恶意广告程序shellpro.dll

最新推荐文章于 2024-10-10 10:48:05 发布
最新推荐文章于 2024-10-10 10:48:05 发布
阅读量897 收藏
点赞数 2
分类专栏: 系统/软件 文章标签: windows manager 脚本 go ie c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sy8111/article/details/5913267
版权

欢迎访问我的新博客,地址 www.sheenspace.wordpress.com

 

最近几天每次机器重启后都会弹出一个windows消息框

 

 

似乎是某程序要访问public document目录失败,很可能是前几天访问某中国绿色软件网站并下载某绿色软件安装后开始出现的症状。打开Task Manager,右键单击提到的windows消息框项目,选择Go to Process,可以跳到具体的进程项目,

Go to Process

 

是一个陌生的rundll32.exe进程,如下:

Rundll32.exe command

 

可以确定其中的shellpro.dll就是肇事程序,看参数shellsethome,猜测该程序的目的是把IE主页设成某地址。搜索程序启动项,找到启动脚本:C:/Users/Ying/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/start.vbs

 

 

set ws = WScript.CreateObject("WScript.Shell")

ws.Run "rundll32.exe /c shellpro.dll shellsethome", 0

在c:/windows/system32/下找到shellpro.dll,安装源位置c:/windows/programsetup。删除启动脚本,删除shellpro.dll和programsetup目录,问题解决。

sy8111
关注
专栏目录
OPCDaAuto.dll组件
06-02
总的来说,OPCDaAuto.dll组件是C#开发OPC应用时的关键工具,正确安装和使用它能有效解决无法读取OPC服务器列表的问题,使你的应用程序能够顺利地与OPC服务器进行通信,实现数据的高效传输和处理。在开发过程中,熟悉...
恶意代码分析实战——Lab03-02.dll分析篇
妙蛙种子吃了都会妙妙秒的妙脆角的博客
11-02 4127
** 恶意代码分析实战——Lab03-02.dll分析篇 ** 一、分析对象 Lab03-02.dll 二、实验环境(本次一切实验环境均在vmware虚拟机下进行) 1、kall虚拟机 2、win10虚拟机(在恶意代码分析中建议使用winxp,但是在xp环境下不支持一些现今的工具,所以在今后的实验中使用win10环境) 3、本次实验在由kall与win10虚拟机组成的虚拟网络环境中,vmware虚拟网络环境的搭建方法见《恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境》一文。 三、实验工
DLL 劫持原理(运维),2024年最新跟Linux运维初学者分享几点经验
2301_82101171的博客
04-13 749
那么最终Windows2003以上以及win7以上操作系统通过“DLL路径搜索目录顺序”和“KnownDLLs注册表项”的机制来确定应用程序所要调用的DLL的路径,之后,应用程序就将DLL载入了自己的内存空间,执行相应的函数功能。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
恶意代码--dll动态链接库注入目标进程隐藏自身(亲测win7x86和x64有效)
关注互联网安全的小虾米一枚
10-25 9404
0x01 dll 注入简介 所谓DLL注入就是将一个DLL放进某个进程的地址空间里,让它成为那个进程的一部分。 很多恶意代码,游戏外挂,盗号木马,顽固类病毒等程序均采用此寄生,隐藏在目标计算机之内。 0x02 dll 注入关键API VirtualAllocEx function VirtualAllocEx函数在远程进程的地址空间中分配一块内存
WINDOWS恶意DLL
aijevol的网上小窝
04-18 1698
 O2 - BH IEHandle Class - {31EBA2E2-58B2-4980-9C41-F12F5F1422C5} - C:/WINDOWS/system32/TPHANDLE.dll(不知道是什么咚咚,好像也比较常见.)         O2 - BH BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} - C:/Pr
恶意代码分析实战——vmware--->Dll注入恶意分析
aming小老弟
01-30 903
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
TSCLIB.dll和TSCActiveX.dll扩展程序
04-19
DLL文件是Windows系统中的一种共享库,其中包含可由多个程序同时调用的函数和资源,以此提高效率和减少磁盘空间占用。 TSC打印机,全称为TSC Auto ID Technology Co., Ltd. 打印机,是一家专注于条形码、二维码和...
libmysql_e.dll文件
10-26
标题 "libmysql_e.dll文件" 指涉的是MySQL客户端连接库的一个动态链接库(DLL)文件,这个文件在Windows操作系统中是Navicat for MySQL客户端正常运行所必需的组件。当用户尝试启动Navicat for MySQL时,如果系统找...
MySql.Data.dll8.0类库
11-26
MySQL.Data.dll是MySQL数据库连接器的一个重要组成部分,主要用于C#和其他.NET Framework应用程序与MySQL服务器进行交互。这个8.0版本的类库提供了丰富的API,使开发者能够方便地执行SQL查询、管理数据库对象以及...
version.dll 劫持源代码
01-08
然而,有些恶意软件或黑客会利用`version.dll`进行劫持,以达到控制或干扰程序运行的目的。本篇文章将深入探讨`version.dll`劫持的概念、技术细节以及如何通过源代码实现这一行为。 ### 1. `version.dll` 劫持的...
ECSHOP我买整站源码带测试数据+APP源码+ecshop3.6新版后台
03-25
我买综合商品模板整站带数据全开源源码 ! 压缩包有安装说明 不懂可以留言!在某宝花30大洋买的 分享给大家!亲测可以使用!由于演示数据图片太大 删除部分测试图片!
ecshop手机客户端SZHMobile演示(安卓版)
05-24
SZH-Mobile 是一款基于Ecshop的跨平台移动商城客户端,使用国内最先进的Hybrid混合开发框架 appcan 开发, 使用了最新的jsmarty智能模板引擎,用户体验更加流畅。
最新恶意广告IS_0518(_IS_ISC.DLL)的删除方法
技术性劳动
10-31 1277
1.重启进入安全模式(启动时按F8)2.使用dos命令删除下列文件1) windows/backup/*.*2) windows/downloaded program files/_IS_*.*3) windows/downloaded program files/_IS_0518/*.* 注意:*、一定要在dos窗口删除。删除文件的命令是del,记住要在文件所在目录下删除哦*、downloade
Adware.Roogoo恶意广告程序的手动清除
尘雨::执着VC
07-23 2021
前几天,因为误下载了一个广告程序安装包,运行之后,几乎所有的垃圾插件都被强制安装。经过10分钟左右的手工清理(不太信任杀毒软件,也不安装杀毒软件),基本清除完毕。只剩下一个quartz32.dll 被大多数进程包括系统进程使用,在中止了了大量的进程的情况下,这个文件也被删除了,还包括msplus.dll这样的文件。由此噩梦出现了,当我重新启动计算机,发现再也无法与网络连接,也不能访问任何网站用
DLL劫持原理&防御方法
热门推荐
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
JE被黑 被挂木马
hety
04-21 176
view-source:http://www.iteye.com/ [code="html"][/code] view-source:http://wmg.dsg67.cn/d1/13/index.htm [code="html"] [/code] view-source:http://wmg.dsg67.cn/d1...
恶意代码分析实战-启动一个恶意DLL
weixin_30662109的博客
01-11 360
如果不能把恶意代码运行起来,那么动态分析基础技术没有什么用。 Windows版本中包含rundll32.exe程序,提供了一个运行DLL的平台。 rundll32.exe Dllname,Export arguments Export值必须是一个DLL文件导出函数表中的函数名或者序号。 PEID可以看导出函数表。 图1 Install就像是启动rip.dll的一个入口,所以可以用run...
C语言预处理详解(上)(30)
最新发布
tan180°的博客
10-10 885
C语言的入门学习差不多要到尾声了,感觉如何呢~前文说编译的第一步就是预编译(即预处理),那具体这个阶段会做哪些工作呢?正文开始!在C语言中,有一些有意思的预定义符号,这些预定义符号都是语言内置的,即以及定义好的,我们可以直接使用。// 实际项目可能会有用__FILE__ //进行编译的源文件__LINE__ //文件当前的行号__DATE__ //文件被编译的日期__TIME__ //文件被编译的时间__FUNCTION__ //进行编译的函数。
利用VFW在Delphi中开发视频捕获程序——avicap.dll解析
"本文主要介绍了avicap.dll视频控制原理,特别是在Delphi中利用VFW (Video for Windows) SDK开发视频捕获程序的方法。VFW是一个微软提供的数字视频软件包,支持从模拟视频源获取数字化视频剪辑。文章分为三个部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值