遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1
endurer 原创
2008-06-20 第1版
一位朋友的电脑,最近电脑反应很慢,瑞星查杀出病毒,清除后一次开机又出现。另外,系统经常提示系统文件被替换,提示插入系统光盘进行恢复。请偶帮忙处理。 打开任务管理器,发现一个名为 1.exe 的进程占用了大量的CPU时间,先终止了。 使用 pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-04-26 by Purple Endurer
2008-6-16 16:15:56
Windows XP Service Pack 2(5.1.2600)
MSIE:6.0.2900.2180
管理员用户组
正常模式
C:/WINDOWS/System32/SVCHOST.EXE* 996 | 2004-8-23 8:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
c:/windows/system32/bitsex.dll | 2004-8-17 12:0:0 | svchost | 5.1.2600.2180 | Microsoft SNMP Manager API (uses WinSNMP) | Copyright @ 2004 | 5.1.2600.2180 | @ Microsoft Corporation. All rights reserved. | | svchost | svchost.dll
C:/WINDOWS/System32/shared/smss.exe * 1664 | 2008-6-16 2:44:14
C:/WINDOWS/System32/SVCHOST.EXE* 1696 | 2004-8-23 8:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
c:/program files/myrat/myrat.rmvb | 2008-6-16 2:44:19 | | 1.0.0.0 | | | 1.0.0.500 | | | |
C:/WINDOWS/System32/shared/services.exe * 328 | 2008-6-16 8:6:37
F2 - REG: system.ini: UserInit =<USERINIT.EXE ,,C:/WINDOWS/system32/Kinds/1.exe>
O23 - 服务: ADHelper (Active Directory Helper) -C:/WINDOWS/system32/shared/smss.exe | 2008-6-16 2:44:14(自动)
O23 - 服务: BITS (Background Intelligent Transfer Service) - C:/WINDOWS/system32/svchost.exe -k netsvcs ->C:/WINDOWS/system32/BITSEx.dll | 2004-8-17 12:0:0 | svchost | 5.1.2600.2180 | Microsoft SNMP Manager API (uses WinSNMP) | Copyright @ 2004 | 5.1.2600.2180 | @ Microsoft Corporation. All rights reserved. | | svchost | svchost.dll(自动)
O23 - 服务: COM+ Event (COM+ Event irat) - C:/WINDOWS/System32/svchost.exe -k krnlsrvc ->C:/Program Files/myRAT/myRAT.rmvb | 2008-6-16 2:44:19 | | 1.0.0.0 | | | 1.0.0.500 | | | | (自动)
O23 - 服务: Drivers Desktop (Drivers Desktop Management) -C:/WINDOWS/system32/explore.exe | 2008-6-13 4:14:2(自动)
O23 - 服务: Microsoftpvsy (Microsoftpvsy) -C:/WINDOWS/DOVA | 2008-6-16 2:44:38(自动)
从log 上看,先前终止的进程1.exe对应的文件是 C:/WINDOWS/system32/Kinds/1.exe
(未完待续)
分享到:
相关推荐
不是拷贝XP的beep.sys实现,使用的是InpOut库,32位及64位均可使用。 我自己加了音符频率表,内附一首生日歌,类似于20年前DOS开发一样,使用蜂鸣器播放音乐,其它歌曲请自己编写。 另附InpOut32的调用源代码,不...
#pragma comment(lib, "../../../lib/fltkd.lib"); #pragma comment(lib, "wsock32.lib"); #pragma comment(lib, "comctl32.lib"); void beepcb(Fl_Widget *, void *) { printf("\007"); fflush(stdout); } void...
C# 随机声音 调用Win32类库 QQ:292258449 class Program { /// /// 调用Win32类库kernel32.dll /// </summary> /// 声音频率</param> /// 声音持续时间</param> /// <returns></returns> [DllImport(...
Beep 是一个声音库和实用程序,用于警告长时间运行的命令执行结束。 Beep 还可以播放带有自然声音的 MIDI 文件/URL 或文本乐谱。 要播放演示音乐,请运行: $ GOPATH=$PWD/beep go get github....
API的用法之beep.rar
beep.uvgui_Administrator.bak
单片机应用技术 beep.pdsprj 学习资料 复习资料 教学资源
单片机应用技术 beep.hex 学习资料 复习资料 教学资源
易语言API的用法之beep.7z
1. C++使用Beep播放音乐 2. 实现常用工具分解质因数,清理电脑垃圾等 3. 如2048、攻击类、益智类小游戏 4. 学习+做题(有解析)功能 5. 休闲抽奖 6. 关机、重启等操作 7. 界面颜色、速度、音效等调节功能
红外测距,tm1637数码管显示 基于stm32
构建VI,每秒显示一个0到1之间的随机数。同时,计算并显示产生的最后四个随机数的平均值。只有产生4个数以后才显示平均值,否则显示0。每次随机数大于0.5时,使用Beep.vi产生蜂鸣声。
NSURL *file_url = [[NSURL alloc] initFileURLWithPath:[NSString main_bundle_file_path:@"beep-beep.caf"]]; wid_ctrl.beep_url = file_url; [file_url release]; file_url = nil; wid_ctrl.custom_msg = @...
C++蜂鸣音乐代码...通过连续使用Beep函数传入音高和音长连接成一首音乐,非常有趣!
基于java的开发源码-P2P应用程序协议框架 Java BEEP Core.zip 基于java的开发源码-P2P应用程序协议框架 Java BEEP Core.zip 基于java的开发源码-P2P应用程序协议框架 Java BEEP Core.zip 基于java的开发源码-P2P应用...
beep.c
STM8S开发板范例,BEEP蜂鸣器的使用方法
beep.pdsprj
Nu_LB_NUC140_UCOSII_KEY_LCD_Beep.rar ucosII例程 : 按键 LCD显示 蜂鸣器 改进版本
嘟嘟嘟 让您的终端发出哔哔声 查看。 安装 ...例子 package main import ( ... // beep once beeper . Beep () // beep three times ... // beep, beep, pause, beep, beep } 执照 麻省理工学院:copyright: