遭遇Trojan.PSW.JHOnline,Trojan.Spy.Agent等之后

最新推荐文章于 2024-04-25 10:52:13 发布
最新推荐文章于 2024-04-25 10:52:13 发布
阅读量2.6k 收藏
点赞数
分类专栏: 系统维护 文章标签: warnings statistics file microsoft service windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1501847
版权

endurer 原创
2007-01-03 第1

一位网友的电脑在查杀病毒后,启动时进入桌面前有出错提示音。让偶通过QQ远程协助检修。

http://endurer.ys168.com 下载了 HijackThis 扫描 log,未见异常。

用pe_xscan扫描,发现可疑服务项:
/----
pe_xscan by Purple Endurer
2007-2-3 11:21:4
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32//rundll32.exe windhcp.ocx,input(自动启动)
----/
到注册表里删除了。

从病毒隔离区里恢复了三个病毒文件。

1)tian.exe
 采用PECompact 2.x -> Jeremy Collake加壳。
/----
文件说明符 : d:/test/tian.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-3 11:34:23
修改时间 : 2007-2-3 11:34:24
访问时间 : 2007-2-3 0:0:0
大小 : 46592 字节 45.512 KB
MD5 : 752b10c91caa7e768d11c8fcfcf5dba1
----/
Kaspersky 报为 Trojan.Win32.Agent.abf
瑞星 报为 Trojan.PSW.JHOnline.fbd

Scanned file:   tian.exe - Infected

tian.exe - infected by Trojan.Win32.Agent.abf

Statistics:

Known viruses:264433Updated:03-02-2007
File size (Kb):46Virus bodies:1
Files:1Warnings:0
Archives:0Suspicious:0

 

2)j.exe
采用Microsoft Visual C++ 6.0开发。
/----
文件说明符 : d:/test/j.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-3 11:52:23
修改时间 : 2007-2-3 11:52:24
访问时间 : 2007-2-3 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 47183f2e3f3252c73286862f31d1ee4c
----/
会在注册表的Run键中创建启动项
对瑞星注册表监控提示窗口,模拟点击按钮“允许”和“跳过”
启动后搜索标题为AVP.AlertDialog的 Kaspersky 的警告窗口,模拟点击按钮“允许”和“跳过”
向 Kaspersky 的通知窗口(类名为:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口。
运行cmdbc.exe,装载cmdbc.dll
创建远程线程注入explorer.exe进程
设置hook程序获取网游《江湖》帐号密码

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es
瑞星 报为 Trojan.PSW.Agent.iwx

Scanned file:   j.exe - Infected

j.exe - infected by Trojan-PSW.Win32.OnLineGames.es

Statistics:

Known viruses:264433Updated:03-02-2007
File size (Kb):14Virus bodies:1
Files:1Warnings:0
Archives:0Suspicious:0

3)windhcp.ocx
采用 PeCompact v2.08->Bitsum Technologies(signature by loveboom) 加壳。
/----
文件说明符 : d:/test/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-3 11:28:15
修改时间 : 2007-2-3 11:28:16
访问时间 : 2007-2-3 0:0:0
大小 : 41984 字节 41.0 KB
MD5 : 24a46bea179948ac35e66cdd885306c6
----/

Kaspersky 报为 Trojan.Win32.Agent.abf
瑞星报为:Trojan.Spy.Agent.cns

Scanned file:   windhcp.ocx - Infected

windhcp.ocx - infected by Trojan.Win32.Agent.abf

Statistics:

Known viruses:264437Updated:03-02-2007
File size (Kb):41Virus bodies:1
Files:1Warnings:0
Archives:0Suspicious:0
 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
快速脱PECompact_2.x_-_Jeremy_Collake
07-25
快速脱PECompact_2.x_-_Jeremy_Collake教程
Trojan.PSW.Jianghu.ak分析报告
青青子衿
02-24 1221
                                                        Trojan/PSW.Jianghu.ak分析报告作者:安子矜邮箱:[email protected] 1. CUT_1.exe文件运行后生成两个HOOK_DLL.dll和Latent.exe两个文件,其中Latent.exe文件为CUT_1.exe的一个副本,这两个文件被保存在C
火拼--利刃对金钟罩_OMT2006系统带壳分析(上)
mélochite's
05-13 1335
 前两天,鬼子发了个东西过来,不明白鬼子老是对这些彩票啊,六合彩啊的东西特感兴趣。话说他是个公务员,不禁令我寒一个。。这次这个是TOM报单系统,但看到里面好像有六合彩之类的东西。可能是我多心了。二话不说,带刀上阵。。。。调试过三次,发现只有OD才是王道这次用的是OllyICE,是第二次的汉化作品============================================
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic , At your OWN risk .
js.scob.trojan.nasl
11-08
js.scob.trojan
trojan-qt5.tar.gz
04-09
trojan-qt5 for linux
敲诈者(Trojan.Disclies.e)解决方案
03-04
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
trojan-qt5.app.zip
04-06
trojan-qt5.app.zip
Trojan.PSW.Jianghu.am分析报告
青青子衿
02-24 1058
                                                   Trojan.PSW.Jianghu.am分析报告作者:安子矜邮箱:[email protected]该病毒加了UPX的壳,    脱壳后,可以确定病毒为VB编写程序,    程序中未直接使用操作系统提供的API函数,也没有加载病毒常用的几个动态连接库。而是加载了一个名为MSVBM60
壳学习一:PECompact 2.x 加壳脱壳
禾苗雨的专栏
02-06 3030
壳学习一:PECompact 2.x 加壳脱壳SkyJackerHttp://blog.csdn.net/skyjackerEmail:HeMiaoYu gmail.comQQ:677055172007-2-51、加壳过程自动动手编写一个简单的窗体程序NullForm.exe。使用PECompact2.7加壳(按默认选项),生成已加壳程序NullFormPe.exe.原始文件与加
手脱PECompact v2.xx
weixin_30838873的博客
11-14 160
个人认为这个壳对于新手有那么一点点难度,所以用单步和ESP都跑一下,我觉得单步是最最基础的,所以一定要掌握 一、单步 1.PEID查壳 PECompact v2.xx (16 ms) 2.载入OD,除了以下标注的几个位置外,其他的都使用F8 0040A86D > B8 74DE4500 mov eax,qqspirit.0045DE74 ; ...
PECompact v2.84
Linhanshi Blog
06-09 666
2008-06-08Changelog引用:WARNING: Old project files and saved registry settings are incompatible with this build.WARNING: Non-english languages need updating and may not currently show new option
【微软押注ARM架构,“Wintel”联盟摇摇欲坠?】
weixin_44237705的博客
04-19 385
英伟达、AMD和联发科都计划为Windows平台推出基于ARM架构的芯片,另外三星则有可能会有对应的Exynos芯⽚,加上⾼通带来的骁⻰ X Elite,“百花齐放”的盛况将帮助Windows on ARM设备进⼊新阶段。不过从⽬前掌握的情况来看,⾼通的骁⻰ X Elite或许仍然是最强的竞争者,其引⼊了基于NUVIA技术的定制Oryon内核,放弃了以往基于ARM公版的设计,采⽤了台积电4nm⼯艺制造, 初步的测试结果显示有着不错的性能表现。2024年,对于PC产业而言也许将会是转折性的一年。
AI Agent新对决:LangGraph与AutoGen的技术角力
最新发布
2401_82452722的博客
04-25 891
个人认为这个“Graph”框架使其在构建更复杂和更有见地的工作流程时更具直观性和更好的开发体验,通过对“Graph”的定义,可以对一个 LLM 应用的处理过程进行非常细节的编排设计,从而满足大量复杂场景的 AI Agent 产业应用落地。当然,这一特征也是可选的,如果你不需要要时,就可以选择完全自动的模式。对于简单的问答系统,LCEL都能够提供快速且准确的服务,然而当面对一些更为复杂的任务时,就显得力不从心,因此需要一个具备更精细控制能力的框架来支持更复杂场景的LLM应用,它就是LangGraph。
设计模式- 中介者模式(Mediator)
m0_51176516的博客
04-23 1390
中介者模式(Mediator Pattern)是一种行为型设计模式,用于减少对象之间的直接相互依赖,使得对象间的交互通过一个中介者对象来进行协调。在中介者模式中,对象之间不再直接相互调用,而是通过中介者对象来传递消息和协调行为。 中介者模式的主要目的是简化对象之间的复杂交互关系,降低对象之间的耦合度,使得系统更加易于维护和扩展。通过将交互逻辑集中在一个中介者对象中,可以避免对象之间直接相互依赖和通信的混乱。 中介者模式适用于对象之间存在复杂网状结构关系,且这些关系导致依赖关系混乱和难以复用的场景。
Trojan.MSWord.Agent.bi
07-14
Trojan.MSWord.Agent.bi 是一种恶意软件(恶意代码),它被归类为针对Microsoft Word文档的特洛伊木马。它通常以 .doc 或 .docx 文件的形式传播,并利用Microsoft Word的漏洞或弱点进行攻击。 一旦被感染,Trojan....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值