nbupd64.exe感染记录

1、进程列表中出现nbupd64.exe

2、在%system%下创建病毒文件nbupd64.exe

3、更改注册表：
在下列分支下添加病毒启动加载项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

添加的病毒键值为：
"Windows Update 64"="nbupd64.exe"

查杀：

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
4、运行WINDOWS UPDATE，去微软打补丁。
——————————————

NetDDEsrv感染记录：

在%system%下创建：NetDDEsrv.exe



在注册表的下面两个分支
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

填加
NetDDEsrv


在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
下添加：NetDDEsrv

查杀：

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项

【回复“baohe”的帖子】真好，baohe版主都有样本。

可否转发给我个？rsvirus@163.com谢谢。

引用:

【花落花又开的贴子】【回复“baohe”的帖子】真好，baohe版主都有样本。 可否转发给我个？rsvirus@163.com谢谢。 ...........................

样本已经发送到：rsvirus@163.com

引用:

【baohe的贴子】 样本已经发送到：rsvirus@163.com ...........................

汗,未收到.不知样本是否有加密?163的破邮箱老卡是老大！

引用:

【花落花又开的贴子】 汗,未收到.不知样本是否有加密?163的破邮箱老卡是老大！ ...........................

又发了一个加密包