WINDOWS中恶意的DLL

最新推荐文章于 2021-01-30 14:38:33 发布
最新推荐文章于 2021-01-30 14:38:33 发布
阅读量1.6k 收藏
点赞数
文章标签: windows service c manager 浏览器 network

 O2 - BH IEHandle Class - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:/WINDOWS/system32/TPHANDLE.dll(不知道是什么咚咚,好像也比较常见.)
    
    O2 - BH BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} - C:/Program Files/HBClient/hapast.dll(很棒小秘书之类的大垃圾.)

    O2 - BH CAP Class - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} - C:/WINDOWS/system32/dtap.dll(这个超级垃圾插件了,算是比较顽固吧.具体删除办法看下篇"顽固文件删除通用方法".)

    O2 - BH WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:/Program Files/WhenUSearch/search.dll(这个是真正的垃圾,网络猪的什么划词搜索,超垃圾,请找到"添加删除程序"中删除.)

    O2 - BH MacroMediapd - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} - C:/WINDOWS/system32/microapmddt.dll(
  microapmddt.dll 这个文件看起来是值得怀疑的,建议修复并删除)

    O2 - BH std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/SYSTEM32/stdup.dll(恶意广告插件)

    O4 - 启动项HKLM//Run: [rundll32] C:/WINDOWS/System32/SHELLEXT/rundll32.exe (恶意网站“搜易网”后门,到 system32 下删除 dtservice.dll 或 dtservic.dll 文件,搜易网网址:http://www.sooe.cn ,要记下这个*种.)

    O4 - HKLM/../Run: [NTdhcp] C:/WINDOWS/system32/NTdhcp.exe(这文件一定要删除,很出名的啊,NTdhcp.exe就是阿拉QQ大盗了,你的QQ请注意删除后修改密码了)
    
    O4 - HKLM/../Run: [MoveSearch] C:/Program Files/HuaCi/huaci/zsearch.exe(极品垃圾插件,划词搜索)
    
    O4 - HKCU/../Run: [expIorer.exe] C:/WINDOWS/expIorer.exe(请看其名字 expIorer.exe ,正确的应为 explorer.exe 那个是 大写 i 而不是 字母 L .)
    
    O4 - HKLM/../Run: [Update] C:/WINDOWS/System32/Update.exe(开名字就知绝对有问题,修复后请确认文件是否还存在,建议用冰刃 IceSword 删除文件,此进程可隐藏.)
    
    O4 - HKLM/../Run: [res] C:/WINDOWS/System32/res.exe(这个是???出现在不应出现的目录,是否装过一些软件?你去看看文件属性能够吧)
    
    04 - HKLM/../Run: [nwiz32] c:/windows/system32/nwiz32.exe(一个专门盗取工商银行账号、密码的木马病毒.比较狠毒.如果装有遨游或TT浏览器的,最好去浏览器目录看看有没有什么可以的文件.包括微软的 IE 浏览器.)

    O4 - HKLM/../Run: [hbpassport] H:/PROGRA~1/HBClient/hbast.exe(很棒小秘书?我操TMM的,最讨厌,某次安装一个软件帮了这个,我气得把那软件都删了.)
     
     
    O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:/WINDOWS/system32/mbprot.dll
    
    
    O20 - Winlogon Notify: NavLogon - C:/WINDOWS/system32/NavLogon.dll(可能会导致IE发生错误.)

    O23 - Service: QQFace (Universal Disk Manager) - Unknown owner - C:/Program Files/Common Files/SAND/qqfacerclient.exe(这个服务很多,具体不知道是什么,看名字好像什么 QQ 表情?没理由吧.还要开服务?去死,加入被删行列.)

    O23 - Service: SDAgent Service (SDAgentService) - Unknown owner - C:/Program Files/Common Files/smartde/sde.exe(看其名字好像不大顺眼?有这个程序的相关介绍吗?我找不到.)

    O23 - Service: VNC Server (winvnc) - Unknown owner - c:/winsock/winvnc/winvnc.exe" -service(是远程控制软件相关程序还是"恶邮差"病毒?反正不是好东西.)

    O23 - Service: sysytem (system) - Unknown owner - C:/WINDOWS/sysytem.exe(看名字就知道也不是什么好东西了.杀)

    O23 - Service: Universal Disk Manager - Unknown owner - C:/Program Files/Common Files/SANDF/diskman.exe(什么时候连 diskman 都开始有服务了?新版?)

    O23 - Service: Servers - Unknown owner - C:/WINDOWS/comie.exe(看存在的目录和名字就知道不是什么好东西.)

    O23 - Service: Net Logan (Net Logon) - Unknown owner - C:/WINDOWS/printor.exe(这个有问题, Windows 目录应该没有这个文件,请认真检查下属性,看不顺眼就 KO 它,99%恶意软件.)

    O23 - Service: .Net Boot Service - Unknown owner - C:/WINDOWS/system32/big5_gb2312.exe(这个最近很常见,具体是什么咚咚,我也不清楚,呵呵.)

    O23 - Service: Local Network Service - Unknown owner - C:/WINDOWS/system32/SeedServ.exe
    O23 - Service: Local Network Service - Unknown owner - C:/WINDOWS/system32/URLSrv.exe(这2个经常一起出现的,好像有问题,看名字就不顺眼了.)

    O23 - Service: Gray_Pigeon_Server2.0 (GrayPigeonServer2.0) - Unknown owner - C:/WINDOWS/G_Server2.0.exe(这个不用多说了,典型灰鸽子.)

    O23 - Service: Smarytcer RSVPE (RSVPE) - Unknown owner - C:/WINDOWS/RSVPE.exe(暂不清楚是否是病毒或木马,我就是看它不顺眼.呵呵.)

aijevol
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
双击某些*.dll文件会自动打开很多非法网页,为什么!
myvolitation的专栏
07-14 1272
电脑里某些*.dll(如:found000.dll、found001.dll等)文件双击后,ie会自动打开许多诸如**激情、**交友等网页,而且打开速度快数量多,让你关都关不及,多次杀毒也没有结果,请问这是怎么回事,改如何处理?
恶意代码分析实战——Lab03-02.dll分析篇
m0_46687377的博客
11-02 3977
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9267
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间分配一块内存
恶意代码分析实战——vmware--->Dll注入恶意分析
aming小老弟
01-30 825
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
近300个 Windows 10 可执行文件易受 DLL 劫持攻击
smellycat000的专栏
06-28 5612
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队一个简单的VBScript就能使用户获得管理员权限并完全绕过Windows 10的UAC。英国普华永道公司的安全研究员...
evildllDLL劫持的恶意DLL(反向Shell)生成器
02-21
EvilDLL v1.0作者:github.com/thelinuxchoiceTwitter:twitter.com/linux_choice在使用此代码的任何部分之前,请先阅读许可证:) DLL劫持的恶意DLL(Win Reverse Shell)生成器特征:使用Ngrok.io反向TCP端口转发...
Windows-DLL-Injector:为x86和x64 Windows OS进程实现的C ++的某些DLL注入技术
05-27
它可以用于隐藏另一个进程恶意活动,并以某种方式绕过防病毒检测每个人都有其优点和缺点在这里,我们已经实现了5/7技术 CreateRemoteThread(通过windows.h通过Windows Win32 API) NtCreateThread(通过ntdll....
DLL文件修复软件(强力修复)Repair.exe
最新发布
01-30
Windows系统,有一些常见的系统修复软件,例如Windows Repair。它可以帮助用户修复Windows系统的各种问题,包括注册表权限问题、IE问题、自动更新问题、防火墙问题等。 使用系统修复软件时,需要注意以下几...
dll劫持技术
06-24
Dll劫持,其实攻击的方法说白了就是偷梁换柱。将一些恶意DLL文件伪装成Windows的动态链接库,由于某些软件在调用Windows动态链接库的时候会先搜索本目录下的,因此就导致了伪装DLL文件的执行。
伪linkinfo.dll恶意程序的彻底解决方法
02-04
3、有两个文件C:\WINDOWS\AppPatch\AcSpecf.dll,C:\WINDOWS\system32\drivers\eth8023.dll无法删除,或删除后又自己冒出来(这东东,好像就是病根.应特别注意). 4、360安全卫士的实时保护不停检测到Trojan/Win32....
恶意代码分析实战-启动一个恶意DLL
weixin_30662109的博客
01-11 331
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以可以用run...
恶意广告程序shellpro.dll
Sheen Space
09-29 871
<br />欢迎访问我的新博客,地址 www.sheenspace.wordpress.com<br /> <br />最近几天每次机器重启后都会弹出一个windows消息框<br /> <br /><br /> <br />似乎是某程序要访问public document目录失败,很可能是前几天访问某国绿色软件网站并下载某绿色软件安装后开始出现的症状。打开Task Manager,右键单击提到的windows消息框项目,选择Go to Process,可以跳到具体的进程项目,<br /><br /> <
DLL劫持原理&防御方法
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
通过劫持explorer.exe的dll文件来实现权限维持
热门推荐
Shanfenglan's blog
11-12 10万+
CATALOG前言操作过程对抗方法参考文章 前言 这是一种主动的后门触发方式,只要对方主机重启机器的操作,就会触发我们之前设置的dll。系统在启动时默认启动进程explorer.exe,如果劫持了COM对象MruPidlList,就能劫持进程explorer.exe,实现后门随系统开机启动,相当于是主动后门。而劫持MruPidlList劫持注册表的一个{42aedc87-2188-41fd-b9a3-0c966feabec1}CLSID,将其的键值换成恶意dll即可。 操作过程 更改注册表劫持MruPi
恶意代码编写DLL实验
雩停
03-11 866
实验要求 编写一个DLL,并将其导出成函数,可被其他程序调用。 实验内容 本次实验使用环境为Visual Stadio 2017,打开VS 2017,新建项目 -> Visual C++ -> Windows桌面 -> Windows控制台应用程序,选择要保存的路径,并为项目命名(我将其命名为DLLpractice),点确定。 在项目目录下会生成许多文件,打开DLLpracti...
通过系统DLL读写INI
luoxianglin0970的专栏
01-27 801
#region 为INI文件指定的节点取得字符串         ///         ///   为INI文件指定的节点取得字符串         ///         /// 欲在其查找关键字的节点名称         /// 欲获取的项名         /// 指定的项没有找到时返回的默认值         /// 指定一个字串缓冲区,长度至少为n
windows 2008修复dll
12-17
修复Windows 2008DLL文件可能需要几个步骤来解决问题。首先,您可以尝试使用系统自带的工具来修复DLL文件。在命令提示符下,输入“sfc /scannow”并按下回车键,系统会自动扫描并修复损坏的DLL文件。 如果系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值