又遇劫持浏览器的Trojan.StartPage.tns/nwlnksipx.sys

最新推荐文章于 2024-09-12 20:58:18 发布
最新推荐文章于 2024-09-12 20:58:18 发布
阅读量108 收藏
点赞数
文章标签: 操作系统

endurer 原创
2007-05-07 第1

昨天一位朋友说他的电脑查杀出了病毒,让偶帮助看看。

下载了 pe_xscan 扫描 log 并分析,发现如下可疑项:

pe_xscan 07-03-17 by Purple Endurer
2007-5-6 10:35:46
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO IEObject Class - {5F5422F7-7159-4CB6-BE7D-2C7EED492762} - C:/PROGRA~1/COMMON~1/yehoo/yehoo.dll

O4 - Global Startup: -20676.lnk -> C:/WINDOWS/system32/-20676.exe
O4 - Global Startup: -20844.lnk -> C:/WINDOWS/system32/-20844.exe
O4 - Global Startup: rdgjhd.lnk -> C:/WINDOWS/system32/rdgjhdi.exe

O23 - 服务: nwlnksipx (nwlnksipx) - C:/WINDOWS/system32/drivers/nwlnksipx.sys(自动)

用 HijackThis 和 瑞星卡卡安全助手修复,再用auto_del 在下次启动时删除 nwlnksipx.sys。

这个东东曾在 遭遇万能搜索(WANSO,Trojan.AdPlayer.a)等 中遇到过。

文件说明符 : c:/windows/system32/drivers/nwlnksipx.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : NWLINK2 SIPX Protocol Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : nwlnksipx.sys
源文件名 : nwlnksipx.sys
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2007-5-6 10:32:30
大小 : 6144 字节 6.0 KB
MD5 : cbb860ee6715a2a968d19d0cd5eaaa7e

Kaspersky 报为 Trojan.Win32.StartPage.amo,瑞星 报为 Trojan.StartPage.tns

Scanned file: nwlnksipx.sys - Infected

nwlnksipx.sys - infected by Trojan.Win32.StartPage.amo

Statistics:

Known viruses:315008Updated:07-05-2007
File size (Kb):6Virus bodies:1
Files:1Warnings:0
Archives:0Suspicious:0
iteye_6637
关注
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe
03-19
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
开源推荐:StartPage - 您的新标签页定制专家
gitblog_00036的博客
06-13 470
开源推荐:StartPage - 您的新标签页定制专家 startpagea simple and customisable startpage项目地址:https://gitcode.com/gh_mirrors/sta/startpage 在数字时代中,我们的浏览器新标签页成了通往互联网世界的门户,一个高效且个性化的起始页面可以极大地提升工作和浏览效率。今天,我要向大家强烈推荐一款名为“St...
病毒周报
weixin_30872733的博客
12-06 1344
“偷取者”(Trojan/Win32.BHO.anbp)威胁级别:★★ 该病毒为木马类,病毒运行后衍生病毒文件到系统目录下,并删除自身。修改注册表,添加启动项,以达到随机启动的目的。病毒的dll文件随IEXPLORER.EXE进程的启动而启动,进行劫持浏览器,键盘记录等相关病毒行为。主动连接网络,开启本地端口,下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播,可以进行劫持浏...
Trojan.StartPage
03-23 4342
[提示] Trojan.StartPage 病毒名称:Trojan.StartPage [Symantec] 发现日期:2006年1月 其他名称: Trojan-Proxy.Win32.Agent.iu [Kaspersky]、Generic BackDoor.w [McAfee]、 Dropped:Generic.Malware.Sdldsp.969BE097 [Bitdefender]、pro
中标了,Trojan/Hijack.v木马病毒怎么解决?
互联网碎碎念
04-15 4248
把里面的DefaultConnectionSettings和SavedLegacySettings全删除,重启电脑即可。发现以上办法+网络上出现的搜索注册表关键字等办法都无法解决。电脑进入安全模式,然后进入注册表找到。火绒只是提示有病毒木马,并未解决。往下拉找到 Internet选项。下载下面的软件 一键修复注册表。下载最新版本360系统急救箱。连接 – 局域网设置。
Trojan.AVKill.19646
Purpleendurer@CSDN
04-20 741
文件说明符 : D:\用户目录\Documents\WeChat Files\wxid_urve4wh33v7822\FileStorage\File\2023-04\0161035ed0c7e5e443d63ab5f16ed924.exe。感觉电脑最近使用起来有点异常,先用360卫士全盘查杀,未发现木马。其实这个文件是有版本信息的,只是FileInfo没能读取出来,看来需要进一步升级完善了。创建时间 : 2023-4-20 3:6:0。修改时间 : 2023-4-20 3:6:0。
Unix.Trojan.Agent-37008木马查杀
carry的博客
11-12 2239
最近一天突然发现公司网络出问题了,时不时就断网,起初行政部门联系网络运营商,以为是他们那边的网络故障,而且刚开始运营商说是光猫可能出故障了,已经在给我们安排发一个新的过来。光猫还没收到,宽带管理人员发现光猫被内网发出的大量数据给卡死的,让我们排查一下内网设备。 于是我们赶紧登录路由查日志,发现路由也会被卡死,在某一段时间内突然发送大量数据到某个IP地址。第一反应是内网机器中毒了,一排查发现是从gitlab服务器发出去的。正好这台服务器平常是我来管理,这下解决这个问题成了我一个人的事,头大。。。 于此
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
10年职场两茫茫,35岁凄凉奈若何
06-29 5673
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
Trojan.Win32.Scar.cjdy分析
chasdmeng的专栏
09-29 3456
前记:         这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。 一、病毒标签: 病毒名称:Trojan.Win32.Scar.cjdy 病毒类型:下载类、感染型程序 文件 MD5:2EFC5A7D29B43AD8B0C02047AF7B4ED5 公开范围:完全公开 危害等级:3
火绒安全软件(安全防护软件)官方中文标准版V5.0.62.4 | 火绒杀毒软件官网下载
08-15
火绒安全软件 是目前国内极少数专注安全防护软件领域集‘杀、防、管、控’于一体的良心软件,具有资源占用小、高查杀、低误杀、多重防护、弹窗广告拦截器、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等...
js.scob.trojan.nasl
11-08
js.scob.trojan
【Linux】:信号与信号产生
最新发布
Yikefore的博客
09-12 785
信号的基本概念、对信号的理解、信号的多种产生方式以及核心转储的详细介绍!
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 879
Linux中最强权限维持rootkit
DOS脚本分析
YJlio的博客
09-11 271
S-1-5-19是本地服务帐户的安全标识符(SID),通常用于判断是否有足够的权限。:该行命令生成一个VBScript文件,通过Shell对象以管理员权限重新运行当前批处理文件(%~f0表示当前脚本的完整路径,runas表示以管理员权限运行)。else:如果ping失败(即网络连接中断状态),则显示提示信息并进入pause,等待用户按键,然后重新检查网络连接。ping *** >nul:通过ping命令检测指定服务器(***)是否有效。||: 表示如果前面的命令失败,则执行后面的部分。
Trojan.MPE
02-22
Trojan.MPE是一种恶意软件,属于特洛伊木马(Trojan)的一种。它是一种隐藏在看似正常程序或文件中的恶意代码,用于入侵和控制受感染计算机。Trojan.MPE通常通过电子邮件附件、下载不安全的软件或访问被感染的网站等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值