遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1

最新推荐文章于 2024-09-19 14:54:23 发布
最新推荐文章于 2024-09-19 14:54:23 发布
阅读量2k 收藏
点赞数
分类专栏: 系统维护 文章标签: 工具 microsoft windows system c dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1704462
版权

遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1

endurer 原创
2007-07-23 第1

一位网友说他的电脑昨晚使用时出现蓝屏,刚才打开电脑后,进入桌面后时弹出对话框,提示explorer.exe出错,确定后任务栏自动消失,杀毒软件监控也没见影子……让偶通过QQ远程协助。

下载 pe_xscan 扫描 log并分析,发现如下可疑项(进程模块部分有省略):

/===
pe_xscan 07-07-21 by Purple Endurer
2007-7-22 20:27:50
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/system32/svchost.exe * 724 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/system32/ctfmon.exe * 936 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/system32/conime.exe * 908 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Console IME | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | Console | CONIME.EXE
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/explorer.exe * 3228 | 2004-8-23 16:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll
    C:/Program Files/Common Files/Relive.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll
    C:/WINDOWS/system32/AlxTB1.dll | 2005-4-14 4:9:8 | AlxTB Module | 1, 0, 0, 1 | AlxTB Module | Copyright 2000-2003 | 7, 0, 1, 57 | Alexa Internet |  | AlxTB | AlxTB.DLL

C:/Program Files/Internet Explorer/msvcrt.bak * 2236 | 2007-7-19 15:27:26
    C:/Program Files/Internet Explorer/msvcrt.bak | 2007-7-19 15:27:26
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/system32/cmd.exe * 876 | 2004-8-23 16:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows Command Processor | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | cmd | Cmd.Exe
    C:/Program Files/Internet Explorer/msvcrt.dll | 2007-7-22 16:51:6 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/WINDOWS/system32/drivers/smss.exe * 3464 | 2007-7-18 19:57:56

O2 - BHO  - {D3626E66-B13B-C628-ACDF-BDABCFA265E1} - C:/Program Files/Common Files/Relive.dll
O2 - BHO  - {D7515C61-A66C-4319-A0E0-D416CB8059E3} - C:/Program Files/Common Files/Relive.dll
O2 - BHO  - {E3616E66-C13B-2628-2CDF-EDABCFA235E1} - C:/Program Files/Common Files/Relive.dll
O2 - BHO AlxTB BHO Class - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:/WINDOWS/system32/AlxTB1.dll

O4 - HKLM/../Run: [wosa] C:/DOCUME~1/user/LOCALS~1/Temp/woso.exe
O4 - HKLM/../Run: [ztsa] C:/DOCUME~1/user/LOCALS~1/Temp/ztso.exe
O4 - HKLM/../Run: [mhsa] C:/DOCUME~1/user/LOCALS~1/Temp/mhso.exe
O4 - HKLM/../Run: [fysa] C:/DOCUME~1/user/LOCALS~1/Temp/fyso.exe
O4 - HKLM/../Run: [jtsa] C:/DOCUME~1/user/LOCALS~1/Temp/jtso.exe
O4 - HKLM/../Run: [wlsa] C:/DOCUME~1/user/LOCALS~1/Temp/wlso.exe
O4 - HKLM/../Run: [wgsa] C:/DOCUME~1/user/LOCALS~1/Temp/wgso.exe
O4 - HKLM/../Run: [wmsa] C:/DOCUME~1/user/LOCALS~1/Temp/wmso.exe
O4 - HKLM/../Run: [qjsa] C:/DOCUME~1/user/LOCALS~1/Temp/qjso.exe
O4 - HKLM/../Run: [rxsa] C:/DOCUME~1/user/LOCALS~1/Temp/rxso.exe
O4 - HKLM/../Run: [wdsa] C:/DOCUME~1/user/LOCALS~1/Temp/wdso.exe
O4 - HKLM/../Run: [tlsa] C:/DOCUME~1/user/LOCALS~1/Temp/tlso.exe
O4 - HKLM/../Run: [dasa] C:/DOCUME~1/user/LOCALS~1/Temp/daso.exe
O4 - HKLM/../Run: [zxsa] C:/DOCUME~1/user/LOCALS~1/Temp/zxso.exe

O4 - HKLM/../Policies/Explorer/Run: [visin] C:/WINDOWS/system32/visin.exe

C:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
D:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/

O8 - IE右键菜单附加项 : Alexa Web Search - http://client.alexa.com/holiday/script/actions/search.htm
O8 - IE右键菜单附加项 : Get Alexa Data - http://client.alexa.com/holiday/script/actions/sitedata.htm
O8 - IE右键菜单附加项 : Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm
O8 - IE右键菜单附加项 : See Related Links - http://client.alexa.com/holiday/script/actions/related.htm
O8 - IE右键菜单附加项 : Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm

O11 - IE扩展选项组:TBH (中文搜搜) =

O23 - 服务:  WindowsDown (Windows_SystemDown) - C:/WINDOWS/system32/servet.exe | 2007-7-22 16:23:22(自动)
O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(禁用)

O24 - ShlExecHook: [] - {03F6E661-0D5F-3FAD-3E2B-E261E3CB6CD2} = C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
O24 - ShlExecHook: [] - {0EA12C16-CDEF-6AC1-236E-CD3FE82F5213} = C:/Program Files/Internet Explorer/msvcrt.dll
O24 - ShlExecHook: [] - {05AD2E16-C6EF-6AC1-136A-CE3FD8EF5613} = C:/Program Files/Internet Explorer/msvcrt.dll
O24 - ShlExecHook: [] - {0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3} = C:/Program Files/Internet Explorer/msvcrt.dll

O25 - InsCom: {11716107-A10D-11cf-64CD-11115FE1CF41} = C:/WINDOWS/system32/nwizzhuxians.exe

HKLM/SHOWALL    值非1
===/

大部分以前遇到过~
处理过程留待下回分解~ 

紫郢剑侠
关注
专栏目录
编写Python渗透测试工具ARP欺骗工具
玄道的网安博客
02-21 2275
本文将用Python中的Scapy模块编写。 用一张图简单介绍一下ARP的攻击原理: 这时候,受害者的流量全部经过攻击者机,卖家发给受害者的流量也会经过攻击者机的手上。从而让受害者无法与网关联系,导致流量无法到达受害者机上。而攻击者却能拿到网段所有流量。 ARP数据的详细信息列表: 参数 注释 Hardware type ...
使用Windows Arp命令显示,添加和删除Arp信息
cunjiu9486的博客
10-08 1万+
Arp is a protocol used to determine host IP addresses from their physical MAC or Ethernet address. Windows operating systems provides arpcommand in order to manage arp related information. With arpc...
android arp工具,Android内网攻击防御安全测试工具(开源)
weixin_39978282的博客
05-25 3337
想必经历过4M宽带小水管年代的小伙伴,大多都晓得P2P终结者这枚网管神器,它可以通过ARP协议的漏洞来达到限制同一路由器下其他电脑网速的目的。如今移动互联网时代飞速发展,大家都用上了50M、甚至100M的家庭光纤。虽然带宽不再想当年那样“憋屈”,但是由于不速蹭网之客泛滥,给我们的局域网带来很大的安全隐患。菲菲君在想,在 Android 平台上能不能找到一枚类似P2P终结者一样的网络管理神器呢?经过...
ARP欺骗:使用工具arpspoof、driftnet和ettercap
Zeker62的博客
07-21 8193
作为一个小白,下午两点钟去听了一个网络公开课,了解了一下两个工具的使用,他也给我复习了一下arp欺骗ARP欺骗俗称ARP中间人攻击 防范方法 简而言之,就是骗取受害主机误认为是网关,然后把流量数据发给攻击方,攻击方可以截获流量数据。 攻击条件: 攻击方要知道被攻击方的IP地址,以及被攻击方的网关地址 攻击方和被攻击方处于同一局域网下 开始一定要设置一下路由转发 echo 1 > /proc/sys/net/ipv4/ip_forward 这个是表示数据包能否转发,这个都不开,那直接白给
arp欺骗----ettercap工具
河南理工杨轻帆的博客
03-04 1842
试验需求: kali虚拟机、目标主机、 你的kali虚拟机和目标主机在同一个网段 先修改 ettercap配置文件( vim /etc/ettercap/etter.conf),找到下图的信息,把数值改为0 不会使用vim?点击这里 修改成这样就行啦 arpspoof断网攻击(arp欺骗) ...
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
标题中的"osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed"揭示了这个压缩包文件包含的是一种针对多个平台的蠕虫木马病毒,特别是针对Windows 32位系统、Linux以及Mac OS。关键词“Cross-Platform...
xxx.rar_xxx video_xxx.CBp.VDO_xxx.video._视频 解压缩
09-22
相比早期的MPEG1和MPEG2,MPEG4在压缩效率和功能上有了显著提升,尤其适用于网络传输,因为它可以在有限带宽下提供高质量的视频流。 视频压缩的主要目的是减少文件大小,而基本原理就是去除冗余信息和视觉感知上的...
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe
03-19
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
XEN V1.0.7 [CyberNation]_rat_V|XEN.com_
09-29
从标题来看,"XEN"可能是指一个特定的软件版本或平台,而"V1.0.7"表示这是其发展的第1.0.7个迭代。"[CyberNation]"可能是一个团队、组织或社区的名称,这通常与黑客、安全研究人员或者网络安全社区有关。"rat"通常在...
AxureRP 9.0.0.3714.7z
09-30
Axure RP 9.0.0.3714 是一款强大的原型设计工具,主要用于创建交互式的网页和应用程序原型。这款软件广泛应用于IT行业的设计师、产品经理以及开发人员,帮助他们在项目初期快速构建概念模型,进行功能规划和用户体验...
使用Arp欺骗与driftnet工具监听局域网信息
qq_33571718的博客
08-16 4537
【重点声明】此系列仅用于工作和学习,禁止用于非法攻击,非法传播。一切遵守《网络安全法》 环境: Ubuntu 16.0.4攻击主机:192.168.1.130,Windows10 目标机:192.168.1.219 扫描该网段存活的主机: nmap -sP 192.168.1.1/24 测试前,可以先看一下两台机器网络是否相同,是否可以连通外网;如图: 1.ARP欺骗: ...
ARP欺骗工具arpspoof的用法
热门推荐
who_im_i的博客
09-11 2万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
C语言实现简单ARP欺骗工具
Jung_zhang的专栏
08-03 1万+
在WireShark协议分析的学习过程学习了ARP协议的数据包格式,所以准备自制一个小小的ARP欺骗工具。在制作该工具前需要掌握如下知识:   一、ARP协议内容  ARP(Address Resolution Protocol)协议的基本功能是通过IP地址找到对应的硬件地址,ARP协议的工作过程是(假设A主机(IP:192.168.1.110、MAC:0A:11:22:33:44:01)要和B主
ARP网络欺骗——手机/平板/电脑欺骗测试
weixin_51735061的博客
03-20 7219
arp局域网欺骗 中断他人网络 窃取相关数据
Android 平台上的 ARPARP欺骗
Elsa's Blog
07-29 1万+
前言:要做的功能是在Android某个连网应用中加入arp,使Android手机和指定MAC的设备进行Socket连接前,能够向路由请求获得该MAC对应IP,当然前提是手机和设备在同一局域网下。因为是从零开始学起,ARP连听说都是第一次⁄(⁄ ⁄•⁄ω⁄•⁄ ⁄)⁄,所以写一篇非常非常详细的学习Android平台上的ARP的博客吧。一、关于ARP1. ARP概述把百度百科_ARP,维基百科_ARP
Parasoft助力Joby Aviation符合DO-178B标准
最新发布
09-19 919
Parasoft作为领先的软件测试解决方案提供商,与Joby Aviation携手,确保了Joby Aviation的软件系统达到并超越ASIL最高安全等级要求,为eVTOL飞行器的安全飞行奠定了坚实的基础。
【WPF】01 微软官方介绍开篇
kewaqi618的博客
09-19 1226
使用应用程序模型承载和提供主要由控件构成的应用程序内容。若要简化 UI 中的控件排列,并确保在窗口大小和显示设置更改时维护这种排列,
Kaspersky与瑞星联手对抗:详解Kvsc3.exe、Kvsc3.dll病毒查杀策略
Kvsc3.exe和Kvsc3.dll是两种由不同防病毒软件公司检测出的病毒,它们属于trojan类型,具体称为Trojan-PSW.Win32.OnlineGames.zl、Trojan.PSW.Win32.OnlineGames.cql、Trojan.PSW.Win32.SunOnline.f[dll]、Win32.Troj...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值