偶遇 649453.sys / Adware.Cdn / Hacktool.Rootkit

最新推荐文章于 2025-11-27 14:19:33 发布
最新推荐文章于 2025-11-27 14:19:33 发布 · 359 阅读 · 0
文章标签:

#操作系统

本文记录了一次通过远程协助解决网友电脑中由649453.sys引发的Adware.Cdn及Hacktool.Rootkit问题的过程。通过对可疑文件进行扫描、分析并采取相应措施,最终成功解决了电脑运行缓慢的问题。

偶遇 649453.sys / Adware.Cdn / Hacktool.Rootkit

endurer 原创
2007-09-04 第1

一位网友说最近他的电脑工作速度很慢,让偶通过QQ远程协助处理。

下载 pe_xscan 扫描 log 并分析,只发现一个可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-4 20:58:58
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O23 - 服务: 649453 (649453) - System32/drivers/649453.sys(引导)
===/

文件说明符 : C:/WINDOWS/system32/drivers/649453.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-10-21 11:32:58
修改时间 : 2006-10-21 11:33:0
访问时间 : 2007-9-4 0:0:0
大小 : 19968 字节 19.512 KB
MD5 : aaa3f5cf09cbdd013844ecf3764e1466
HSA1: AC835FAB36F34FCB4B05A94803C588952E04F964

Google了一下,没有关于这个文件的信息~

上传到 virustotal 扫描,结果如下:

文件 649453.sys 接收于 2007.09.04 15:16:53 (CET)
当前状态: 完成

结果:10/32 (31.25%)

反病毒引擎版本最后更新扫描结果
AhnLab-V32007.9.4.12007.09.04-
AntiVir7.4.1.662007.09.04TR/Rootkit.Gen
Authentium4.93.82007.09.04-
Avast4.7.1029.02007.09.04-
AVG7.5.0.4852007.09.04-
BitDefender7.22007.09.04Adware.CDN
CAT-QuickHeal9.002007.09.03-
ClamAV0.91.22007.09.04-
DrWeb4.332007.09.04-
eSafe7.0.15.02007.09.03Win32.Hacktool
eTrust-Vet31.1.51072007.09.04-
Ewido4.02007.09.04Adware.Cdn
FileAdvisor12007.09.04-
Fortinet3.11.0.02007.09.04-
F-Prot4.3.2.482007.09.04-
F-Secure6.70.13030.02007.09.04-
IkarusT3.1.1.122007.09.04Virus.Win32.Agent.KHP
Kaspersky4.0.2.242007.09.04-
McAfee51112007.09.03-
Microsoft1.28032007.09.04VirTool:WinNT/Protmin.gen!B
NOD32v225022007.09.04-
Norman5.80.022007.09.04-
Panda9.0.0.42007.09.04Adware/GoodSearchNow
Prevx1V22007.09.04-
Rising19.39.12.002007.09.04-
Sophos4.21.02007.09.04-
Sunbelt2.2.907.02007.08.31Hacktool.Rootkit
Symantec102007.09.04Hacktool.Rootkit
TheHacker6.1.9.1772007.09.04-
VBA323.12.2.32007.09.03-
VirusBuster4.3.26:92007.09.04-
Webwasher-Gateway6.0.12007.09.04Trojan.Rootkit.Gen

附加信息

File size: 19968 bytes

MD5: aaa3f5cf09cbdd013844ecf3764e1466

SHA1: ac835fab36f34fcb4b05a94803c588952e04f964

http://ndurer.ys168.com 下载 auto_del,把 C:/WINDOWS/system32/drivers/649453.sys 加入待删文件列表,下次启动时删除。

用 regedit 删除了对应的服务项。

继续检查,发现c盘可以空间很少,临时文件夹里文件N多~

让网友自己用 开始-->程序-->附件-->系统工具-->磁盘清理来清理C盘,用WinRAR 清空c:/windows/prefetch

接着扫描C盘,整理磁盘碎片~

iteye_6637
关注
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 1106
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
得物技术网络优化-CDN资源请求优化实践
SmartCodeTech的博客
04-20 2038
1.前言 为用户提供更加流畅的App使用体验是我们的目标。作为电商类App,社区+交易相关业务强依赖图片、视频、文件等静态资源。由于这些静态资源部署在CDN上,因此本文统称为“CDN资源”。 虽然部署到CDN服务后提升了CDN资源的请求性能,但只能算是初始阶段,App端依然存在资源加载慢、卡顿等体验问题,离预期还有一定距离,需要进一步优化。因此,2021年下半年我们对CDN资源的网络请求性能进行了重点优化,取得了明显的效果,本文在此进行一个阶段性总结。 2.内容介绍 本文主要介绍得物CDN资源请求实
CDN基础知识
weixin_34106122的博客
01-13 4138
2019独角兽企业重金招聘Python工程师标准>>> ...
前端性能优化(四)01-页面性能优化之优化原则——尽量减少HTTP请求 & 使用内容传送网络CDN & 避免空src或空href值 & 启用gzip压缩 & CSS放顶部,JS放底部& 减少DNS查找
weixin_44867717的博客
12-16 620
前端性能优化(四)01-页面性能优化之优化原则——尽量减少HTTP请求 & 使用内容传送网络CDN & 避免空src或空href值 & 启用gzip压缩 & CSS放顶部,JS放底部& 减少DNS查找 优化原则 1、尽量减少HTTP请求 在浏览器(客户端)和服务器发生通信时,就已经消耗了大量的时间,尤其是在网络情况比较糟糕的时候,这个问题尤其的突出。 一个正常HTTP请求的流程简述:如在浏览器中输入"www.xxxxxx.com"并按下回车,浏览器再与这个URL指向的
nginx配置访问index主页
li12412414的博客
07-27 2万+
一 背景   我们在做一个网站或者是一个网页的时候,一个通常的做法是当输入网站或者网页的域名xxxxx.com的时候就可以访问网站的主页。那么一个比较好的方法就是在nginx中进行配置。那么接下来我们就来讨论一下这个问题。 二 解决方法 在nginx中应当如何进行配置呢? server { listen 80; server_name xxxxx.com; access_log /...
http://95u.free.fr/index.php,Electronic Software Distribution Service
热门推荐
weixin_39632291的博客
03-19 145万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
电脑开机自动装垃圾软件,原来中了Adware:usbadmi.sys
Purpleendurer@优快云
03-27 1万+
一位朋友的电脑最近出现异常情况,开机进入桌面后会自动安装 7k7k游戏、淘宝网、开心小工具、折子购物、爱奇艺之类乱七八糟的东东,卸载后下次开机又出来。  电脑中安装的电脑管家在开机时会提示svchost.exe试图自动修改IE主页,已拦截。  随后系统不断弹出错误提示框:  Unable to write to C:\Users\Public\Desktop\InterNet Explorer.u
caimingtang.net\/APP_download\/app_download.html,Shotcut - Download
weixin_31088605的博客
07-06 2249
We pledge that our downloads are always free ofmalware, spyware, and adware. Furthermore, we refuse to bundle any softwareunrelated to Shotcut such as browser toolbars or download managers.However, we...
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2
Purpleendurer@优快云
06-25 2424
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2endurer 原创2008-06-25 第1版(续1)先修正电脑日期,然后下载 DrWeb CureIt!扫描。同时下载 bat_do、FileInfo 提取文件信息,打包备份,延时删除。接着下载 瑞星卡卡安全助手清理恶意程序
ARP.rar_Adware_C#广告_广告
09-24
在本例中,它被标记为与Adware(广告软件)相关,这是一类能够未经用户同意显示广告或下载广告内容的软件。C#广告则意味着其中的代码可能用C#编程语言编写,用于实现广告的展示和交互功能。 【描述】提到这是一个...
安装sqlserver2000时出现wowexec.exe无反应的解决方法
09-10
你可以通过任务管理器查看其属性,如果安全等级为0,且未被标记为间谍软件、Adware、病毒或木马,则通常可以排除这些风险。同时,确认它是否由微软公司出品,属于Windows系统进程。 如果`wowexec.exe`确实是正常...
如何彻底清除Win32/Adware.Generic.HggATAIA以恢复系统正常性能?
09-05
要彻底清除Win32/Adware.Generic.HggATAIA并恢复系统正常性能,可采用以下方法: - **使用专业杀毒软件**:安装知名的杀毒软件,如卡巴斯基、诺顿、360杀毒等,对系统进行全面扫描。这些杀毒软件具有强大的病毒查杀...
C#广告插件开发包:ARP.rar Adware效果展示
资源摘要信息:"ARP.rar_Adware_C#广告_广告" ARP(地址解析协议)是一种网络协议,用于将网络层的IP地址解析为链路层的物理地址(如MAC地址)。在网络安全领域中,ARP协议经常被利用来进行网络攻击,例如ARP欺骗...
Windows实用小工具使用教程!OFGB专治 Windows 11 广告的神器+自动滚屏小工具!
2508_93307098的博客
11-27 308
摘要:推荐两款实用Windows工具:1)OFGB广告屏蔽工具,专为Win11设计,通过修改注册表一键关闭系统内置广告,操作简单无需技术基础;2)自动滚屏工具,提供慢/中/高速三种滚动模式,支持任意界面自动翻页,可通过快捷键控制。两款工具均为免费开源,能有效提升系统使用效率和浏览体验。
Electron 与 OpenHarmony 的实战入门:手把手打造一个安全的简易记事本应用
已掌握java全栈,简单的java项目逻辑。目前正在学习鸿蒙开发,有兴趣的小伙伴可以一起学习!!!
11-27 607
这个“简易记事本”虽只有几十行代码,却完整体现了 现代桌面应用的安全架构思想。它不仅是 Electron 的最佳入门实践,更是通往 OpenHarmony 全场景开发的桥梁。
鸿蒙app 开发中 封装一个公共组件 如何调用的时候传递不同的函数逻辑
最新发布
Ruiqi8的博客
11-27 58
1.场景 封装一个公共组件 ,不同的父组件调用的时候可以传递不同的点击逻辑。
Java原生网络编程-BIO与NIO
照母山挖洋芋
11-24 861
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核心组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
98-爬取租房网站信息-1
11-24 235
import aiohttp #异步的网络请求模块。import asyncio #异步请求。操作系统:windows11。语言:Python3.10。开发环境:PyCharm。#导入伪造头部的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值