手动清除超猛木马群:NewSys55.Sys msosfpids32.sys msosdohs.dll msosmhfp00.dll msosmnsf00.dll

最新推荐文章于 2021-03-18 09:03:52 发布
最新推荐文章于 2021-03-18 09:03:52 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 病毒木马分析 文章标签: dll ie 工具 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coding_hello/article/details/2280677
版权

        昨晚下班回家,老爸说机器不行了,总出错。一开机就看到explorer.exe报错,关了,开ie,ie报错,md,肯定是中毒了。注册表看了看,App_inits挂了3个dll:  msosdohs.dll msosmhfp00.dll msosmnsf00.dll。于是去c:/windows/system32下搜索之,没有!奇怪。用process explorer.exe查找这3个动态库,都找不到。莫非是永乐rootkit技术的驱动型木马?拿出IceSword,一运行报错,他大爷!换了个名字改成my.exe,运行正常。在一看进程模块信息,果然大部分进程中都有这三个dll。都在windows/system32目录里面。没啥说得了,仅安全模式杀之。

 

上面是所有找到的样本,分别在c:/windows, c:/windows/system32, c:/windows/system32/drivers以及c:/program files/internet explorer/plugins下面。一个个找出来删掉吧。有几个文件是我在安全模式之前就copy出来了的,因为有文件隐藏的rootkit,所以复制出来以后我在名字中检查入了下划线。_in_drivers表示位置。对应关系为:

m_s_o_s_f_p_i_d_s_32_in_drivers.sys  ------------> msosfpids32.sys

m_s_o_s_d_o_h_s.dll------------------------------------->msosdohs.dll

m_s_o_s_m_h_f_p_0_0.dll------------------------------>msosmhfp00.dll

m_s_o_s_m_n_s_f_0_0.dll------------------------------>msosmnsf00.dll

p_o_p_in_drivers.sys--------------------------------------->pop.sys

删完了之后,用SReng之类的工具扫描一下注册表和启动文件,把相关的一大堆键值和服务删掉,总算搞定。

        最近忙,没工夫分析这群狗日的是咋干活的了。

野男孩
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
解决 编译 CheatEngine55 中的sys 的问题
冷血封情 的专栏
07-10 2779
今天下了个CheatEngine55看看,在编译时出了点小问题,编译时出现以下错误提示:error - no 'object' file generated 1>f:\cheatengine55src\dbkkernel\ntifs.h(2628) : error C2011:
DLL注入练习之注册表主表-AppInit_DLLs表项
RickGray
06-04 5913
上一遍介绍了DLL远程注入的基本原理,在这篇文章中,就来看看另一个DLL注入的方法,注册表DLL注入。 其实注册表注入相对远程DLL注入来说更简单、更方便一点,只需在注册表中修改AppInit_DLLs和LoadAppInit_DLLs的键值即可。 (User32.dll被加载到进程时,会获取AppInit_DLLs注册表项,若有值,则调用LoadLibrary() API加载用户DLL。所有
XueTr0.21 (比冰刃IceSword还强的软件)
03-05
这是一款比冰刃IceSword还强的软件,支持所有WinNT内核系统。(包含Windows7) 2009-03-01 0.21版本: 1.修正SPI名字少一个字母Bug(感谢dl123100指出) 2.修正检测到可疑驱动对象会显示服务名Bug(感谢dl123100和曲版指出) 3.修正数字签名把smss.exe检测为没有签名bug(感谢qdk2000指出) 4.几个窗口可以最大化了 5.支持进程和dll模块分上、下两层同时显示(在进程部分右键点"在下方显示模块窗口") 6.修正xueTr清除ppxx回调时程序假死Bug 7.新增禁止创建注册表键(值) 8.新增删除文件时候占坑功能 9.新增查看文件锁定情况功能 2009-02-16 0.20版本: 1.支持windows 7(由于win7还处于beta阶段,我也不知道它的确切Build号,现在默认大于6900是win7,目前程序可以在Build:7000的系统上正常运行) 2.加入数字签名,进程部分右键菜单--->查找没有数字签名的模块,会扫描系统中所有进程的模块 3.线程部分也有点改动,加了线程入口所在模块 4.防了消息钩子模块对XueTr的注入(可能会导致一些美化的系统中,XueTr的界面变丑,暂时不想处理这个问题了),另目前无法防止App_Inits模块的注入,这个暂时不想加了(加这个需要大改动,以后有时间会考虑) 5.对抗伪进程Id 6.XueTr启动的时候,会检测是否有线程注入到XueTr,并给出提示 7.内核模块部分,对有对应服务的,显示的时候会显示出其服务名 8.还修改了几个Bug,不表 2009-02-05 0.19版本: 1.新支持对exFAT文件系统的解析 2.新增了结束进程时候删除进程文件 3.对一些有文件全路径的地方,增添了文件厂商属性 2009-02-02 0.18版本:(本版更新纯是为了解决系统挂机Bug而临时升级的一个版本) 1.增强了启动项检测 2.进程部分右键菜单增加了查找进程模块功能 3.解决了内核模块检测部分的误报可疑驱动对象Bug(感谢dl123100指出) 4.解决了程序非正常结束,下一次启动系统死掉Bug(感谢dl123100和angel13th指出) 2009-01-30 0.17版本: 1.增加了卸载消息钩子 2.增加了枚举窗口,和对窗口的操作 3.增加了禁止待机、注销、关机和重启功能 2009-01-26 0.16版本: 1.界面语言自适应(在中文操作系统上是中文,其它操作系统是英文) 2.注册表部分引入了Hive分析,默认是不开启,如果要使用可以用"使用Hive分析"菜单,选择了这个就不会用驱动获取注册表了 3.加了自我保护 4.增加禁止创建进程、线程、文件以及禁止加载模块和消息钩子模块注入功能 5.改了几个界面的小问题,我的界面写作能力很菜,不表了 6.还增强了下内核模块钩子检测(还有提升空间,不想搞了) 2009-01-17 0.15版本: 1.进程部分,加入了挂起、恢复进程(线程)功能 2.文件部分加入了NTFS、FAT32、FAT16文件磁盘解析,本功能默认开启,可以用"开启物理磁盘分析"菜单关闭 2009-01-06 0.14版本: 1.新增ObjectType Hook检测功能(这个功能的实现参考了sudami写的文章,感激) 2.修正无法列举移动存储介质(U盘等)里的文件bug(感谢annybaby指出) 3.修正File和Rigister显示界面,当多次最小化最大化后,树形控件宽度逐渐变窄bug(感谢li58指出) 2009-01-02 0.13版本: 1.调整界面 2.新增操作IE插件、SPI、启动项、服务、映像劫持、Host文件等功能 3.修正一处filter显示bug(感谢dl123100指出) 2008-12-22 0.12版本: 1.解决在装有微点机器下全是白板的问题 2008-12-11 0.11版本: 1.修正有些机器全是白板问题
mysql dmp.gz数据库恢复_Oracle 数据库备份与恢复总结-exp/imp
weixin_42554394的博客
02-17 285
1.1基本命令1.获取帮助$ exp help=y$ imp help=y2.三种工作方式(1)交互式方式$ exp// 然后按提示输入所需要的参数(2)命令行方式$ exp user/pwd@dbname file=/oracle/test.dmp full=y// 命令行中输入所需的参数(3)参数文件方式$ exp parfile=username.par// 在参数文件中输入所需...
使用web.py 搭建服务器
butyesbutno的专栏
12-29 2570
有很多python的web框架,web.py是一个轻量级Python web框架。她并不是使用很多的一个。 但并不妨碍她的简单实用。搭建一个嵌入式web服务器最好不过。 下面把笔者搭建过程做一个介绍: 1. 下载python 2.7.8 ,做交叉编译,需要依据自己的平台做修改: ./configure make python Parser/pgen mv python python_for
Sys.Net.XMLHttpExecutor 类总结
denghuaken9487的博客
10-02 70
Sys.Net.XMLHttpExecutor Class 使用XMLHTTP产生一个异步请求. varexecutor=newSys.Net.XMLHttpExecutor(); XmlHttpExecutor类是默认的执行者和是一个WebRequestExecutor抽像类的实现.因为默认执行者已经被设置,你不能创建这个 类的实例并且和它相...
git 删除分支提示: The branch '***' is not fully merged.
热门推荐
jiangbo721的博客
11-21 1万+
git 在删除分支的时候可以使用git branch -d featurename 也可以是git branch -D featurename 其中是有区别的 git branch -d 的时候如果本地分支没有被合并就会提示这个问题 git branch -D 是强制删除,所以直接执行 强制删除就好了。 ...
MATLAB设计控制系统仿真实验,《MATLAB Simulink与控制系统仿真》实验报告.docx
weixin_32129195的博客
03-18 2589
《MATLAB Simulink与控制系统仿真》实验报告.docxMATLAB/Simulink 与控制系统仿真实验报告专 业 班 级 学 号 姓 名 指导教师 实验 1、MATLAB/Simulink 仿真基础及控制系统模型的建立一、实验目的1、掌握 MATLAB/Simulink 仿真的基本知识;2、熟练应用 MATLAB 软件建立控制系统模型。二、实验设备电脑一台;MATLAB 仿真软件一个...
LeetCode1166.设计文件系统
FussyCat的博客
03-04 574
leecode题链接:LeetCode1166.设计文件系统 题目描述: 你需要设计一个能提供下面两个函数的文件系统: create(path, value): 创建一个新的路径,并尽可能将值 value 与路径 path 关联,然后返回 True。如果路径已经存在或者路径的父路径不存在,则返回 False。 get(path): 返回与路径关联的值。如果路径不存在,则返回 -1。 “路径” 是由一个或多个符合下述格式的字符串连接起来形成的:在 / 后跟着一个或多个小写英文字母。 例如 /leetcode
NewSys_2020-4-27.rar
04-27
abb机器人以串口通讯获取产品的二维码信息,从二维码的的内容获取码垛产品的长宽高,同时以PC进行以太网通讯对比产品的信息,从而进行智能码垛。该程序可作为同类项目的程序模板做为参考,欢迎各位兴趣爱好者下载。
南大通用GBase8s SQL常用SQL语句(十).docx
09-23
PARTITION sys_p6 TO PARTITION newsys_p6; 四、重新定位范围或区间分片 MODIFY子句也可以用于重新定位范围或区间分片。例如,以下语句将范围分片p1从dbs1移动到dbs2: ALTER FRAGMENT ON TABLE tab2 MODIFY ...
教务系统,包含成绩录入查询部分、顶岗实习填报部分、毕业设计过程管理部分,使用ssm框架写成.zip
最新发布
01-02
在"NewSys-master"这个目录下,源代码应该按照Maven或Gradle等构建工具的结构组织,包括src/main/java目录下的业务逻辑代码、src/main/resources下的配置文件(如Spring配置、MyBatis映射文件)、以及src/main/...
GNU/Linux Newsys-开源
05-03
对于经验丰富的linux系统管理员来说,这个发行版非常容易安装和管理。 除了软件包管理之外,没有配置工具等妨碍您的操作。
Getting started with 3G | ip.access nano3G+OpenBSC+Osmocom-bb Part 1
weixin_34336526的博客
11-15 257
Getting started with 3G | ip.access nano3G+OpenBSC+Osmocom-bb Part 1 English Version could be find at Osmocom.org https://osmocom.org/projects/cellular-infrastructure/wiki/Acc...
网游:新三国策IV的加解密机制分析及外挂方面的思考
coding_hello的专栏
05-24 4724
注意:本文为纯粹的技术研究,请勿用于不法用途           以前一直没太关注网络游戏外挂这方面的东西。前几天跟同事聊天,听他说起外挂这事儿,于是周日就下了一个网游:新三国策IV,随便玩儿一下,顺便分析其认证及数据报文加解密的算法。           这款游戏登陆时候的用户名及密码认证的安全性实在是不敢恭维。用户名是明文传递,密码只是经过了简单的加密运算,就在网络上传递用户的关键信息
看cgx视频的,中毒了吧?
coding_hello的专栏
02-08 2463
        最近以cgx,zbz,a gill为代表的娱乐界狠狠地输出了一下价值观阿,嗯,挺好。但是一小撮流氓团伙借机发布带木马的假视频,很不和谐~!昨天就有哥们中招了,于是简单看了一下。其特征是:1.会生成一个服务,服务名为SYSTEM,描述为:系统自带的一款清理磁盘工具2.C:/Program Files目录下生成sachost.exe,还有setupway.txt3.C:
利用NativeAPI的内存映射进行代码注入的新方式,至少我以前没见过~
coding_hello的专栏
06-07 2378
代码注入的技术现在已经相当普及了,几个主要的方式包括      A.动态库利用CreateRemoteThread()调用LoadLibrary的远程注入      B.动态库安装全局钩子被映射到所有进程空间      C.打开要注入的进程,用VirtualAllocEx分配块空间将代码copy过去,然后CreateRemoteThread执行      D.使用调试API的Get
使用TIP指令实时查询朗讯CDMA基站底噪方法
"本文主要介绍了如何使用朗讯CDMA设备中的TIP指令查询基站底噪,探讨了阿朗基站查询底噪的两种常规方法,并详细阐述了通过TIP指令查询不同基站类型(如4400、Compact4.0、9222等)底噪的步骤。" ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值