- N +

深蓝总结STUPdater.exe入侵信息汇总与解决办法 VER1.1

一,特别感谢 xiaocao(鲁迅说) 研究几天,彻底研究出病毒源头,并大胆假设,小心求证,研究公开病毒是通过人肉上网,付费接任务等方式,去网吧运行入侵软件,入侵网吧针盘系统。目前波及,主流无盘服务器。(当然,这可能不一定是唯一的方式。)


详细地址:https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg 


 xiaocao(鲁迅说)  在文章发布后,就算这篇文章有大量翔实的证据, 亲自反汇编资料的情况下,依然有各种嘲讽和漫骂。最终  xiaocao(鲁迅说) 同学坚持实事求是,顶住了压力公布了真相,目前各大无盘厂商已经在修复相应的漏洞。而后大量用户也通过,视频监控,上机时间,文件入侵时间等证实了,“病毒是通过人肉去网吧内网上网入侵”的惊人判断是正确的。(虽然这个判断第一次听说时,确实匪夷所思。)


要不是xiaocao(鲁迅说)同学这么快找出真相,网吧行业的同行,昨晚可能很多人都睡不好觉了。无盘厂商也不可能那么快的修复漏洞。


突然明白了为什么网吧行业,愿意免费共享技术,免费共享好软件的朋友越来越少,因为他们很多人的心可能早都被一些罔顾事实,信口开河,出口成脏的人伤透了。


二,网维大师提供的漏洞处理方法:


1、在BarServer目录下,将TransferFile.dll进行改名,改成TransferFile.dll.bak


2、在BarServer目录下,将TransferFilePatchEx.exe进行改名,改成TransferFilePatchEx.exe.bak


3、删除C:\Windows\STUPdater.exe


4、重启BarServer.exe


后续等待网维大师无盘的升级,彻底解决此问题。感谢 SVIP会员 cls-83@qq.com(520108006) 提供。


三,已经中毒的服务器一键清理。


RD C:\Windows\TEMP\updater_temp_STVNCServer\1.0.0.2\ /S /Q

RD C:\Windows\Temp\Mount /S /Q

RD C:\Windows\Temp\updater_temp_STVNCServer /S /Q

RD "C:\Program Files (x86)\Mount" /S /Q

del C:\Windows\Temp\ /Q

del C:\Windows\UpdaterLogForSTVNCServer.txt

del C:\Windows\STUPdater.exe

Net Stop FastUserSwitchingCompatibility

SC delete FastUserSwitchingCompatibility

schtasks /delete /TN  Batch /F


感谢群友:三毛 提供


四,目前多出的文件,云更新下面, 感谢深蓝软件群友 空白 提供


C:\Windows\syswow64\AppRead.exe

C:\Windows\STUPdater.exe

D:\lwserver\count.dat

D:\lwserver\uninst0.dat

C:\Program Files(x86)\Mount\Mount.exe

C:\Program Files(x86)\Mount\zlib1.dll


云更新官方给出的临时解决方案:https://mp.weixin.qq.com/s?01060&idx=1&sn=a


五,客户端入侵文件MD5


感谢xiaocao 同学再次公布,现在网吧入侵的客户机文件MD5


5F8CF815C1BF948E8A4239204C81C78E


现在大家暂时在网吧客户机屏蔽此MD5文件,可以暂时防止这一波的入侵。


六,进展


各大无盘已经在研究和升级程序,以实现从源头上防止攻击的目。


七,总结。


这是网吧行业,前所未有的大事件,我们看到同行的团结,有人出人,有力出力,有技术出技术,特别是 xiaocao(鲁迅说 ) 同学花了几天时间,出力出工出技术,敢为天下先,为大家找到了源头。


同时也看到了个别同行,罔顾事实,冷嘲热讽他人的辛苦分析数据。


唯愿诸君多努力,只是向上走,不必听自暴自弃者流的话。能做事的做事,能发声的发声。有一分热,发一分光。就如萤火一般,也可以在黑暗里发一点光,不必等候炬火。此后如竟没有炬火,你便是唯一的光。


作者:网管老李
人生不玩害自己,玩中求知最聪明,要问谁玩最有意,花甲过后相对比.
微信扫一扫
返回列表
上一篇:
下一篇: