baohe - 2005-9-20 13:48:00
nbupd64.exe感染记录
1、进程列表中出现nbupd64.exe
2、在%system%下创建病毒文件nbupd64.exe
3、更改注册表:
在下列分支下添加病毒启动加载项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加的病毒键值为:
"Windows Update 64"="nbupd64.exe"
查杀:
1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
4、运行WINDOWS UPDATE,去微软打补丁。
——————————————
NetDDEsrv感染记录:
在%system%下创建:NetDDEsrv.exe
在注册表的下面两个分支
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
填加
NetDDEsrv
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
下添加:NetDDEsrv
查杀:
1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
花落花又开 - 2005-9-20 13:55:00
【回复“baohe”的帖子】真好,baohe版主都有样本。
可否转发给我个?
rsvirus@163.com谢谢。
baohe - 2005-9-20 13:59:00
| 引用: |
【花落花又开的贴子】【回复“baohe”的帖子】真好,baohe版主都有样本。
可否转发给我个?rsvirus@163.com谢谢。
........................... |
样本已经发送到:rsvirus@163.com
花落花又开 - 2005-9-20 14:07:00
| 引用: |
【baohe的贴子】
样本已经发送到:rsvirus@163.com
........................... |
汗,未收到.不知样本是否有加密?163的破邮箱老卡是老大!
baohe - 2005-9-20 14:12:00
| 引用: |
【花落花又开的贴子】
汗,未收到.不知样本是否有加密?163的破邮箱老卡是老大!
........................... |
又发了一个加密包
© 2000 - 2026 Rising Corp. Ltd.