遭遇internet.exe,new.sys,hcalway.sys,mspcidrv.sys,msprosys.sys等

最新推荐文章于 2024-08-20 11:47:26 发布
最新推荐文章于 2024-08-20 11:47:26 发布
阅读量1.5k 收藏
点赞数
分类专栏: 系统维护 文章标签: microsoft module system c internet windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1896271
版权

遭遇internet.exe,new.sys,hcalway.sys,mspcidrv.sys,msprosys.sys等

endurer 原创
2007-11-21 第1

昨晚一位网友说他的电脑中了病毒,不定期弹广告窗口,有时会倒计时关机,让偶通过QQ远程协助检修。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/---
pe_xscan 07-08-30 by Purple Endurer
2007-11-20 21:07:25
Windows XP Service Pack 1(5.1.2600)
管理员用户组
 


[System Process] * 0
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll


C:/WINDOWS/system32/svchost.exe * 796 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24


C:/WINDOWS/System32/svchost.exe * 1156 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24


C:/WINDOWS/System32/ctfmon.exe * 532 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.1106 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll

C:/Program Files/Tencent/qq/QQ.exe * 3244 | 2007-10-11 18:26:42 | QQ | 7,1,518,1751 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,1,518,1751 | TENCENT |  | COMQQD | QQ.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll


C:/Program Files/Tencent/QQ/TIMPlatform.exe * 3272 | 2007-10-11 17:43:48 | QQ | 7,1,518,1751 | TIMPlatform | Copyright ? 2005 ━ 2007 TENCENT Inc. All Rights Reserved | 7,1,518,1751 | TENCENT |  | TIMPlatform | TIMPlatform.exe
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll


C:/WINDOWS/System32/rundll32.exe * 1376 | 2002-10-7 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.0 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | rundll | RUNDLL.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll


C:/Program Files/Internet Explorer/iexplore.exe * 2268 | 2002-10-7 20:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2800.1106 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2800.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
    C:/Program Files/TENCENT/SSPlus/SAddr.dll | 2007-11-6 9:22:28 | SAddr Module | 5, 0, 2, 10 |  |  | 5, 0, 2, 10 | Tencent |  | SAddr.dll | 
    C:/Program Files/DeskAdTop/deskipn.dll | 2006-6-13 14:22:34 | bho Module | 1, 0, 0, 1 | bho Module | Copyright 2006 | 1, 0, 0, 1 | | ? | bho | bho.DLL
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24


C:/WINDOWS/explorer.exe * 3788 | 2002-10-7 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2800.1106 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2800.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
    C:/Program Files/TENCENT/SSPlus/SAddr.dll | 2007-11-6 9:22:28 | SAddr Module | 5, 0, 2, 10 |  |  | 5, 0, 2, 10 | Tencent |  | SAddr.dll | 


O2 - BHO IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/Program Files/DeskAdTop/deskipn.dll


O2 - BHO Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:/Program Files/TENCENT/SSPlus/SAddr.dll


O2 - BHO CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll


O2 - BHO Advance Helper - {8E25AC4A-B129-451B-BEE2-3B510BB751DA} - C:/WINDOWS/System32/NTDLL32.dll


O2 - BHO IE Browser Helper - {D0903A3B-F0EA-434a-9742-98C5335C7946} - C:/WINDOWS/System32/IEHelper.dll


O2 - BHO  - {F6CD3E64-61D4-4cb1-982C-DAE3271B6D85} - 


O3 - IE工具栏: whatever.. - {40987A5C-6AB8-4977-8BE9-A8889DE2EDCC} - C:/Program Files/Copyso/CopysoIE.dll


O4 - HKLM/../Run: [NMGameX_AutoRun] C:/WINDOWS/System32/Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM/../Run: [CdnCtr] 
O4 - HKLM/../Run: [Desktop] "C:/WINDOWS/System32/internet.exe"
O4 - HKLM/../Run: [Internet] "C:/WINDOWS/system32/internet.exe"
O4 - HKLM/../Run: [stup.exe] Rundll32.exe C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll,Rundll32 R


O9 - IE工具栏扩展按钮HKLM:中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll
O9 - IE工具菜单扩展项HKLM:中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll


O9 - IE工具栏扩展按钮HKLM:易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - hxxp://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=hxxp://www.ebay.com.cn
O9 - IE工具菜单扩展项HKLM:易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - hxxp://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=hxxp://www.e


O11 - IE扩展选项组:TBH (中文搜搜) =


O23 - 服务: abhcop (abhcop) - system32/drivers/abhcop.sys(系统)


O23 - 服务: AHOOK (AHOOK) - C:/WINDOWS/System32/drivers/ahook.sys(自动)


O23 - 服务: CdnHook (CDNHOOK) - System32/drivers/cdnhook.sys(系统)
O23 - 服务: hcalway (hcalway) - System32/DRIVERS/hcalway.sys(系统)


O23 - 服务: Internet Connection Manager (Internet Connection Manager) - "C:/WINDOWS/System32/internet.exe"(自动)


O23 - 服务: mspcidrv (mspcidrv) - system32/DRIVERS/mspcidrv.sys(系统)
O23 - 服务: msprosys (msprosys) - System32/DRIVERS/msprosys.sys(系统)
O23 - 服务: New0 (New0) - C:/WINDOWS/System32/new.sys | 2004-12-4 11:17:36(自动)


O26 - IFEO: cdnup.exe -> C:/WINDOWS/system32/rundll32.exe
---/

居然还是 win xp sp1……难怪会中这么多流氓软件和恶意软件

 


下载安装 卡卡安全助手,先在[基本功能]—>[查杀恶意及流氓软件],扫描并清理流氓软件
然后在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。

接下来要处理文件:

C:/WINDOWS/System32/internet.exe
C:/WINDOWS/System32/new.sys
C:/WINDOWS/system32/drivers/abhcop.sys
C:/WINDOWS/System32/drivers/ahook.sys
C:/WINDOWS/System32/drivers/cdnhook.sys
C:/WINDOWS/System32/DRIVERS/hcalway.sys
C:/WINDOWS/system32/DRIVERS/mspcidrv.sys
C:/WINDOWS/System32/DRIVERS/msprosys.sys

http://purpleendurer.ys168.com 下载 bat_do 和FileInfo。

用 FileInfo 提取文件信息,用 bat_do 打包备份,延时删除,生成去除属性,删除,改名命令,下次启动时执行。

用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。

重启电脑~ 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
解决打开百度被劫持到带尾巴tn=21002492_34_hao_pg的网页
四海一叶秋的博客
08-06 2万+
今天给某位网友远程清理流氓软件的时候,流氓软件都已经清理,浏览器的问题扩展等都解决了。但总有一个问题,设置浏览器主页为百度打开时会跳转到: https://www.baidu.com/?tn=21002492_34_hao_pg 还有访问360搜索,劫持到https://www.so.com/?src=lm&ls=sm2142568&lm_extend=ctype:31 同时用火狐浏览器打开百度时,会提示: Firefox 检测到潜在的安全威胁,因此没有继续访问 www.baidu
如何删除mspcidrv.sys病毒
weixin_33911824的博客
05-01 1316
清除方法:先在OKTE(这个最后附加介绍)或Google搜索栏搜索下载Rootkit Unhooker并安装,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中...
HTTP.sys远程执行代码漏洞(CVE-2015-1635,MS15-034)
Fly_鹏程万里
05-05 8905
前言 在2015年4月的补丁日,微软通过标记为“高危”的MS15-034补丁,修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告(https://technet.microsoft.com/en-us/library/security/MS15-034)所称,当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时,可能触发远程代码在目标系统以系统权限执行。 影响...
Linux如何动态添加新的系统调用
热门推荐
Netfilter
05-06 1万+
先来个满满的回忆: https://blog.csdn.net/dog250/article/details/6446192 2011年写这篇文章的时候,我的女儿小小还没有出生。 评价一下这篇文章,总体写得还不错,时间如白驹过隙,快十年过去了,今天我来旧事重提。 添加新的系统调用 ,这是一个老掉牙的话题。前段时间折腾Rootkit的时候,我有意避开类似HOOK劫持系统调用的话题,我主要是想来点新...
HTTP协议
new_delete_的博客
05-29 397
文章目录1 简介2 http消息抓取3 协议格式3.1 请求消息格式3.2 响应消息格式 1 简介 HTTP协议基于TCP/IP通信协议来传递数据,用于客户端-服务端架构上。 浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求(Request)。 服务端根据接收到的请求,向客户端发送响应信息(Response)。 2 http消息抓取 Linux上可以通过tcpdump工具抓包查看http消息: $ sudo tcpdump port 8080 -i lo -vnn tcpdu
intraweb部署windows服务http.sys方法
qq_39843608的博客
11-13 1263
intraweb部署windows服务http.sys方法 一、创建服务程序“Project1.exe” 1、编译环境是 win7+Delphi xe+iw15.0.10,如果是win10,Delphi需要选择管理员权限运行才能生成exe。 2、打开xe>file>new>other,选择intraweb application  wizard。 3、向导界面上applicati...
使用http.sys,让delphi 的多层服务飞起来
weixin_34148456的博客
12-25 617
      一直以来,delphi 的网络通讯层都是以indy 为主,虽然indy 的功能非常多,涉及到网络服务的 各个方面,但是对于大多数多层服务来说,就是需要一个快速、稳定、高效的传输层。Delphi 的 datasnap 主要通过三种实现数据通讯的,一种是大家恨得牙痒痒的indy,另外一种是通过iis 的isapi,最后一种是通过 apache  的动态模块(DSO) 来实现。   ...
http.sys的简单应用
dibeichan3033的博客
04-08 208
//public void Run() //{ // //httpListener提供一个简单,可通过编程方式控制的Http协议侦听器。此类不能被继承。 // if (!HttpListener.IsSupported) // { // //该类只能在Win...
Win7系统,Windows功能显示不全的解决方法
四海一叶秋的博客
04-09 4960
具体故障如下: 控制面板,程序,打开或关闭Windows功能,列表显示不全,只有6个左右的功能。 启用某个功能,提示“出现错误。并非所有的功能被成功更改” 解决办法如下: 删除C:\Windows\winsxs\pending.xml 如果还不行,考虑组件存储损坏,可能是Ghost系统精简了。 win8以上系统,可以用以下命令修复组件存储: dism /online /cleanup-i...
Windows卸载软件出现蓝屏SYSTEM SERVICE EXCEPTION(VrvProtect_x64_2.sys
weixin_30807677的博客
01-13 1855
今天给大家介绍一个卸载Windows上软件的工具Windows Installer Clean Up,可以卸载电脑上的很多控制面板里面卸载不掉的软件,或者卸载过程中出现问题的软件。 (1)出现的现象:   系统安装的某些软件有时候想卸载的时候就是各种卸载不了,并且有的卸载之后有残留、垃圾文件,又或者博主遇到的情况:卸载jdk的时候一直提示“安装过程正处于暂停状态,您必须先撤销安装过程出现的修改...
IIS发布打包后文件
qq_38552198的博客
08-16 402
1.打开IIS软件 2 添加网站, 自定义网站名称-选择要放置的资源路径-选择IP地址 3.打开放置的资源目录放置打包后文件 4.选择浏览
Qt/C++地图标注点的添加删除移动旋转/指定不同图标和动图/拿到单击信号
Qt/C++视频监控/推流/物联网/大屏系统/自定义控件/UI定制/输入法
08-18 1003
标注点在地图开发中是最常见的应用场景之一,比如在地图上需要显示设备的位置,基本上都是添加标注点,指定图片和尺寸已经经纬度坐标位置。这个功能在每种地图内核中都提供的,这个并没有任何难点,在这个功能点上最大难题或者说是设计细节就是,标注点该如何对齐,比如水滴形状的图标一般是底部居中对齐更美观,刚好水滴的头在指定的经纬度坐标上,整个图标位于正上方。还有一种情况是圆形的图标,这种最美观的方式是中间居中对齐,也就是图片的中心点在指定的经纬度坐标上,更符合实际的情况,如果说是底部,则看起来可能会很怪。
人格凭证(PHC):一种鉴别AI防伪保护隐私的真实身份验证技术
Chauvin的博客
08-20 810
人格凭证(PHC)是一种创新的数字身份验证技术,旨在证明用户是真实存在的人类而非AI,同时保护用户的个人隐私信息不被泄露。PHC结合了“现实世界的验证”和“安全的加密技术”,确保即使在AI技术高度发达的未来,也能有效区分人类和AI。PHC并不仅仅是一个简单的数字证书或加密密钥,而是通过离线验证与在线身份保护相结合,确保用户的身份真实性和隐私保护。这种设计使得PHC成为一种可以信赖的身份认证方式,尤其是在信息泛滥、AI技术高速发展的背景下,PHC有望成为未来数字身份认证的标准之一。
VTK—vtkCutter截取平面数据
weixin_69505365的博客
08-18 653
本例 vtkCutter可以配合隐式函数截取数据使用vtkPlane隐式函数配合vtkWidget截取任意平面。初始时隐式函数平面定位在包络框中心,法线指向Z轴正方向。可以使用其他类型的数据测试。4.使用vtkPlaneWidget交互定位切割平面。4.3鼠标左键点击平面+CTRL键可使平面绕法线旋转。4.1小部件四角拖动可调整平面显示大小。4.2鼠标左键点击平面可以任意拖动。4.5鼠标中键可以沿着法线拖动平面。4.4拖动箭头可改变平面角度。3.配置vtkCutter。
微软AI人工智能认证有哪些?
最新发布
Candy_2302的博客
08-20 688
简单来说:微软人工智能认证证书(英文名:Azure AI Fundamentals)是由微软官方最新研发的一项有关人工智能的认证证书。微软AI人工智能证书分为两个等级: 初级:AI900认证 中级:AI102认证 可直接考中级,无需先通过初级!
C/C++实现蓝屏2.0
fzy20110826的博客
08-15 2072
C/C++实现蓝屏2.0
全新分支版本!微软推出Windows 11 Canary Build 27686版
weixin_41446370的博客
08-16 709
已经很久没有看到 Windows 11 全新的分支版本了,今天微软发布 Windows 11 Canary 新版本,此次版本号已经转移到 Build 27xxx,首发版本为 Build 27686 版。此次更新带来了多项改进,包括 Windows Sandbox 沙盒功能切换到 Microsoft Store 更新,修改 FAT32 格式的大小,更新 VHD 虚拟磁盘的挂载等。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8918
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值