nbupd64.exe是什么东东？ bbs.ikaka.com

lynnql - 2005-9-19 22:20:00

今天一开机发现防火墙提示nbupd64不停连接网络，而且机器特慢，打开任务管理器发现CPU占用率100，就是nbupd64占用，打开系统信息查看路径，位于SYSTME32下，然后关机重启，进安全模式，发现诺顿启动后无法扫描了提示什么模块错误，也无法卸载，自己就手动删除nbupd64。exe，打开注册表删除有关项，再重启，发现任务管理器里nbupd64依然存在，用防火墙禁止nbupd64，cpu占用率正常，然后用防火墙禁nbupd64访问网络，机器运行倒是正常了，但任务管理器里那个进程依然存在，怎么会删除不掉？望达人指点。
OS 2K&2K SVR

curie-hu - 2005-9-19 22:23:00

是病毒

lynnql - 2005-9-19 22:25:00

晕啊，我也知道是病毒啊，问题是怎么解决。

baohe - 2005-9-19 22:26:00

【回复“lynnql”的帖子】
请将 nbupd64.exe打包，发到我的邮箱：baohelin@yahoo.com.cn

lynnql - 2005-9-19 22:29:00

谢谢斑竹，
那个程序我在网上用baidu，google，rising，symantec，trendmicro的站点都搜不到，奇怪啊！！
明天上班发给你，现在家里

天天泡泡 - 2005-9-19 22:34:00

有这么个命名：rootkit.e-worm-sdbot.cfz

baohe - 2005-9-19 23:27:00

引用:

【天天泡泡的贴子】有这么个命名：rootkit.e-worm-sdbot.cfz
...........................

带ROOTKIT的蠕虫+BOT? 新!! 等明天看看楼主这个样本.

lynnql - 2005-9-20 10:52:00

可惜看不到样本了，今天过来那个同事已经自己format了

K老皮 - 2005-9-20 10:54:00

应该是病毒吧

baohe - 2005-9-20 14:07:00

引用:

【lynnql的贴子】可惜看不到样本了，今天过来那个同事已经自己format了
...........................

nbupd64.exe感染记录

1、进程列表中出现nbupd64.exe

2、在%system%下创建病毒文件nbupd64.exe

3、更改注册表：
在下列分支下添加病毒启动加载项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

添加的病毒键值为：
"Windows Update 64"="nbupd64.exe"

查杀：

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
4、运行WINDOWS UPDATE，去微软打补丁。

花落花又开 - 2005-9-20 14:10:00

【回复“baohe”的帖子】这个病毒好象没有rootkit的特征吧.

baohe - 2005-9-20 14:14:00

引用:

【花落花又开的贴子】【回复“baohe”的帖子】这个病毒好象没有rootkit的特征吧.
...........................

没有

瑞星卡卡安全论坛