xiaoshen.exe详细信息(转)

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量1k 收藏
点赞数
分类专栏: 安全技术/病毒 文章标签: internet c 网络 ie

运行 xiaoshen.exe 后 访问网络 生成
C:/WINDOWS/system32/Update.exe
C:/WINDOWS/system32/update2.exe
C:/WINDOWS/system32/update3.exe
C:/WINDOWS/system32/update4.exe
C:/WINDOWS/system32/update9.exe
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/63U70503/desktop.ini
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/63U70503/host[1].txt
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/63U70503/up5[1].jpg
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/B006ZRBG/desktop.ini
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/B006ZRBG/up2[1].jpg
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/LRVZUX8H/desktop.ini
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/LRVZUX8H/desktop.ini
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/OZENOVM1/desktop.ini
C:/Documents and Settings/mopery/Local Settings/Temporary Internet Files/Content.IE5/OZENOVM1/desktop.ini

还在每个盘符下 生成
xiaoshen.exe 和 autorun.inf

C:/WINDOWS/system32/drivers/etc/hosts
内容为
127.0.0.1 qq.etsoft.com.cn
61.152.90.31 zt.abcoll.com


然后 Update.exe 那几个分别运行..

C:/WINDOWS/system32/Update.exe
就写入一个注册表
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
[Update] C:/WINDOWS/system32/Update.exe


C:/WINDOWS/system32/update2.exe
释放文件
C:/Program Files/Common Files/Microsoft Shared/MSINFO/50948A91.dat
C:/Program Files/Common Files/Microsoft Shared/MSINFO/50948A91.dll
C:/WINDOWS/Help/wshmcepts.chm
修改系统文件 C:/WINDOWS/system32/verclsid.exe 为 C:/WINDOWS/system32/verclsid.exe.bak

注册表项
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
[{48A95094-5094-8A91-948A-094A90948A91}]

HKCR/CLSID/{48A95094-5094-8A91-948A-094A90948A91}/InProcServer32
[默认]C:/Program Files/Common Files/Microsoft Shared/MSINFO/50948A91.dll

具体参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339


C:/WINDOWS/system32/update3.exe
生成文件
C:/DOCUME~1/mopery/LOCALS~1/Temp/mc21.tmp
C:/nxldr.dat

注册表项
HKLM/SYSTEM/CurrentControlSet/Services/NetWorkLogon
HKLM/SYSTEM/CurrentControlSet/Services/mchInjDrv


C:/WINDOWS/system32/Update4.exe
生成文件
C:/20061023.dat
C:/20061026.dat
C:/WINDOWS/system32/Ravdm.exe
C:/WINDOWS/system32/Drivers/Rinld.sys

hosts 添加 125.65.77.72 www.qo263.com

C:/WINDOWS/system32/Ravdm.exe 具体的处理方法参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736


C:/WINDOWS/system32/update9.exe
生成文件
C:/WINDOWS/Intel/rundll32.exe
C:/WINDOWS/system32/ztdll.dll

注册表项
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
[rzt] C:/WINDOWS/Intel/rundll32.exe

 

 

具体的处理方法..安全模式下操作..

先清空IE临时文件夹..
删除文件
C:/WINDOWS/system32/Update.exe
C:/WINDOWS/system32/update2.exe
C:/WINDOWS/system32/update3.exe
C:/WINDOWS/system32/update4.exe
C:/WINDOWS/system32/update9.exe

右键 打开 盘符
删除
xiaoshen.exe 和 autorun.inf

C:/WINDOWS/system32/drivers/etc/hosts 用 记事本 打开..
127.0.0.1 localhost
下面的全部删除..


C:/WINDOWS/system32/Update.exe
处理方法
删除注册表
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
[Update]


C:/WINDOWS/system32/update2.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8201339 处理..


C:/WINDOWS/system32/update3.exe
处理方法
删除文件
C:/DOCUME~1/mopery/LOCALS~1/Temp/mc21.tmp
C:/nxldr.dat

打开注册表 删除
HKLM/SYSTEM/CurrentControlSet/Services/NetWorkLogon
HKLM/SYSTEM/CurrentControlSet/Services/mchInjDrv


C:/WINDOWS/system32/Update4.exe
参考:http://forum.ikaka.com/topic.asp?board=28&artid=8156736 处理..


C:/WINDOWS/system32/update9.exe
处理方法
删除文件
C:/WINDOWS/Intel/rundll32.exe
C:/WINDOWS/system32/ztdll.dll

打开注册表 删除
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
[rzt]


以上操作全部需要在安全模式下...

 
EvilAtman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xiaoshen-latest-archive
05-09
bike2Use With Your Own Risk!鉴于浅轻大佐橄榄了硝神百科Wiki主站,特在此备份。附:前硝神百科从未因为miraheze被禁而删除任何一个死妈废物的条目。硝神百科二代目之所以少了五十几余个条目是因为备份不齐等多个...
打开文件夹就运行?COM劫持利用姿势
killcoco的小窝
04-14 1680
打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。 前言 所谓“骂人先骂娘,擒贼先擒王”,首先给出读者最最关心的劫持文件夹的利用
verclsid.exe篡改IE主页的故障
weixin_33989780的博客
05-07 145
今天接到一个用户,每次打开IE的时候,金山毒霸都会提示 有程序要修改主页被阻止。 查看金山的日志,要修改的域名是 www.13721.net verclsid.exe是windows系统自己的程序,不可能自动修改IE主页,肯定是被其他程序“利用”了。 于是立即开始行动: 1.打开注册表,搜索以上网址 www.13721.net,未找...
sql存储过程生成dim_date
xiaoshen_joyin的博客
08-16 1943
sql存储过程生成dim_dateUSE [Config] GO /****** Object: StoredProcedure [dbo].[getDimDate] Script Date: 08/16/2016 16:07:29 ******/ SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON GO ALTER PROCEDURE [dbo]
重置select select2下拉框为选中状态
xiaoshen_joyin的博客
08-12 7246
重置select2下拉框为初始状态/*重置select2下来框*/ $("#loc_city option:first").prop("selected", 'selected') $('#loc_city').trigger('change.select2'); // Notify only Select2 of changes
电脑日常故障及处理(二)
Leo
12-22 1998
  1、windows优化大师注册版绿色的下载地址,省得以后再求人! http://down1.sz1001.net/up1/%D0%A1%D0%CD%C8%ED%BC%FE2_0810/wom.rarhttp://www.onegreen.net/Soft_Down.asp?UrlID=2&SoftID=470最新的版Windows优化大师 V7.73 Build 7.061
利用arcgis软件“数据驱动页面”功能实现批量输出图片操作流程.doc
09-03
在本文中,我们将详细探讨如何利用ArcGIS的“数据驱动页面”功能批量输出图片的操作流程。 首先,我们需要进行准备工作。这包括创建一个布局视图,设置自定义的纸张大小,以及添加必要的图幅整饰元素。在ArcGIS中,...
如何在精简版的OS安装IIS
08-22
### 如何在精简版操作系统上安装IIS...- 对于Windows 2003:[IIS6.0](http://down1.codepub.com/codepub/2005/8/30/IIS6.0.rar)、[下载地址 2](http://down2.codepub.com/codepub/2005/8/30/IIS6.0.rar)、[下载地址 3]...
小神网络 v2.0
06-28
管理登录入口:admin.asp管理用户名及密码均为:admin xiaoshen.com
基于android系统的日程管理应用
04-02
这个日程管理应用利用SQLite数据库来存储用户的日程信息,包括事件标题、日期、时间、地点等细节。"增"指的是添加新的日程,用户可以通过简单的界面输入新日程的信息;"删"即删除不再需要的日程;"改"表示修改已存在...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8890
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3356
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6445
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1581
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2578
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4047
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4600
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1382
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
Vue---Vue基础
前端与计算机相关知识的分享,博主的qq523235674
02-25 1423
一.Vue概述 二.Vue的基本使用 2.1Vue.js之hello world 基本实例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <title>Document</title> </.
用python写算法解决1. 小甄、小沈、小安三名同学周末去吃淄博烧烤。羊肉串一斤70元,烤土豆片一串2元,鱿鱼板一串6元,烤馒头片一串1.5元,茄子一份10元,单饼一份6元,大窑一瓶6元。小甄同学吃了半斤羊肉串、1串鱿鱼板和2串烤馒头片。小沈同学吃了半斤羊肉串、4串烤土豆片和1串烤馒头片。小安同学吃了1斤半羊肉串和1串鱿鱼板。三名同学一起点了一份茄子和两份单饼,一共喝了4瓶大窑。 (1)不考虑茄子、单饼和饮料,计算每位同学各自消费多少元。 (2)计算三位同学这顿烧烤总共消费多少元。 (3)计算三位同学人均消费额。
最新发布
06-06
可以用Python写一个函数来解决这个问题,代码如下: ```python def calculate_cost(): # 计算每个人的消费 xiaozhen_cost = 0.5*70 + 1*6 + 2*1.5 xiaoshen_cost = 0.5*70 + 4*2 + 1*1.5 xiaowan_cost = 1.5*70 + 1*6 # 计算总共消费 total_cost = 70*(0.5+0.5+1.5) + 2*4 + 6*3 + 1.5*3 + 10 + 6*2 # 计算人均消费 average_cost = total_cost / 3 print("小甄消费:%.2f元" % xiaozhen_cost) print("小沈消费:%.2f元" % xiaoshen_cost) print("小安消费:%.2f元" % xiaowan_cost) print("总共消费:%.2f元" % total_cost) print("人均消费:%.2f元" % average_cost) calculate_cost() ``` 运行结果为: ``` 小甄消费:97.00元 小沈消费:89.00元 小安消费:111.00元 总共消费:321.50元 人均消费:107.17元 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值