12   1  /  2  页   跳转

【原创】关于Dropper.Agent.nbl

收藏
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-03 11:11 | 只看楼主 短消息 资料
字号: 1楼

【原创】关于Dropper.Agent.nbl

昨天晚上到今天陆续接到关于Dropper.Agent.nbl的求助,从日志里基本看不出什么问题
于是,通过私人渠道,我与瑞星工程师取得了联系,他给出的建议如下,各位中招的朋友可以试一下
安全模式下
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
%systemroot%\system32\webpnt.exe

%systemroot%是环境变量
代表你系统目录
如果你的系统装在C: 则对应为C:\Windows 依次类推
2000系统为Winnt目录
如果有效请跟贴回复 谢谢
最后编辑2007-04-24 05:41:06
分享到:
gototop
 
lilyruby
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-03
  • 来自:
发表于: 2007-04-03 11:43 | 短消息 资料
字号: 2楼

没有找到这个文件= =
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-03 12:06 | 短消息 资料
字号: 3楼

引用:
【newcenturymoon的贴子】昨天晚上到今天陆续接到关于Dropper.Agent.nbl的求助,从日志里基本看不出什么问题
于是,通过私人渠道,我与瑞星工程师取得了联系,他给出的建议如下,各位中招的朋友可以试一下
安全模式下
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除
%systemroot%\system32\webpnt.exe

%systemroot%是环境变量
代表你系统目录
如果你的系统装在C: 则对应为C:\Windows 依次类推
2000系统为Winnt目录
如果有效请跟贴回复 谢谢

………………

1、此马直接释放的文件有:
c:\WINDOWS\system32\webpnt.exe
c:\WINDOWS\system32\webprint.exe

2、添加的注册表服务项为:
WebPrint

SRENG日志中见到的是:
[WebPrint / WebPrint][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。

3、c:\WINDOWS\system32\webpnt.exe运行后开启IE,修改IE内存,访问http://www.haveip.com/index.htm。
此后,SSM报告:IE通过命令行"C:\Program Files\Rising\KakaToolBar\Rsaupd.exe" AutoUpdate运行Rsaupd.exe并修改Rsaupd.exe内存。允许后,webpnt.exe通过IE假冒“卡卡助手”升级访问网络,下载木马。
实际下载的内容是http://sf.sf325.com:80/kyo/qq.exe(被我的IDM搞到了我的download文件夹而未自动运行),而非真正升级卡卡助手。


用IceSword可以轻易搞掂这只木马下载器。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-03 12:21 | 只看楼主 短消息 资料
字号: 4楼

谢谢猫叔了 转到我的博客里去咯
gototop
 
Mandrake
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2002-11-03
  • 来自:
发表于: 2007-04-03 12:35 | 短消息 资料
字号: 5楼

好像19.17.10可以清除这个东东了。
gototop
 
时光浅浅
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2007-04-01
  • 来自:
发表于: 2007-04-03 12:36 | 短消息 资料
字号: 6楼

虽然不懂,来顶顶~~~
gototop
 
虾米8开心
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-04-03
  • 来自:
发表于: 2007-04-03 13:09 | 短消息 资料
字号: 7楼

很郁闷
用瑞星杀不掉
反查对方IP估计是格代理的
211.214.50.55
请各位有能力的朋友帮忙搞下哈
gototop
 
我来问个问题
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-03
  • 来自:
发表于: 2007-04-03 18:52 | 短消息 资料
字号: 8楼

我也中了此病毒,昨天晚上来来回回杀了好多遍(中途多次重启电脑),每次都杀死了,可一开ie它又复活了。
后来烦了,上床睡觉了。今天再查毒,居然查不出来了,难道这个木马放放它就自己死了?太匪夷所思了吧,请斑竹解我疑惑。
gototop
 
我来问个问题
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-04-03
  • 来自:
发表于: 2007-04-03 18:54 | 短消息 资料
字号: 9楼

我现在qq不敢开,油箱不敢进,在线等各位大侠解我疑惑……
gototop
 
carolliu
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-04-04
  • 来自:
发表于: 2007-04-04 16:58 | 短消息 资料
字号: 10楼

不行的,没有LZ说的那个文件和那个服务。注册表里也找不到webprint
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT