Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等1

最新推荐文章于 2024-07-15 15:20:27 发布
最新推荐文章于 2024-07-15 15:20:27 发布
阅读量107 收藏
点赞数
文章标签: shell

Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等1

endurer 原创
2008-09-11 第1

今天一位朋友的电脑最近反应很慢,请偶帮忙检修。

打开任务管理器,发现一个名为kcodn32.exe的陌生进程,终止了。

用pe_xscan 扫描 log 分析,发现如下可疑项:


/===
pe_xscan 08-08-01 by Purple Endurer 
2000-9-11 17:36:12 
Windows XP Service Pack 2(5.1.2600) 
MSIE:6.0.2900.2180 
管理员用户组 
正常模式 

[System Process]  0 
   2004-8-8 7:41:14 
   2000-7-9 7:44:43 
   2001-7-9 7:42:53 
   2001-7-9 7:42:47 
   2001-7-9 7:42:40 
   2001-7-9 7:42:34 
   2001-7-9 7:42:27 
   2001-7-9 7:42:21 
   2001-7-9 7:42:14 
   2001-7-9 7:42:8 
   2001-7-9 7:42:1 
C:/WINDOWS/System32/winlogon.exe 640  1979-12-31 16:0:0  Microsoft(R) Windows(R) Operating System  5.1.2600.2180  Windows NT Logon Application  (C) Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  winlogon  WINLOGON.EXE 
   2004-8-8 7:41:0 
   2004-8-8 7:41:14 
   2000-7-9 7:44:43 
C:/WINDOWS/System32/services.exe 684  2004-8-17 4:0:0  Microsoft(R) Windows(R) Operating System  5.1.2600.2180  Services and Controller app  (C) Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  services.exe  services.exe 
   2004-8-8 7:41:0 
   2004-8-8 7:41:14 
   2000-7-9 7:44:43 
C:/WINDOWS/System32/lsass.exe 696  2004-8-17 4:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  LSA Shell (Export Version)  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  lsass.exe  lsass.exe 
   2004-8-8 7:41:0 
   2004-8-8 7:41:14 
   2000-7-9 7:44:43 
C:/WINDOWS/System32/svchost.exe 840  2004-8-17 4:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  Generic Host Process for Win32 Services  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  svchost.exe  svchost.exe 
   2004-8-8 7:41:0 
   2004-8-8 7:41:14 
   2000-7-9 7:44:43 
   2008-7-5 23:58:35 
   2001-7-9 7:42:53 
   2001-7-9 7:42:47 
   2001-7-9 7:42:40 
   2001-7-9 7:42:34 
   2001-7-9 7:42:27 
   2001-7-9 7:42:21 
   2001-7-9 7:42:14 
   2001-7-9 7:42:8 
   2001-7-9 7:42:1 
R3 - URLSearchHook: SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} -



O2 - BHO - {38093456-9012-4568-9076-908765467183} = 2004-8-8 7:41:14 
O2 - BHO - {43512378-9874-5641-1025-985420368734} = 2004-8-8 7:41:35 
O2 - BHO - {57AC9076-C898-B098-D098-A18319080975} = 2004-8-8 7:41:0 
O2 - BHO SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} = 2008-6-27 13:54:4 
O3 - IE工具栏: 快捷工具条3.21 - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} = 2008-6-27 13:54:3 

O4 - HKLM/../Run: [SVCHOST]
O4 - HKLM/../Policies/Explorer/Run: [kcodn]



O20 - AppInit_DLLs = ,,,,,,,,,,,,


O21 - SSODL - dpvvoxmh.dll(0) - {00070007-0007-0007-0007-00070007BB15} = 2001-7-9 7:42:1 
O21 - SSODL - adsntzt.dll(0) - {00010001-0001-0001-0001-00010001BB15} = 2001-7-9 7:42:8 
O21 - SSODL - cliconfgzx.dll(0) - {00050005-0005-0005-0005-00050005BB15} = 2001-7-9 7:42:14 
O21 - SSODL - msobjstl.dll(1) - {00170017-0017-0017-0017-00170017BB15} = 2001-7-9 7:42:21 
O21 - SSODL - bootvidgj.dll(0) - {00030003-0003-0003-0003-00030003BB15} = 2001-7-9 7:42:27 
O21 - SSODL - tscfgwmijxsj.dll(3) - {00330033-0033-0033-0033-00330033BB15} = 2001-7-9 7:42:34 
O21 - SSODL - dispexcb.dll(0) - {00060006-0006-0006-0006-00060006BB15} = 2001-7-9 7:42:40 
O21 - SSODL - ksuserfy.dll(1) - {00130013-0013-0013-0013-00130013BB15} = 2001-7-9 7:42:47 
O21 - SSODL - imgutilhx2.dll(0) - {00300030-0030-0030-0030-00300030BB15} = 2001-7-9 7:42:53 
O23 - 服务: 682247f847c41458 (682247f847c41458) -(手动) 
O23 - 服务: 807937ac67f36f77 (807937ac67f36f77) -(手动) 
O23 - 服务: aa12ddf439b88b16 (aa12ddf439b88b16) -(手动) 
O23 - 服务: HiddFldy (HiddFldy) - 2000-7-9 7:43:0(自动) 
O23 - 服务: mscodesrv () -  runsrv /name:"mscodesrv" /prinum:"32" /inter /cmdline: -PSSP S-1-5-21-2000478354-842925246-1202660629-500" (自动) 
O24 - ShlExecHook: [5] - {55694105-5108-9405-3695-954187462155} = 2004-8-8 7:40:46 
O24 - ShlExecHook: [6] - {6C648541-1025-9650-9057-6541258720C6} = 2004-8-8 7:40:53 
O24 - ShlExecHook: [5] - {57AC9076-C898-B098-D098-A18319080975} = 2004-8-8 7:41:0 
O24 - ShlExecHook: [4] - {4D698451-2015-6358-9871-2015987452D4} = 2004-8-8 7:41:7 
O24 - ShlExecHook: [3] - {38093456-9012-4568-9076-908765467183} = 2004-8-8 7:41:14 
O24 - ShlExecHook: [4] - {40618412-C528-C784-C056-C164D1F7C504} = 2004-8-8 7:41:21 
O24 - ShlExecHook: [2] - {25FD6584-698F-BCD2-602C-698745210352} = 2004-8-8 7:41:28 
O24 - ShlExecHook: [4] - {43512378-9874-5641-1025-985420368734} = 2004-8-8 7:41:35 
O24 - ShlExecHook: [5] - {528DF602-9541-A985-210A-984A698C6F25} = 2004-8-8 7:41:41 
O24 - ShlExecHook: [4] - {49109876-7619-9101-7012-901938475194} = 2004-8-8 7:41:48 
O24 - ShlExecHook: [4] - {470165F1-9F65-569F-F895-F14F58F41074} = 2004-8-8 7:41:55 
O24 - ShlExecHook: [5] - {00070007-0007-0007-0007-00070007BB15} = 2001-7-9 7:42:1 
O24 - ShlExecHook: [5] - {00010001-0001-0001-0001-00010001BB15} = 2001-7-9 7:42:8 
O24 - ShlExecHook: [5] - {00050005-0005-0005-0005-00050005BB15} = 2001-7-9 7:42:14 
O24 - ShlExecHook: [5] - {00170017-0017-0017-0017-00170017BB15} = 2001-7-9 7:42:21 
O24 - ShlExecHook: [5] - {00030003-0003-0003-0003-00030003BB15} = 2001-7-9 7:42:27 
O24 - ShlExecHook: [5] - {00330033-0033-0033-0033-00330033BB15} = 2001-7-9 7:42:34 
O24 - ShlExecHook: [5] - {00060006-0006-0006-0006-00060006BB15} = 2001-7-9 7:42:40 
O24 - ShlExecHook: [5] - {00130013-0013-0013-0013-00130013BB15} = 2001-7-9 7:42:47 
O24 - ShlExecHook: [5] - {00300030-0030-0030-0030-00300030BB15} = 2001-7-9 7:42:53 
O24 - ShlExecHook: [c] - {8942ff57-5cf4-4ef5-9ffa-1b6d48b4d3fc} = 2000-7-9 7:44:43 
O24 - ShlExecHook: [5] - {6351a63c-4042-433a-a64f-6974e875f835} = 2000-7-9 7:44:50 
O24 - ShlExecHook: [4] - {9a5eed2d-0604-4b25-afc7-f1fd43093b14} = 2000-7-9 7:44:56 
O26 - IFEO: Client.exe ->
HKLM/SHOWALL 类型非dword
===/


(未完待续)

iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
trojan-1.16.0-win.zip
04-01
trojan
trojan-qt5.app.zip
04-06
标题 "trojan-qt5.app.zip" 暗示我们正在处理一个可能包含恶意软件的压缩文件,其中的“trojan”一词通常用于指代特洛伊木马病毒。特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它...
瑞星杀软的信息中心带Trojan.DL.VBS.Agent.cns?
Purpleendurer@CSDN
06-03 2401
endurer 原创2007-06-03 第1版电脑开机进入桌面后,瑞星自动开始扫描,随即报告 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/124161561552.tmp  感染 Trojan.DL.VBS.Agent.cns经检查,打开其它网站的网页,没有问题,但只要打开瑞星杀毒程序就会报毒。仔细一看瑞星杀软的信息中心,发现居然是:毒软件2007版--信息中心
pe_xscan 新增加对一个较少见的启动项的扫描,DIY了INI文件读取部分
Purpleendurer@CSDN
06-25 1336
这个新增的 启动项 是在 瑞星卡卡安全助手 里发现的发现Windows  提供的INI文件操作API读取到的数据有时不完整,于是自已写了一个INI文件读取分析的代码  
飞鸟小说 springboot mongodb开源小说建站系统推荐
解忧小童子
02-09 980
飞鸟小说 springboot mongodb 开源小说建站系统
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2
Purpleendurer@CSDN
06-25 2194
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2endurer 原创2008-06-25 第1版(续1)先修正电脑日期,然后下载 DrWeb CureIt!扫描。同时下载 bat_do、FileInfo 提取文件信息,打包备份,延时删除。接着下载 瑞星卡卡安全助手清理恶意程序
gcc-linaro-5.3.1 arm-linux-gnueabi ubuntu64 linux身份证读卡器开发包源码
广东东信智能科技有限公司的专栏
05-16 995
问题汇总: linux 操作系统是32位还是64位? 32位 硬件架构是 x86, arm, mips? arm 你们开发板运行的程序是交叉编译码生成的吗? 交叉编译的环境是什么样的?(ubuntu32/ubuntu64/win32/win64 具体版本) ubuntu64 如果不是交叉编译, 是否是像树莓派这种开发板 直接在开发板编译的? 交叉编译 编译链是什么 gcc-linaro-5.3.1 arm-linux-gnueabi 身份证读卡器支持什么接口的? 支持USB 和RS232串口 0.接入.
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
描述中提到的“Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic”进一步确认了这是一个跨平台的蠕虫木马源代码,是用REALBasic编程语言编写的。REALBasic是一种基于Basic的集成开发...
AxureRP 9.0.0.3714.7z
09-30
1. **绘图与布局**:Axure RP 提供了多种图形元素和形状,用户可以通过拖放操作轻松创建页面布局。它支持网格系统,确保设计的精确性,同时也允许自由模式以适应更具创意的设计需求。 2. **组件库**:内置丰富的...
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1
Purpleendurer@CSDN
06-17 1560
修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1endurer 原创 2008-06-17 第1版一位网友的电脑,最近桌面上的“我的电脑”图标变了,瑞星总发现三个病毒,并提示下启动时删除,但重启电脑后病毒仍然存在。请偶帮忙检修。下载 pe_xscan 扫描 log并分析,发现如下可疑项: /===pe_xscan 08
And history has yielded plenty of shocks
congqu2020的博客
10-15 723
VATICAN CITY Cardinals from all over gather this week in a conclave to elect a new pope following the stunning w...
一个U盘居然带了三个病毒文件Ghost.pif,cmdwin.exe,servet.exe
Purpleendurer@CSDN
07-20 1933
一个U盘居然带了三个病毒文件Ghost.pif,cmdwin.exe,servet.exeendurer 原创2007-07-20 第1版下午,一位同事拿U盘过来用。用WinRAR查看,居然有三个病毒文件。文件说明符 : I:/Ghost.pif属性 : ASH-获取文件版本信息大小失败!创建时间 : 2007-7-12 9:3:34修改时间 : 2007-7-18 16:48:14访
来都来了,你确定不看看,使用python中的科学计算库Numpy操作数组,你一定能学废(图文并茂版)
但行好事,莫问前程
10-28 510
Numpy操作数组Numpy库Numpy库的介绍Numpy库的安装:python中数组与列表对比列表:数组:数组的创建使用array方法创建数组注意:ndmin,dtype参数的使用使用arange方法创建数组使用random(随机数)方法创建数组其它方式创建数组数组对象的属性数组的切片与索引改变数组的维度数组的转置Numpy聚合函数 Numpy库 Numpy库的介绍 NumPy(Numerical Python) 是科学计算基础库,提供大量科学计算相关功能,比如数据 统计,随机数生成等。其提供最核心类型
遭遇Trojan.DL.Multi.wfg(sss.exe、SCVHOST.EXE、autorun.inf)等
Purpleendurer@CSDN
12-22 5117
endurer 原创2006-12-23 第2版 补充修订2006-12-22 第1版昨天下午,一位朋友的电脑接入U盘后弹出错误信息框,提示找不到A盘什么的,关了又调出来。让我帮忙看看。用WinRAR打开U盘,发现文件 autorun.inf 和 sss.exe,删除后又立即生成。到 http://endurer.ys168.com 下载 HijackThis 和 ProcView
[原创]jQuery小插件-collapsible
weixin_34357962的博客
01-08 131
在制作网站,特别是小组或者论坛这一类的页面的时候,经常会遇到一件事,就是要将“帖子”折叠起来,这时通常会有这样的html 1 <div id="post1"> 2     <div id="title1">标题</div> 3     <div id="content1">内容</div> 4 &amp
触发器的应用(商店打折)
diaohuaizhi1261的博客
06-16 180
--用户信息表create table useres( u_id number(13,0) primary key, username varchar2(50) not null, password varchar2(20) not null, name varchar2(50), sex char(4), birthday date, phonenum va...
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等1
Purpleendurer@CSDN
09-06 2708
遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等1 endurer 原创2008-09-06 第1版   一位朋友说他的电脑开机后提示ctfmon.exe出错,未能进入桌面,黑屏无显示,进入安全模式也一样。请偶帮忙检修。   使用带命令提示符的安全模式启动,还可以登录,运行pe
第二节 shell脚本基础(5)(6)(7)
最新发布
weixin_73298423的博客
07-15 405
shell的执行方式,调试和退出值
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值