newcenturymoon - 2007-4-3 11:11:00
昨天晚上到今天陆续接到关于Dropper.Agent.nbl的求助,从日志里基本看不出什么问题
于是,通过私人渠道,我与瑞星工程师取得了联系,他给出的建议如下,各位中招的朋友可以试一下
安全模式下
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
%systemroot%\system32\webpnt.exe
%systemroot%是环境变量
代表你系统目录
如果你的系统装在C: 则对应为C:\Windows 依次类推
2000系统为Winnt目录
如果有效请跟贴回复 谢谢
lilyruby - 2007-4-3 11:43:00
没有找到这个文件= =
baohe - 2007-4-3 12:06:00
| 引用: |
【newcenturymoon的贴子】昨天晚上到今天陆续接到关于Dropper.Agent.nbl的求助,从日志里基本看不出什么问题
于是,通过私人渠道,我与瑞星工程师取得了联系,他给出的建议如下,各位中招的朋友可以试一下
安全模式下
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
%systemroot%\system32\webpnt.exe
%systemroot%是环境变量
代表你系统目录
如果你的系统装在C: 则对应为C:\Windows 依次类推
2000系统为Winnt目录
如果有效请跟贴回复 谢谢
……………… |
1、此马直接释放的文件有:
c:\WINDOWS\system32\webpnt.exe
c:\WINDOWS\system32\webprint.exe
2、添加的注册表服务项为:
WebPrint
SRENG日志中见到的是:
[WebPrint / WebPrint][Stopped/Manual Start]
<2 - 系统找不到指定的文件。
3、c:\WINDOWS\system32\webpnt.exe运行后开启IE,修改IE内存,访问http://www.haveip.com/index.htm。
此后,SSM报告:IE通过命令行"C:\Program Files\Rising\KakaToolBar\Rsaupd.exe" AutoUpdate运行Rsaupd.exe并修改Rsaupd.exe内存。允许后,webpnt.exe通过IE假冒“卡卡助手”升级访问网络,下载木马。
实际下载的内容是http://sf.sf325.com:80/kyo/qq.exe(被我的IDM搞到了我的download文件夹而未自动运行),而非真正升级卡卡助手。
用IceSword可以轻易搞掂这只木马下载器。
newcenturymoon - 2007-4-3 12:21:00
谢谢猫叔了 转到我的博客里去咯
Mandrake - 2007-4-3 12:35:00
好像19.17.10可以清除这个东东了。
虾米8开心 - 2007-4-3 13:09:00
很郁闷
用瑞星杀不掉
反查对方IP估计是格代理的
211.214.50.55
请各位有能力的朋友帮忙搞下哈
我来问个问题 - 2007-4-3 18:52:00
我也中了此病毒,昨天晚上来来回回杀了好多遍(中途多次重启电脑),每次都杀死了,可一开ie它又复活了。
后来烦了,上床睡觉了。今天再查毒,居然查不出来了,难道这个木马放放它就自己死了?太匪夷所思了吧,请斑竹解我疑惑。
我来问个问题 - 2007-4-3 18:54:00
我现在qq不敢开,油箱不敢进,在线等各位大侠解我疑惑……
carolliu - 2007-4-4 16:58:00
不行的,没有LZ说的那个文件和那个服务。注册表里也找不到webprint
gigi2389 - 2007-4-6 12:38:00
1 2楼两位大哥说的都找不到啊。
今天早上木马还运行呢
可不知道为什么现在瑞星不报警了
难道木马还定时自动销毁的说???
求教了!各位大神!
天月来了 - 2007-4-6 13:29:00
再等吧!!!
这玩意真狠,一般的已难看到了。
SRENG日志都几乎没影子,这可怎好?总不能都上SSM吧?
到这求助的大多啥都不会,临时上SSM,还不折腾死?
猫叔帮看,怎么好?
gigi2389 - 2007-4-6 19:17:00
SRENG日志没影子
安全模式下找不到
到底如何弄啊??
© 2000 - 2026 Rising Corp. Ltd.