遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2

2024-01-01 17:10

本文主要是介绍遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

endurer 原创
2007-06-10 第1

(续)

pe_xscan 的 log 中的 O26 项就是列出的就是映像劫持,可以看到 HijackThis、卡卡安全助手、毒霸的程序榜上有名。

另外,WinRAR开一会就会被关掉,重启电脑时选择以安全模式启动后,机子直接重启了。

由于regedit.exe没有被映像劫持,所以可以直接打开,删除注册表中的O26(映像劫持)的项目和O23的项目。

下载Dr.Web CureIt!查杀了一次,有几个注入系统进程的DLL要will be cured after reboot。

运行FreeDLL。
到 http://endurer.ys168.com 下载IceSword,并改名运行,卸掉注入[System Process] * 0的可疑DLL模块,再用FreeDLL从所有进程卸掉可疑DLL模块。


用 bat_do 删除可疑文件 和 D、E、F盘上的 autorun.inf 和 06B4D0BF.exe。

重新下载安装卡卡安全助手,处理 O4,O24 和 025。

由于时间关系,只把其中一部分可疑文件发到了邮箱,Dr.Web CureIt!的扫描日志文件也没有发到邮箱。

文件说明符 : C:/windows/Kvsc3.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:35:26
修改时间 : 2007-6-10 7:59:28
访问时间 : 2007-6-9 0:0:0
大小 : 5448 字节 5.328 KB
MD5 : fb952bb5c32fa9b8cef8e46da750a928

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.tw,瑞星报为 Trojan.PSW.OnlineGames.bnr

文件说明符 : C:/windows/system32/000.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:22:21
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-6-9 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7

Kapsersky 报为 Trojan-Downloader.Win32.Delf.bjy,瑞星报为 Trojan.DL.Small.vax

文件说明符 : C:/Program Files/Common Files/Microsoft Shared/MSINFO/06B4D0BF.dll
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:57:46
访问时间 : 2007-6-11 0:0:0
大小 : 46675 字节 45.595 KB
MD5 : 7face3453c0f9e1d4c541daeed12058a

Kapsersky 报为 Worm.Win32.Delf.cc,瑞星报为 Worm.Agent.wk

文件说明符 : C:/PROGRA~1/COMMON~1/MICROS~1/MSINFO/06B4D0BF.dat
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc

Kapsersky 报为 Worm.Win32.Delf.cc,瑞星报为 Worm.Agent.wk

文件说明符 : c:/windows/system32/msdebug.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:44
修改时间 : 2007-6-10 7:59:46
访问时间 : 2007-6-11 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 6023cb050eca231c1329cf46b8d7fadc


文件说明符 : c:/windows/system32/lyloader.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:19
修改时间 : 2007-6-10 7:59:20
访问时间 : 2007-6-11 0:0:0
大小 : 10336 字节 10.96 KB
MD5 : c92163fc0a87d4091f8e099d93916599
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.nn,瑞星报为 Trojan.PSW.XYOnline.qe

文件说明符 : c:/windows/system32/lyloadmr.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 19:7:35
修改时间 : 2007-6-10 20:13:18
访问时间 : 2007-6-11 0:0:0
大小 : 8048 字节 7.880 KB
MD5 : cbe55415ba598b685f5d9152f643b0eb

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.te,瑞星报为 Trojan.PSW.OnlineGames.ccy


文件说明符 : F:/06B4D0BF.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:54
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc

文件说明符 : D:/test/jh[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:11:3
修改时间 : 2007-6-10 7:59:44
访问时间 : 2007-6-10 0:0:0
大小 : 18320 字节 17.912 KB
MD5 : 4cc8a79ad12727deac582d5cd74680ae

Kapsersky 报为 Trojan-Proxy.Win32.Small.du,瑞星报为 Trojan.PSW.OnlineGames.caw


文件说明符 : C:/WINDOWS/system32/nwiztlbu.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:13:53
修改时间 : 2007-6-10 7:59:48
访问时间 : 2007-6-10 0:0:0
大小 : 10260 字节 10.20 KB
MD5 : 66c45db57837d5d3f779ecda9c5018c4

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rc,瑞星报为 Trojan.PSW.OnlineGames.cfg


文件说明符 : D:/test/bpakwh.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:18:37
修改时间 : 2005-5-25 17:19:2
访问时间 : 2007-6-10 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 85dd0607cd69ab0773b58e0dbc7bb498

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rt,瑞星报为 Trojan.PSW.WoWar.ahn


文件说明符 : D:/test/~tmp6334.exe
属性 : ----
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-10 22:21:29
修改时间 : 2007-5-25 17:13:30
访问时间 : 2007-6-10 0:0:0
大小 : 17789 字节 17.381 KB
MD5 : 1f96f269d4c3ab049cf039ee5092511d

Kapsersky 报为 Backdoor.Win32.Agent.ahj,瑞星报为 Trojan.IMMSG.TBMsg.ff


文件说明符 : D:/test/rising747.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:25:51
修改时间 : 2007-5-25 17:13:28
访问时间 : 2007-6-10 0:0:0
大小 : 52620 字节 51.396 KB
MD5 : e44cac970a9a82c39880124c24093ce2

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.fq,瑞星报为 Trojan.Mnless.lxv

另外在C:/Documents and Settings/Administrator发现:

C:/Documents and Settings/Administrator/msinfo.vbs的内容:
/---
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("msinfo.exe")
Set Shell = Nothing
---/

文件说明符 : C:/Documents and Settings/Administrator/msinfo.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 8:50:55
修改时间 : 2007-5-17 10:22:2
访问时间 : 2007-6-11 0:0:0
大小 : 17254 字节 16.870 KB
MD5 : e2fc361009ee1ea92eb5f0626e13b620

STATUS: FINISHED
Complete scanning result of "msinfo.exe", received in VirusTotal at 06.10.2007, 16:20:52 (CET).

AntivirusVersionUpdateResult
AhnLab-V32007.6.9.006.08.2007Win-Trojan/Hupigon.Gen
AntiVir7.4.0.3206.09.2007 no virus found
Authentium4.93.805.23.2007could be a corrupted executable file
Avast4.7.997.006.09.2007 no virus found
AVG7.5.0.46706.09.2007 no virus found
BitDefender7.206.10.2007Trojan.Downloader.Delf.NRY
CAT-QuickHeal9.0006.09.2007TrojanDownloader.Delf.bjy
ClamAVdevel-2007041606.10.2007 no virus found
DrWeb4.3306.10.2007Win32.HLLW.Creater
eSafe7.0.15.006.06.2007suspicious Trojan/Worm
eTrust-Vet30.7.370706.09.2007 no virus found
Ewido4.006.10.2007Downloader.Delf.bjy
FileAdvisor106.10.2007 no virus found
Fortinet2.85.0.006.10.2007 no virus found
F-Prot4.3.2.4806.08.2007 no virus found
F-Secure6.70.13030.006.08.2007W32/Delf.AGLS
IkarusT3.1.1.806.10.2007Trojan-PWS.Win32.QQPass.pb
Kaspersky4.0.2.2406.10.2007 no virus found
McAfee504906.08.2007 no virus found
Microsoft1.250306.10.2007 no virus found
NOD32v2232106.10.2007unpack error
Norman5.80.0206.08.2007W32/Delf.AGLS
Panda9.0.0.406.10.2007Suspicious file
Prevx1V206.10.2007 no virus found
Sophos4.18.006.01.2007W32/Versie-Fam
Sunbelt2.2.907.006.09.2007 no virus found
Symantec1006.10.2007 no virus found
TheHacker6.1.6.13106.08.2007 no virus found
VBA323.12.006.10.2007suspected of Trojan-Dropper.Agent.35
VirusBuster4.3.23:906.09.2007 no virus found
Webwasher-Gateway6.0.106.10.2007 Win32.Malware.dam (suspicious)

Aditional Information
File size: 17254 bytes
MD5: e2fc361009ee1ea92eb5f0626e13b620
SHA1: 49aa97b6cd54cb7367ff4ec073973fb67db008f2
packers: UPX
packers: UPX

文件说明符 : C:/Documents and Settings/Administrator/hissys.dat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-24 20:34:20
修改时间 : 2007-3-27 11:42:56
访问时间 : 2007-6-11 0:0:0
大小 : 1609 字节 1.585 KB
MD5 : db33675f6aabda4db8d07b3fb3e8ab61

这篇关于遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/559948

相关文章

中文分词jieba库的使用与实景应用(一)

知识星球:https://articles.zsxq.com/id_fxvgc803qmr2.html 目录 一.定义: 精确模式(默认模式): 全模式: 搜索引擎模式: paddle 模式(基于深度学习的分词模式): 二 自定义词典 三.文本解析   调整词出现的频率 四. 关键词提取 A. 基于TF-IDF算法的关键词提取 B. 基于TextRank算法的关键词提取

使用SecondaryNameNode恢复NameNode的数据

1)需求: NameNode进程挂了并且存储的数据也丢失了,如何恢复NameNode 此种方式恢复的数据可能存在小部分数据的丢失。 2)故障模拟 (1)kill -9 NameNode进程 [lytfly@hadoop102 current]$ kill -9 19886 (2)删除NameNode存储的数据(/opt/module/hadoop-3.1.4/data/tmp/dfs/na

Hadoop数据压缩使用介绍

一、压缩原则 (1)运算密集型的Job,少用压缩 (2)IO密集型的Job,多用压缩 二、压缩算法比较 三、压缩位置选择 四、压缩参数配置 1)为了支持多种压缩/解压缩算法,Hadoop引入了编码/解码器 2)要在Hadoop中启用压缩,可以配置如下参数

Makefile简明使用教程

文章目录 规则makefile文件的基本语法:加在命令前的特殊符号:.PHONY伪目标: Makefilev1 直观写法v2 加上中间过程v3 伪目标v4 变量 make 选项-f-n-C Make 是一种流行的构建工具,常用于将源代码转换成可执行文件或者其他形式的输出文件(如库文件、文档等)。Make 可以自动化地执行编译、链接等一系列操作。 规则 makefile文件

使用opencv优化图片(画面变清晰)

文章目录 需求影响照片清晰度的因素 实现降噪测试代码 锐化空间锐化Unsharp Masking频率域锐化对比测试 对比度增强常用算法对比测试 需求 对图像进行优化,使其看起来更清晰,同时保持尺寸不变,通常涉及到图像处理技术如锐化、降噪、对比度增强等 影响照片清晰度的因素 影响照片清晰度的因素有很多,主要可以从以下几个方面来分析 1. 拍摄设备 相机传感器:相机传

pdfmake生成pdf的使用

实际项目中有时会有根据填写的表单数据或者其他格式的数据,将数据自动填充到pdf文件中根据固定模板生成pdf文件的需求 文章目录 利用pdfmake生成pdf文件1.下载安装pdfmake第三方包2.封装生成pdf文件的共用配置3.生成pdf文件的文件模板内容4.调用方法生成pdf 利用pdfmake生成pdf文件 1.下载安装pdfmake第三方包 npm i pdfma

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念