修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1

最新推荐文章于 2024-10-13 23:00:00 发布
最新推荐文章于 2024-10-13 23:00:00 发布 · 158 阅读 · 0
文章标签:

#操作系统 #shell

一位网友的电脑遭受Trojan-Downloader.Win32.Agent.rjq1病毒攻击,导致桌面上的“我的电脑”图标发生变化,且瑞星杀毒软件无法彻底清除病毒。通过对系统进行扫描发现,病毒不仅修改了系统日期,还替换了explorer.exe文件。

修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq1

endurer 原创 2008-06-17 第1

一位网友的电脑,最近桌面上的“我的电脑”图标变了,瑞星总发现三个病毒,并提示下启动时删除,但重启电脑后病毒仍然存在。请偶帮忙检修。

下载 pe_xscan 扫描 log并分析,发现如下可疑项: /===

pe_xscan 08-04-26 by Purple Endurer 
-6-14 15:36:58 
Windows XP Service Pack 2(5.1.2600) 
MSIE:6.0.2900.2180 
管理员用户组 
正常模式 

[System Process]  0 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
   2000-6-14 7:6:3 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
C:/Program Files/Rising/Rfw/rfwmain.exe 280  2007-10-18 13:40:10  Rising Personal FireWall 2008  7.00  Rising Personal FireWall Main Program  Rising Corp. All rights reserved.  7.0.1.65  Beijing Rising Technology Co., Ltd. ?  Beijing Rising Technology Co., Ltd.  rfwmain.EXE 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
 588  2008-6-11 0:45:58 
   2004-8-8 13:3:6 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
 1700  2004-6-5 22:14:12  Microsoft(R) Windows(R) Operating System  6.00.2900.3156  Windows Explorer  (C) Microsoft Corporation. All rights reserved.  6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)  Microsoft Corporation ?  explorer  EXPLORER.EXE 
   2004-8-8 13:3:6 
   2000-6-13 13:2:8 
   2000-6-13 13:42:7 
   2000-6-13 13:2:24 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
   2000-6-14 7:6:3 
C:/Program Files/Rising/Rav/RavTask.exe 388  2007-10-18 13:44:4  Rising Antivirus 2008  20.00  RavTimer  Rising Corp.All rights reserved.  20.0.0.23  Beijing Rising Technology Co., Ltd. ?  Beijing Rising Technology Co., Ltd.  RavTask.exe 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
C:/Program Files/Rising/Rav/RavMon.exe 496  2007-10-18 13:44:28  Rising AntiVirus 2008  20.00  Rising realtime monitor shell  Rising Corp. All rights reserved.  20.0.01.19  Beijing Rising Technology Co., Ltd. ?  Beijing Rising Technology Co., Ltd.        
   2000-6-13 13:2:24
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
C:/WINDOWS/System32/ctfmon.exe 1188  2004-8-3 16:52:30  Microsoft? Windows? Operating System  5.1.2600.2180  CTF Loader  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  CTFMON  CTFMON.EXE 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
D:/Program Files/Tencent/QQ/QQ.exe 3612  2007-12-19 11:57:42  QQ  7,0,225,1651  QQ  Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved  7,0,225,1651  TENCENT   COMQQD  QQ.exe 
   2000-6-13 13:2:24 
   2000-6-13 13:42:7 
   2000-6-13 13:2:8 
   2000-6-14 7:6:3 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
   2000-6-14 7:6:2 
O2 - BHO - {37AC9076-C898-B098-D098-A18319080973} -
O2 - BHO - {55694105-5108-9405-3695-954187462155} -
O2 - BHO - {5C648541-1025-9650-9057-6541258720C5} -
O2 - BHO - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} -
O2 - BHO - {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} -
O4 - HKLM/../Run: [veobqitk]
O4 - HKLM/../Run: [fmcbbqi]
O4 - HKLM/../Run: [fewqickd]
O4 - HKLM/../Run: [fmschif]

O20 - AppInit_DLLs =,,ieprot.dll 
O21 - SSODL - midimaptl(0) - {4F4F0064-71E0-4f0d-0017-708476C7815F} =
O21 - SSODL - midimapzx(0) - {4F4F0064-71E0-4f0d-0005-708476C7815F} =
O21 - SSODL - midimapwl(0) - {4F4F0064-71E0-4f0d-0004-708476C7815F} =
O21 - SSODL - midimapgj(0) - {4F4F0064-71E0-4f0d-0003-708476C7815F} =
O21 - SSODL - midimapqn3(0) - {4F4F0064-71E0-4f0d-0022-708476C7815F} =
O21 - SSODL - midimapjr(0) - {4F4F0064-71E0-4f0d-0012-708476C7815F} =
O23 - 服务: Hdv32 (Hdv32) -(手动) 
O23 - 服务: IIS Manager (IIS Manager ) - 2000-6-13 13:39:30(手动) 
O23 - 服务: larjphk (larjphk) - 2007-6-6 17:36:21  sys 应用程序  1, 0, 1, 3  sys 应用程序  版权所有 (C) 2006  1, 0, 1, 3  北京三七二一科技有限公司 ?  sys  sys.exe(引导) 
O23 - 服务: NPF (Netgroup Packet Filter) -  WinPcap Netgroup Packet Filter Driver  3, 1, 0, 27  npf  Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.  3, 1, 0, 27  CACE Technologies   NPF + TME  npf.sys(手动) 
O23 - 服务: seictrl (Security Control) -c:/windows/system32/rundll32.exe ,scan(自动) 
O23 - 服务: SVKP (SVKP) - 2007-11-17 14:58:29  SVKP driver for NT  1.00  SVKP driver for NT  Copyright (C) Microsoft Corp. 1981-1999  4.00  AntiCracking ?  SVKP.sys  SVKP.sys(自动) 
O23 - 服务: wuauserv (Automatic Updates) -(自动) 
O24 - ShlExecHook: [7] - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} =
O24 - ShlExecHook: [3] - {37AC9076-C898-B098-D098-A18319080973} =
O24 - ShlExecHook: [3] - {35671234-7890-ABCD-CDEF-567801237653} =
O24 - ShlExecHook: [5] - {55694105-5108-9405-3695-954187462155} =
O24 - ShlExecHook: [5] - {5B1AEF69-DDAE-FDAD-DCAB-698F026ABDB5} =
O24 - ShlExecHook: [5] - {5C648541-1025-9650-9057-6541258720C5} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0012-708476C7815F} =
O24 - ShlExecHook: [a] - {242c168c-c3bd-4ad1-849f-e2179437a19a} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0003-708476C7815F} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0004-708476C7815F} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0017-708476C7815F} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0005-708476C7815F} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0022-708476C7815F} =
O24 - ShlExecHook: [MICROSOFT] - {DC3D30AE-0380-4151-8934-EE98A34B0370} =
O24 - ShlExecHook: [1] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} =
O24 - ShlExecHook: [MICROSOFT] - {28EB3777-3E23-4E72-8449-A992D09D24C3} =
O24 - ShlExecHook: [MICROSOFT] - {A9895933-6636-4281-BC58-EE6DE2AF96E3} =
O24 - ShlExecHook: [MICROSOFT] - {28766E1C-74B0-4417-8C75-F12AE309EF35} =
O24 - ShlExecHook: [1] - {18e64250-19a8-4d10-828f-30e101a22291} =
O24 - ShlExecHook: [MICROSOFT] - {461D2AB4-29A5-45C2-9134-D52272D3DE38} =
O24 - ShlExecHook: [0] - {8c3dd05d-a6a1-4cb5-a714-94be3c3b4cd0} =
O24 - ShlExecHook: [] - {8AD0F1B1-990D-4F52-A33D-2837E43CEF58} =
O26 - IFEO: 360safebox.exe -> ntsd -D
O26 - IFEO: KPPMain.exe -> ntsd -D
O26 - IFEO: QQDoctor.exe -> ntsd -D
O26 - IFEO: QQDoctorMain.exe -> TASKMAN.EXE
O26 - IFEO: QQKav.exe -> ntsd -D
O26 - IFEO: safeboxTray.exe -> ntsd -D
O26 - IFEO: SelfUpdate.exe -> TASKMAN.EXE
O26 - IFEO: tqat.exe -> ntsd -d

===/

从log中可以发现网友电脑的时间回到2000年了…… 这比《我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe》中遇到的东东要厉害~

(未完待续)

iteye_6637
关注
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
gdfyug的博客
02-18 863
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等1
caobihole
09-11 188
Trojan.PSW.Win32.GameOL,Trojan.Win32.Undef,Trojan.DL.Win32.Undef等1 endurer 原创2008-09-111版 今天一位朋友的电脑最近反应很慢,请偶帮忙检修。 打开任务管理器,发现一个名为kcodn32.exe的陌生进程,终止了。 用pe_xscan 扫描 log 分析,发现如下可疑项: /===pe_xscan 08...
Win安装日期修改.exe
12-23
windows 系统关于日期修改工具,关于安装日期修改,InstallTime修改修改为当前时间。
Windows10修改系统安装日期
最新发布
Jesse的博客
10-13 3405
修改系统安装日期
我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换explorer.exe1
Purpleendurer@优快云
04-11 1880
我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换explorer.exe1endurer 原创2008-04-111版  一位同事说他的电脑中了病毒,avast!不停地报病毒,360卫士没反应,用恶意软件清理助手(roguecleaner)扫描总发现恶意程序但清除不了。桌面上的“我的电脑”图标也变了。请偶帮忙清理。  由于 avast
修改系统日期替换explorer.exeTrojan-Downloader.Win32.Agent.rjq2
Purpleendurer@优快云
06-19 1526
修改系统日期替换explorer.exeTrojan-Downloader.Win32.Agent.rjq2endurer 原创 2008-06-19 第1版(继1)到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。在bat_do输入命令:ren c:/windows/explorer.exe explorer.ex
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_...
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
病毒分析与清除指南:Dropper.Win32.Agent.bd, Trojan.DL.IeFrame, Worm.Win32.Agent
"本文主要介绍了三种不同类型的计算机病毒——Dropper.Win32.Agent.bd、Trojan.DL.IeFrame和Worm.Win32.Agent,包括它们的行为特征和相应的清除方法。" 【Dropper.Win32.Agent.bd病毒分析与清除】 Dropper.Win32....
Trojan-Qt5-macOS。dmg
03-17
2020.05.26更新 1.修复Safari PAC不工作 2.修复断开连接后privoxy不会释放端口 3.修改PAC立即生效 4.修复不开启http模式还检查http端口是否占用的bug
QQ拼音输入V1.7.exe
03-28
Copyright(C) 2006 - 2008 TENCENT Inc. All Rights Reserved.
如何修改.exe文件的修改时间,亲测有效
热门推荐
努力是为了站在万人之中,成为别人的光
11-30 1万+
2023/11/30/9:59 就是我刚刚输入命令的时间。打开所需更改文件的位置,点击目录输入。需要修改为你自己的文件名称和后缀。说明已完成了修改时间的修改。已复制 1 个文件。
Windows安装程序命令行参数修改(Setup.exe)(WindowsISO映像定制 )
weixin_57323573的博客
04-30 4684
Windows安装程序命令行参数修改(Setup.exeWindows安装程序命令行参数可通过脚本提权运行时加入参数,或直接修改ISO中安装文件参数简化用户交互。(操作风险更小,用户更开心,少写两页手顺书) Windows 安装程序参数 :https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-setup-command-line-options 常用参数如下: /Auto 仅执行到 Windo
Windows修改日期批处理
weixin_45145710的博客
05-31 3275
::用法:name.cmd 20170530 (其中name.cmd为以下命令保存的脚本名) ::获取管理员权限 %Windir%\System32\FLTMC.exe >nul 2>&1 || ( IF EXIST "%TEMP%\AdminRun.vbs" DEL /f /q "%TEMP%\AdminRun.vbs" 2>nul ECHO Cre...
传说中进程守护的灰鸽子(Backdoor.Win32.Hupigon)
迷失在某一个角落
08-15 1295
文件名称:Time.exe文件大小:486400 bytesAV命名:Backdoor.Win32.Hupigon.fel 中文别名:灰鸽子加壳方式:SVKP 1.3x编写语言:Borland Delphi 6.0 - 7.0病毒类型:后门文件MD5:f4b4eb6a158e575d33a18f6c1303e52a 文件SHA1:3faa0f93a0a12361fb
瑞星杀软的信息中心带Trojan.DL.VBS.Agent.cns?
Purpleendurer@优快云
06-03 2543
endurer 原创2007-06-03 第1版电脑开机进入桌面后,瑞星自动开始扫描,随即报告 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/124161561552.tmp  感染 Trojan.DL.VBS.Agent.cns经检查,打开其它网站的网页,没有问题,但只要打开瑞星杀毒程序就会报毒。仔细一看瑞星杀软的信息中心,发现居然是:毒软件2007版--信息中心
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2
Purpleendurer@优快云
06-25 2427
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2endurer 原创2008-06-25 第1版(续1)先修正电脑日期,然后下载 DrWeb CureIt!扫描。同时下载 bat_do、FileInfo 提取文件信息,打包备份,延时删除。接着下载 瑞星卡卡安全助手清理恶意程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值