNCexe 恶邮差病毒

winmgm32exe 巨无霸病毒

rundllexe SCKISS爱情森林

sysedit32exe SCKISS爱情森林

winupdateexe SCKISS爱情森林

winverexe SCKISS爱情森林

taskbarexe 密码病毒Frethem

setupexe 密码病毒Frethem

RunOuceexe 中国黑客病毒

WQKEXE 求职信病毒

Krn132exe 求职信病毒

Winkexe 求职信病毒

Winl0g0nexe 笑哈哈病毒

APLICA32EXE 将死者病毒

AVCONSOLEXE 将死者病毒

AVPEXE 将死者病毒

AVP32EXE 将死者病毒

AVPCCEXE 将死者病毒

AVPMEXE 将死者病毒

CFIADMINEXE 将死者病毒

CFIAUDITEXE 将死者病毒

CFINET32EXE 将死者病毒

ESAFEEXE 将死者病毒

FRWEXE 将死者病毒

FEWEBEXE 将死者病毒

ICLOAD95EXE 将死者病毒

ICLOADNTEXE 将死者病毒

ICMONEXE 将死者病毒

ICSUPP95EXE 将死者病毒

ICSUPPNTEXE 将死者病毒

LOCKDOWN2000EXE 将死者病毒

PCFWallIconEXE 将死者病毒

PW32EXE 将死者病毒

TDS2-98EXE 将死者病毒

TDS2-NTEXE 将死者病毒

VP32EXE 将死者病毒

VPCCEXE 将死者病毒

VPMEXE 将死者病毒

VSECOMREXE 将死者病毒

VSHWIN32EXE 将死者病毒

VSSTATEXE 将死者病毒

VW32EXE 将死者病毒

ZONEALARMEXE 将死者病毒

kernel32exe 坏透了病毒

xxtmpexe 尼姆达病毒

MMCEXE 尼姆达病毒

TFTPEXE 尼姆达病毒

Loadexe 尼姆达病毒

Svchostexe（105左右个线程） 蓝色代码

flcssexe FunLove病毒

Rundll32exe 狩猎者病毒

msblastexe 冲击波病毒

avserveexe 震荡波病毒

bbeagleexe 恶鹰蠕虫病毒

taskmonexe 诺维格蠕虫病毒

scvhostexe 安哥病毒

spfwexe 瑞波变种PX

regscanexe 波特后门变种ADV

Kernel32exe 冰河

sysexplrexe 冰河

DIAGCFGEXE 广外女生

netspyexe Netspy网络精灵

windowsexe 黑洞2001

msgsvcexe 火凤凰

Aboutagirlexe 初恋情人

internetexe 网络神偷

checkdllexe 网络公牛

MBBManagerexe 聪明基因

Taskmon32 传奇黑眼睛

Intel 传奇叛逆

scanrew 传奇终结者

Microsoft 传奇密码使者

winsys 传奇猎手

internet 传奇幽灵

kiss 传奇天使

msstartexe Backdoorlivup

expiorerexe Acid Battery

MSGSVR16EXE Acid Shiver

zcn32exe Ambush

commandexe AOL Trojan

wscanexe AttackFTP

Cmctl32exe Back Construction

notpaexe BackDoor

absrexe BackdoorAutoupder

exe BF Evolution

libupdateexe BioNet

mprdllexe Bla

somethingexe BladeRunner

Dllclientexe Bobo

BRAINSPY exe BrainSpy vBeta

msabel32exe Cain and Abel

msie5exe Canasson

winprotexe Chupachbra

msgsrv36exe Coma

MSchvexe Control

winfunctionsexe Dark Shadow

system32exe DeepThroat 10

systrayexe DeepThroat 20-31

TEMPSERVERexe Delta Source

dkbdllexe Der Spaeher

MSteskexe Doly 11-15

mdmexe Doly 16-17

Serverexe Revenger

sysruntexe Ripper

sysprotexe Satans Back Door

Userexe Schwindler

WinZipexe ShadowPhyre

recycle-binexe ShitHeap

systemexe ShitHeap

temp$01exe Snid

winservexe Softwarst

netipexe Spirit 2000 Beta

windownexe Spirit 2000 12

server 12exe Spirit 2000 12fixed

winprotecteexe Stealth

ODBCEXE Telecommando

TEMPINETB00STEXE The Unexplained

thingexe Thing

serviceexe Trinoo

Syswindowexe Trojan Cow

_exe TryIt

Socketsexe Vampire

serverexe WarTrojan

sysexplorexe wCrat

task_barexe WebEx

serverexe WinCrash

setupexe Xanadu

PCXexe Xplorer

winmsg32exe Xtcp

Kernel16exe Transmission Scount

serverexe YAT

常用软件进程

进程名称 对应软件程序

accwizexe 辅助功能向导

agentsvrexe OLE Automation Server是Microsoft Agent的一部分

alogservexe

avconsolexe

avsynmgrexe McAfee VirusScan是一个反病毒软件

backWebexe 一个广告插件

bcbexe Borland C++ Builder

calcexe Windows计算器程序

ccappexe Symantec公用应用客户端，包含Norton AntiVirus和Personal Firewall

charmapexe Windows字符映射表，帮助你寻找不常见的字符

cidaemonexe Windows索引服务，帮助你搜索文件在下次变得更快

cisvcexe 监视cidaemonexe的内存占用情况，如果超过40M，则自动重启该进程

cleanmgrexe Windows磁盘清理程序

cliconfigexe SQL Server客户端网络实用工具

clipbrdexe 剪贴薄查看器

cmdexe Windows命令控制台程序

cmesysexe Gator GAIN广告插件

confexe NetMeeting

controlexe Windows控制面板程序

comimeexe

ctfmonexe 控制Microsoft Office语言条

ddeshareexe DDE共享程序

dialerexe 电话拨号程序

dreamweaverexe Macromedia DreamWeaver

drwtsn32exe 华生医生（DrWatson）

dxdiagexe DirectX诊断工具

em_execexe Logitech MouseWare状态栏图标的进程

excelexe Microsoft Excel电子表格程序

eudceditexe True Type造字程序

freecellexe 空当接龙游戏

frontpageexe Microsoft FrontPage

fsquirtexe 蓝牙文件传送向导

fxscoverexe 传真首页编辑器

gmtexe Gator Spyware广告插件

iexploreexe Microsoft Internet Explorer网络浏览器

inetwizexe Internet连接向导

hhexe Windows Help程序

loadqmexe 随着MSN Explorer和MSN Messenger安装的MSN Queue Manager Loader

loadwcexe Load WebCheck，用以定制一些Internet Explorer的设定

madexe System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件，写log信息和生成离线地址薄。

magnifyexe Windows放大镜

migwizexe

migwiz_aexe 文件和设置转移向导

mmcexe Microsoft 控制台管理程序，包括多个系统工具

mobsyncexe Internet Explorer的一个组成部分，用以在后台同步离线察看页面

moviemkexe Windows Movie Maker

msaccessexe Microsoft Access数据库软件

msconfigexe 系统配置应用程序

msdtcexe MS DTC管理程序

mshearttsexe 网上红心大战游戏

mshtaexe 用户帐户管理程序

msiexecexe Windows Installer的一部分

msimnexe Microsoft Outlook Express

msmsgsexe MSN Messenger聊天软件

msoobeexe Windows XP License的Product Activation产品激活程序

mspaintexe Microsoft Paint画图程序

mysqld-ntexe MySQL Daemon控制访问MySQL数据库

narratorexe Microsoft讲述人程序，可阅读菜单、对话框等

navapsvcexe

navapw32exe Norton AntiVirus防火墙

netscapeexe Netscape网络浏览器

netsetupexe 网络安装向导

notepadexe Windows记事本程序

ntbackupexe Windows备份工具用于备份文件和文件夹

ntvdmexe Windows Virtual Machine是为了兼容旧的16位Windows和DOS程序而设置的虚拟机

nwizexe NVIDIA nView控制面板

odbcad32exe ODBC数据源

osaexe Microsoft Office启动助手

oskexe Windows屏幕键盘

outlookexe Microsoft Outlook

packagerexe 对象包装程序

pinballexe d球游戏

point32exe Microsoft Intellimouse Monitor添加一个鼠标设定图标在工具栏

powerpntexe Microsoft PowerPoint

pstoresexe Microsoft Protected Storage服务控制保密的内容密码

qttaskexe Quick Time任务栏图标

realplayexe RealPlayer媒体播放器

regeditexe 注册表编辑器

rstruiexe 系统还原程序

rundll32exe Windows Rundll32为了需要调用DLLs的程序

sigverifexe 文件签名验证程序

sndrec32exe Windows录音机

sndvol32exe Windows声音控制进程

spoolsexe Windows打印机控制子程序

syseditexe 系统配置编辑器

tapisrvexe Windows Telephony (TAPI) 的后台服务程序

userinitexe UserInit程序运行登陆脚本，建立网络连接和启动Shell壳

vsmonexe True Vector Internet Monitor是ZoneAlarm个人防火墙的一部分

wabexe 在Outlook中的通讯录

wiaacmgrexe 扫描仪和照相机向导

winchatexe Windows聊天工具

winhlp32exe Windows帮助文件察看程序，用来打开帮助文档

winprojexe Microsoft Project是一个项目计划编制程序

winrouteexe WinRoute是一个基于Windows的防火墙/路由/连接共享软件

winwordexe Microsoft Word文字处理程序

wkcalremexe Microsoft Works Calendar Reminders工作日程提醒

wkqkpickexe WinZip的状态栏图标

wmplayerexe Windows Media Player媒体播放器

wordpadexe Windows写字板程序

wowexecexe Windows On Windows Execution Support Process，和ntvdmexe作用类似，为了兼容16位应用程序

ypagerexe Yahoo Messenger的状态栏图标

realplayexe 多媒体播放软件RealOne Player

HprSnap5exe 我的截图软件，

Winampexe 我的MP3播放软件winamp，你也喜欢用它吧

svchostexe 包含很多系统服务，系统的基本进程

Flashgetexe 我的下载软件-网际快车

MsPMSPSvexe WMDM PMSP Service 在我电脑里位置是：D:\WINDOWS\system32

taskmgrexe 这个就是系统的任务管理器，按下“Ctrl+Alt+Del”实际上就是运行这个程序

mixerexe 我的8738声卡调音量、声道等的程序

MyIEexe 我的浏览器。比IE好用啊

explorerexe 资源管理器

spoolsvexe 缓冲（spooler）服务是管理缓冲池中的打印和传真作业

svchostexe 包含很多系统服务，居然有4个这种进程

lsassexe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

servicesexe 包含很多系统服务

winlogonexe 这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框

csrssexe 子系统服务器进程（看到有CS让我想到反恐精英，手痒痒了）

smssexe Session Manager 什么管理

QQexe 玩电脑的都用的东东。

system 系统

System Idle Process 这个进程是不可以从任务管理器中关掉的。 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

很可能是你的root 密码泄漏或者没设造成的：

1 先删掉这个用户：

mysql> DELETE FROM mysqluser

-> WHERE User='user_name' and Host='host_name';

mysql> FLUSH PRIVILEGES;

2 修改root 的密码。

设置密码：

$ mysqladmin -u root password NEWPASSWORD

修改密码：

$ mysqladmin -u root -p'oldpassword' password newpass

3 安装杀毒软件/防火墙，设定规则； 清除木马/病毒，防止再次泄漏用户账户密码。

主要的作用主要确定该数据的唯一性。比如说id=1,name=张三。我们要在数据库中，找到这条数据可以使用select

from

表

where

id=1

这样就可以把张三查找出来了。而这个张三，也可以出现同名，所有用id来做主键。

而你说的insert

into

是插入 *** 作。当id设置为了主键，再插入一个相同的主键值，就为报错误，并不会更新，你想要个更新就必须执行update。

以上就是关于系统会在c:\windows\system32下自动生成isql文件夹，不知是什么病毒全部的内容，包括:系统会在c:\windows\system32下自动生成isql文件夹，不知是什么病毒、linux服务器中木马怎么处理、如何查看mysql版本等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！