遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1

最新推荐文章于 2024-07-26 14:22:46 发布
最新推荐文章于 2024-07-26 14:22:46 发布
阅读量252 收藏
点赞数
文章标签: 操作系统 shell

遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1

endurer 原创
2008-05-19 第1

上午帮一位同事的电脑装软件,进入命令提示符状态进行操作时,感觉特别卡,打开 msconfig.exe 检查开机启动项,发现了 pe_xscan 的 log中的部分 O4 项,才知道电脑中标了,不过在GUI界面下操作倒不觉得卡,可见机子硬件配置好,中了标也不倒~

下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块有省略):

/===
pe_xscan 08-04-26 by Purple Endurer 
2008-5-19 9:20:34 
Windows XP Service Pack 2(5.1.2600) 
MSIE:6.0.2900.2180 
管理员用户组 
正常模式 

[System Process]  0 
<nobr>  <font color="#ff0000">C:/WINDOWS/system32/SysDaJHv.dll </font><font color="#008000">|</font> 2008-5-18 14:8:1 <font color="#008000">|</font> Microsoft(R) Windows(R) Operating System <font color="#008000">|</font> 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222) <font color="#008000">|</font> Windows XP MSPLAY API DLL <font color="#008000">|</font> (C) Microsoft Corporation. All rights resad. <font color="#008000">|</font> 5.1.2600.3099 <font color="#008000">|</font> Microsoft Corporation <font color="#008000">|</font> Microsoft <font color="#008000">|</font> msplay32 <font color="#008000">|</font> msplay32</nobr>
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
   2008-5-18 23:59:20 
   2008-5-18 14:8:50 
   2004-8-8 14:29:16 
   2004-8-8 14:28:40 
   2004-8-8 14:27:6 
   2004-8-8 14:28:38 
   2008-5-18 14:7:38 
   2008-5-18 14:8:26 
   2008-5-18 14:9:1 
   2008-5-18 14:6:45 
   2008-5-18 14:6:56 
   2008-5-18 14:6:34 
   2008-5-18 14:6:23 
   2008-5-18 14:5:48 
   2008-5-18 14:5:38 
   2008-5-18 14:6:11 
   2008-5-18 14:5:27 
   2008-5-18 14:5:13 
   2008-5-18 14:5:3 
   2008-5-18 14:4:44 
   2008-5-18 14:3:47 
   2008-5-18 14:3:28 
   2008-5-18 14:4:35 
   2008-5-18 14:4:25 
   2008-5-18 14:4:54 
C:/WINDOWS/system32/winlogon.exe 640  2005-12-14 16:0:0  Microsoft(R) Windows(R) Operating System  5.1.2600.2180  Windows NT Logon Application  (C) Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  winlogon  WINLOGON.EXE 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
C:/WINDOWS/system32/services.exe 732  2005-12-14 16:0:0  Microsoft(R) Windows(R) Operating System  5.1.2600.2180  Services and Controller app  (C) Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  services.exe  services.exe 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
C:/WINDOWS/system32/lsass.exe 744  2005-12-14 16:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  LSA Shell (Export Version)  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  lsass.exe  lsass.exe 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
C:/WINDOWS/system32/svchost.exe 996  2005-12-14 16:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  Generic Host Process for Win32 Services  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  svchost.exe  svchost.exe 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
C:/WINDOWS/Explorer.EXE 1824  2005-12-14 16:0:0  Microsoft(R) Windows(R) Operating System  6.00.2900.2180  Windows Explorer  (C) Microsoft Corporation. All rights reserved.  6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  explorer  EXPLORER.EXE 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
   2008-5-18 14:8:50 
   2004-8-8 14:27:6 
   2004-8-8 14:28:38 
   2004-8-8 14:28:40 
   2004-8-8 14:29:16 
   2008-5-18 23:59:20 
   2008-5-18 14:3:28 
   2008-5-18 14:3:47 
   2008-5-18 14:4:25 
   2008-5-18 14:4:35 
   2008-5-18 14:4:54 
   2008-5-18 14:4:44 
   2008-5-18 14:5:3 
   2008-5-18 14:5:13 
   2008-5-18 14:5:27 
   2008-5-18 14:5:38 
   2008-5-18 14:6:11 
   2008-5-18 14:5:48 
   2008-5-18 14:6:23 
   2008-5-18 14:6:34 
   2008-5-18 14:6:45 
   2008-5-18 14:8:26 
   2008-5-18 14:6:56 
   2008-5-18 14:7:38 
   2008-5-18 14:9:1 
   2002-1-10 7:4:37  usrinit Module  1, 0, 0, 1  usrinit Module  Copyright 2006  1, 0, 0, 1   ?  usrinit  usrinit.DLL 
C:/WINDOWS/SoundMan.exe 508  2006-10-18 13:47:14  工程1  1.00 ? ?  1.00  1 ?  di2  di2.exe 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
 2256  2007-12-11 9:43:36  Microsoft 应用程序  1, 0, 0, 1  Microsoft 基础类应用程序  版权所有 (C) 2005  1, 0, 0, 1     
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
   2008-5-18 14:8:50 
   2004-8-8 14:27:6 
   2004-8-8 14:29:16 
   2004-8-8 14:28:40 
   2004-8-8 14:28:38 
   2008-5-18 14:7:38 
   2008-5-18 14:8:26 
   2008-5-18 14:9:1 
   2008-5-18 14:6:45 
   2008-5-18 14:6:56 
   2008-5-18 14:6:34 
   2008-5-18 14:6:23 
   2008-5-18 14:5:48 
   2008-5-18 14:5:38 
   2008-5-18 14:6:11 
   2008-5-18 14:5:27 
   2008-5-18 14:5:13 
   2008-5-18 14:5:3 
   2008-5-18 14:4:44 
   2008-5-18 14:3:47 
   2008-5-18 14:3:28 
   2008-5-18 14:4:35 
   2008-5-18 14:4:25 
   2008-5-18 14:4:54 
   2008-5-18 23:59:20 
C:/WINDOWS/system32/conime.exe 2112  2005-12-14 16:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  Console IME  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  Console  CONIME.EXE 
   2008-5-18 14:8:1  Microsoft(R) Windows(R) Operating System  5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)  Windows XP MSPLAY API DLL  (C) Microsoft Corporation. All rights resad.  5.1.2600.3099  Microsoft Corporation  Microsoft  msplay32  msplay32 
   2008-5-18 14:3:19 
   2008-5-18 14:7:8 
   2008-5-18 14:7:49 
   2008-5-18 14:5:59 
   2008-5-18 14:7:26 
   2008-5-18 14:4:6 
   2008-5-18 14:4:16 
   2008-5-18 14:8:13 
   2008-5-18 14:8:38 
   2008-5-18 14:51:9 
   2008-5-18 23:59:20 
   2008-5-18 14:8:50 
   2004-8-8 14:27:6 
   2004-8-8 14:28:40 
   2004-8-8 14:29:16 
O2 - BHO - {35694105-5108-9405-3695-954187462153} -
O2 - BHO - {398C9B84-4EF7-47B5-9862-DE29543B3C42} -
O2 - BHO - {3C648541-1025-9650-9057-6541258720C3} -
O2 - BHO - {3C8D1401-A58D-A81C-CD24-A5915C4517C3} -
O2 - BHO IEInit Class - {5B02EBA1-EFDD-477D-A37F-05383165C9C0} -
O2 - BHO - {6490415F-65F8-B5C5-D8BA-9405FB120546} -
O2 - BHO ChinaBuy Class - {85FAEA13-9C62-4917-8571-B35C563A1943} -
O2 - BHO FavHook Class - {CD8BFE70-5809-4C73-9EEE-E5672C2B79D7} -
O4 - HKLM/../Run: [RealTray]
O4 - HKLM/../Run: [fmsiocps]
O4 - HKLM/../Run: [anistio]
O4 - HKLM/../Run: [dionpis]
O4 - HKLM/../Run: [hefcndy]
O4 - HKLM/../Run: [tciocp64]
O4 - HKLM/../Run: [fmsbbqi]
O4 - HKLM/../Run: [bincdwsa]
O4 - HKLM/../Run: [dbhlp32]
O4 - HKLM/../Run: [fmsjhif]
O4 - HKLM/../Run: [kangitxp]
O4 - HKLM/../Run: [ptshell]
O4 - HKLM/../Run: [ticisms]
O4 - HKLM/../Run: [huifitc]
O4 - HKLM/../Run: [yuiabct]
O4 - HKLM/../Run: [mfchlp64]
O4 - HKLM/../Run: [dndsioc]
O4 - HKLM/../Run: [WINSvr64]
O4 - HKLM/../Run: [fmbiost]
O4 - HKLM/../Run: [cinfonmc]
O4 - HKLM/../Run: [isndntio]

O4 - HKLM/../Policies/Explorer/Run: [usrinit]
O4 - HKLM/../Policies/Explorer/Run: [WinAutoUp]
O4 - HKLM/../Policies/Explorer/Run: [adsnt]
O4 - HKLM/../Policies/Explorer/Run: [bdwinrun]
O20 - AppInit_DLLs =,,,,,,,,,,,,, 
O23 - 服务: cqit (cqit) -(自动) 
O23 - 服务: drop (drop) -(自动) 
O23 - 服务: fmsq (fmsq) -(自动) 
O23 - 服务: helpsvc (Help and Support) - 2006-12-14 6:29:29  工程1  1.00 ? ?  1.00  1 ?  note  note.exe(自动) 
O23 - 服务: jtio (jtio) -(自动) 
O23 - 服务: mnsf (mnsf) -(自动) 
O23 - 服务: msfpfis64 (msfpfis64) - 2008-5-18 14:4:6(自动) 
O23 - 服务: msp2p32 (msp2p32) - 2008-5-18 14:3:11(自动) 

O23 - 服务: ping (ping) -(自动) 
O23 - 服务: ptfs (ptfs) -(自动) 
O23 - 服务: XPROTECTOR (XPROTECTOR) - 2006-2-2 17:54:55(自动) 
O23 - 服务: zftp (zftp) -(自动)
O26 - IFEO: 360Loader.exe -> svchost.exe
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360safe.exe -> ntsd -d
O26 - IFEO: 360safebox.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: adam.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: AgentSvr.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: AppSvc32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ati2evxx.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: autoruns.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: avconsol.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: avgrssvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: AvMonitor.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: avp.com -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: avp.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: CCenter.exe -> ntsd -d
O26 - IFEO: ccSvcHst.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ctfmon.exe -> SoundMan.exe
O26 - IFEO: egui.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: esafe.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: FileDsty.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: FTCleanerShell.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: HijackThis.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: IceSword -> svchost.exe
O26 - IFEO: IceSword.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: idag.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: Iparmor.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: isPwdSvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kabaload.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kaccore.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KaScrScn.SCR -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KASMain.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KASTask.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAV32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVDX.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVPF.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVPFW.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVSetup.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVStart.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kavsvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KAVsvcUI.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KISLnchr.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kissvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kmailmon.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KMFilter.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KPFW32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kpfwsvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KPPMain.exe -> ntsd -d
O26 - IFEO: KRegEx.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KRepair.com -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KsLoader.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVCenter.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KvDetect.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVFW.EXE -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KvfwMcl.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVMonXP_1.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kvol.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kvolself.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KvReport.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVScan.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVsrvXP.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVStub.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: kvupload.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KVwsc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KWatch.exe -> ntsd -d
O26 - IFEO: KWatch9x.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: KWatchX.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: MagicSet.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: mcconsol.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: mmqczj.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: mmsk.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: navapsvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: Navapw32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: nod32krn.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: NPFMntor.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: OllyDBG.EXE -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: OllyICE.EXE -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: PFW.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: PFWLiveUpdate.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: procexp.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: QHSET.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: QQDoctor.exe -> ntsd -d
O26 - IFEO: QQKav.exe -> ntsd -d
O26 - IFEO: qqsc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ras -> svchost.exe
O26 - IFEO: Ras.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rav.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: RavMon.exe -> ntsd -d
O26 - IFEO: RavMonD.exe -> ntsd -d
O26 - IFEO: ravstub.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ravtask.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ravtimer.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: ravtool.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: RegClean.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: regtool.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rfwmain.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rfwproxy.exeFYFireWall.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rfwsrv.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rfwstub.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: rising.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: Rsaupd.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: runiep -> svchost.exe
O26 - IFEO: runiep.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: safebank.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: safeboxTray.exe -> ntsd -d
O26 - IFEO: safelive.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: scan32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: shcfg32.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: SmartUp.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: SREng.EXE -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: symlcsvc.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: SysSafe.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: tqat.exe -> ntsd -d
O26 - IFEO: TrojanDetector.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: Trojanwall.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: TrojDie.kxp -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UIHost.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UmxAgent.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UmxAttachment.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UmxCfg.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UmxFwHlp.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UmxPol.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: UpLive.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: vsstat.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: webscanx.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: WinDbg.exe -> C:/WINDOWS/system32/svchost.exe
O26 - IFEO: WoptiClean.exe -> C:/WINDOWS/system32/svchost.exe
HKLM/SHOWALL 值非1
===/
(未完待续)
iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
gdfyug的博客
02-18 694
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
trojan-1.16.0-win.zip
04-01
trojan
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2
Purpleendurer@CSDN
04-15 1752
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2endurer 原创2008-04-15 第1版(续1)开始修复~到 http://purpleendurer.ys168.com下载bat_do和FileInfo并运行,到 http://tool.kaka.com 下载安装瑞星卡卡安全助手并运行,扫描出4个流氓软件,清除它们,接着切换到[高级
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
Purpleendurer@CSDN
06-16 3325
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2endurer 原创 2008-06-16 第1版(继1)到 http://purpleendurer.ys168.com下载 FileInfo、bat_do。先用FileInfo 提取log中的红色标记的文件的信息,然后把log中的红色标记的文件加入/拖入 bat_do,全选,用
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
Purpleendurer@CSDN
06-13 1618
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1endurer 原创 2008-06-13 第1版 一位朋友说最近他的电脑中的瑞星杀毒软件和防火墙软件的实时监控图标不见了,电脑反应很慢,请偶帮忙检修。下载 pe_xscan 扫描 log 并分析,发现如下可疑项:pe_xscan 08-04-26 by Purple Endu
Trojan/Win32.QQpass.wsy[stealer]分析
安全小站
08-25 1925
Trojan/Win32.QQpass.wsy[stealer]分析 出处:安天实验室 时间:2011年8月22日   病毒标签   病毒名称:Trojan/Win32.QQpass.wsy[stealer]
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗1
Purpleendurer@CSDN
04-14 1360
装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗1endurer 原创2008-04-14 第1版  一位朋友因为QQ医生提示发现盗号木马,从网站下载卡巴斯基8想要查杀病毒,不实安装完成后电脑非常卡,无法操作……让他重启电脑到带网络连接的安全模式下,下载 DrWeb CureIt!扫描,查杀出了一些病毒,正常启动,故障依旧……让偶帮忙检修~  按C
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
Trojan-Qt5-Windows.1.1.6.rar
01-27
【标题】"Trojan-Qt5-Windows.1.1.6.rar" 是一个与恶意软件相关的压缩包文件,特别提到了"Trojan Client",这通常指的是特洛伊木马病毒的一个客户端版本。特洛伊木马是一种设计用于欺骗用户的计算机程序,表面上看...
遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
Purpleendurer@CSDN
05-21 2894
遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2endurer 原创2008-05-21 第1版(续:遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1)到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do,用FileInf
www.zhsws.com/admin.php,WebShell/DJ团队.asp at master · xl7dev/WebShell · GitHub
热门推荐
weixin_36238982的博客
04-01 41万+
#@~^d24BAA==]/2Kxk+R~E6W+MPxYMEn@#@&rx,3DMWD,]n/!:PH+aO,@#@&/D.AzfxE@!/m.raY~VmUTECT+{\4kmMrwDP.ElOxk+D7nD@*J@#@&dOD~bG'dY.$zf'J&WP"+5;/YcErJ'm^rxOhlk/hKD9'JrJb@!@*JEErPK4nx,?+kdrW`rJ:...
。。。。看毛片算法_(:з」∠)_ /FZU - 2275
lx233
06-10 1万+
参考1: 链接 “这个是我当时学的时候学长推荐我看的”(然而太长了。。。。。我看不懂……  最后好难受_(:з」∠)_饭也不要吃的) 然后看了精简版的...然后就明白了_(:з」∠)_ 【有关解释】(part) (1)模式串向右移动的位数为:失配字符所在位置 - 失配字符对应的next 值 next 数组各值的含义:代表当前字符之前的字符串中,有多大长度的相同前缀后缀。   此也意味着在某...
下载Trojan-PSW.Win32.QQPass.ra等恶意程序的政府网站
Purpleendurer@CSDN
12-01 4499
endurer 原创2006-12-01 第1版 网页首部被加入两段代码:代码段1:/---------<iframe height=0 width=0 src="hxxp://ip-ie.www***113.cnidc.cn/w***m/"></iframe>----------/w***m.htm的内容为的内容为 escape( ) 加密的代码,解密后的内容为 JavaScript 脚本程
遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass
Purpleendurer@CSDN
11-20 3214
遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等endurer 原创2007-11-20 第1版今天中午,一位网友说她的电脑中毒了,开不了网页,让偶通过QQ远程协助帮忙检修。先看瑞星的历史记录:/---病毒名称 处理结果 扫描方式 路径 文件 病毒来源Trojan.Win32.Mnless.zjb 删除成功 手动扫描 C:/W
关于 Trojan.PWS.QQPass 病毒 清除
老朱的专栏
07-10 1468
2008-07-10 杀毒软件 赛门铁克(Symantec AntiVirus企业版) 报如下提示:扫描类型: 实时防护 扫描事件: 已发现病毒!病毒名称: Trojan.PWS.QQPass文件: C:\WINDOWS\system32\OICQPASS.EXE位置:C:\WINDOWS\system32计算机:C1123C8E60B0455用户:Administrator采用的操作:清除 失败...
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1
Purpleendurer@CSDN
03-19 2071
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1endurer 原创2008-03-19 第1版一位网友今天说他的电脑中了QQ盗号木马,按QQ医生的提示重启电脑也不能解决,请偶帮忙清理。下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块中重复的部分有省略):
Linux网络工具“瑞士军刀“集合
最新发布
分享不一样的技术,与你一起共同成长!
07-26 248
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除其中所有值名为“Trojan-Downloader.Win32.Agent.bbb”的键值。 3. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的文件。在开始菜单中输入“cmd”打开命令提示符,输入“dir %SystemDrive%\ /a /s /b | findstr Trojan-Downloader.Win32.Agent.bbb”查找所有Trojan-Downloader.Win32.Agent.bbb木马相关的文件,并删除它们。 4. 清除系统垃圾文件。在开始菜单中输入“cleanmgr”打开磁盘清理工具,选择要清理的磁盘,并勾选“临时文件”、“下载文件”等垃圾文件,点击“确定”清理系统垃圾文件。 5. 更新杀毒软件并进行全盘扫描,确保系统没有其他病毒和恶意软件。 6. 最后,重启电脑,确保所有更改生效并且Trojan-Downloader.Win32.Agent.bbb木马已经被完全清除。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值