nbupd64.exe是什么东东？

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 nbupd64.exe是什么东东？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	发表于： 2005-09-19 22:20 \| 只看楼主短消息资料字号：小中大 1楼 nbupd64.exe是什么东东？今天一开机发现防火墙提示nbupd64不停连接网络，而且机器特慢，打开任务管理器发现CPU占用率100，就是nbupd64占用，打开系统信息查看路径，位于SYSTME32下，然后关机重启，进安全模式，发现诺顿启动后无法扫描了提示什么模块错误，也无法卸载，自己就手动删除nbupd64。exe，打开注册表删除有关项，再重启，发现任务管理器里nbupd64依然存在，用防火墙禁止nbupd64，cpu占用率正常，然后用防火墙禁nbupd64访问网络，机器运行倒是正常了，但任务管理器里那个进程依然存在，怎么会删除不掉？望达人指点。 OS 2K&2K SVR 2005-09-20 14:14:19
lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	分享到：

curie-hu 瑞星客户俱乐部会员帖子:1633 注册: 2002-06-15 来自:北京	发表于： 2005-09-19 22:23 \| 短消息资料字号：小中大 2楼是病毒
curie-hu 瑞星客户俱乐部会员帖子:1633 注册: 2002-06-15 来自:北京

lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	发表于： 2005-09-19 22:25 \| 只看楼主短消息资料字号：小中大 3楼晕啊，我也知道是病毒啊，问题是怎么解决。
lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-19 22:26 \| 短消息资料字号：小中大 4楼【回复“lynnql”的帖子】请将 nbupd64.exe打包，发到我的邮箱：baohelin@yahoo.com.cn
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	发表于： 2005-09-19 22:29 \| 只看楼主短消息资料字号：小中大 5楼谢谢斑竹，那个程序我在网上用baidu，google，rising，symantec，trendmicro的站点都搜不到，奇怪啊！！明天上班发给你，现在家里
lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-09-19 22:34 \| 短消息资料字号：小中大 6楼有这么个命名：rootkit.e-worm-sdbot.cfz
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-09-19 23:27 | 短消息资料

字号：小中大 7楼

引用:

【天天泡泡的贴子】有这么个命名：rootkit.e-worm-sdbot.cfz
...........................

带ROOTKIT的蠕虫+BOT? 新!! 等明天看看楼主这个样本.

lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	发表于： 2005-09-20 10:52 \| 只看楼主短消息资料字号：小中大 8楼可惜看不到样本了，今天过来那个同事已经自己format了
lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:

K老皮初生襁褓狮帖子:727 注册: 2004-07-22 来自:	发表于： 2005-09-20 10:54 \| 短消息资料字号：小中大 9楼应该是病毒吧
K老皮初生襁褓狮帖子:727 注册: 2004-07-22 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-09-20 14:07 | 短消息资料

字号：小中大 10楼

引用:

【lynnql的贴子】可惜看不到样本了，今天过来那个同事已经自己format了
...........................

nbupd64.exe感染记录

1、进程列表中出现nbupd64.exe

2、在%system%下创建病毒文件nbupd64.exe

3、更改注册表：
在下列分支下添加病毒启动加载项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

添加的病毒键值为：
"Windows Update 64"="nbupd64.exe"

查杀：

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
4、运行WINDOWS UPDATE，去微软打补丁。

<<上一主题|下一主题>>

1 / 2 页

跳转页

lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	发表于： 2005-09-19 22:20 \| 只看楼主短消息资料字号：小中大 1楼 nbupd64.exe是什么东东？今天一开机发现防火墙提示nbupd64不停连接网络，而且机器特慢，打开任务管理器发现CPU占用率100，就是nbupd64占用，打开系统信息查看路径，位于SYSTME32下，然后关机重启，进安全模式，发现诺顿启动后无法扫描了提示什么模块错误，也无法卸载，自己就手动删除nbupd64。exe，打开注册表删除有关项，再重启，发现任务管理器里nbupd64依然存在，用防火墙禁止nbupd64，cpu占用率正常，然后用防火墙禁nbupd64访问网络，机器运行倒是正常了，但任务管理器里那个进程依然存在，怎么会删除不掉？望达人指点。 OS 2K&2K SVR 2005-09-20 14:14:19
lynnql 初生襁褓狮帖子:5 注册: 2005-09-19 来自:	分享到：