瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“风里密码”——关于nbupd64.exe 和 netddesrv.exe

1   1  /  1  页   跳转

致“风里密码”——关于nbupd64.exe 和 netddesrv.exe

致“风里密码”——关于nbupd64.exe 和 netddesrv.exe

nbupd64.exe感染记录

1、进程列表中出现nbupd64.exe

2、在%system%下创建病毒文件nbupd64.exe

3、更改注册表:
在下列分支下添加病毒启动加载项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

添加的病毒键值为:
"Windows Update 64"="nbupd64.exe"

查杀:

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
4、运行WINDOWS UPDATE,去微软打补丁。
——————————————

NetDDEsrv感染记录:

在%system%下创建:NetDDEsrv.exe



在注册表的下面两个分支
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\

填加
NetDDEsrv


在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
下添加:NetDDEsrv

查杀:

1、结束病毒进程
2、删除病毒文件
3、删除病毒添加的上述注册表项
最后编辑2005-09-20 14:12:45
分享到:
gototop
 

引用:
【花落花又开的贴子】【回复“baohe”的帖子】真好,baohe版主都有样本。

可否转发给我个?rsvirus@163.com谢谢。
...........................


样本已经发送到:rsvirus@163.com
gototop
 

引用:
【花落花又开的贴子】

汗,未收到.不知样本是否有加密?163的破邮箱老卡是老大!
...........................


又发了一个加密包
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT