遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1

最新推荐文章于 2025-04-22 14:28:51 发布
最新推荐文章于 2025-04-22 14:28:51 发布 · 151 阅读 · 0

本文记录了一次处理顽固恶意软件的经历,包括beep.sys/Backdoor.Win32.Agent等,详细展示了使用pe_xscan扫描及分析过程,揭示了1.exe进程背后的恶意行为。
部署运行你感兴趣的模型镜像

遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等1

endurer 原创 2008-06-20 第1

一位朋友的电脑,最近电脑反应很慢,瑞星查杀出病毒,清除后一次开机又出现。另外,系统经常提示系统文件被替换,提示插入系统光盘进行恢复。请偶帮忙处理。 打开任务管理器,发现一个名为 1.exe 的进程占用了大量的CPU时间,先终止了。 使用 pe_xscan 扫描 log 并分析,发现如下可疑项:

pe_xscan 08-04-26 by Purple Endurer 
2008-6-16 16:15:56 
Windows XP Service Pack 2(5.1.2600) 
MSIE:6.0.2900.2180 
管理员用户组 
正常模式 

C:/WINDOWS/System32/SVCHOST.EXE 996  2004-8-23 8:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  Generic Host Process for Win32 Services  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  svchost.exe  svchost.exe 
   2004-8-17 12:0:0  svchost  5.1.2600.2180  Microsoft SNMP Manager API (uses WinSNMP)  Copyright @ 2004  5.1.2600.2180  @ Microsoft Corporation. All rights reserved.   svchost  svchost.dll 
 1664  2008-6-16 2:44:14 
C:/WINDOWS/System32/SVCHOST.EXE 1696  2004-8-23 8:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  Generic Host Process for Win32 Services  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  svchost.exe  svchost.exe 
   2008-6-16 2:44:19   1.0.0.0    1.0.0.500     
 328  2008-6-16 8:6:37 
F2 - REG: system.ini: UserInit =<USERINIT.EXE ,,> 
O23 - 服务: ADHelper (Active Directory Helper) - 2008-6-16 2:44:14(自动) 
O23 - 服务: BITS (Background Intelligent Transfer Service) - C:/WINDOWS/system32/svchost.exe -k netsvcs -> 2004-8-17 12:0:0  svchost  5.1.2600.2180  Microsoft SNMP Manager API (uses WinSNMP)  Copyright @ 2004  5.1.2600.2180  @ Microsoft Corporation. All rights reserved.   svchost  svchost.dll(自动) 
O23 - 服务: COM+ Event (COM+ Event irat) - C:/WINDOWS/System32/svchost.exe -k krnlsrvc -> 2008-6-16 2:44:19   1.0.0.0    1.0.0.500     (自动) 
O23 - 服务: Drivers Desktop (Drivers Desktop Management) - 2008-6-13 4:14:2(自动) 
O23 - 服务: Microsoftpvsy (Microsoftpvsy) - 2008-6-16 2:44:38(自动)

从log 上看,先前终止的进程1.exe对应的文件是 C:/WINDOWS/system32/Kinds/1.exe

(未完待续)

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

iteye_6637
关注
TM1637&beep.rar_1637.htm_STM32 测距’_TM1637 STM32_consistLUH_stm32
07-13
红外测距,tm1637数码管显示 基于stm32
精选资源
USB-MINI SOP8 SOT-23 QFN24 QFN32 BEEP-9.5X5.5 电源插座DC-005 ALTIUM PCB封装库.PcbLib
05-12
USB-MINI SOP8 SOT-23 QFN24 QFN32 BEEP-9.5X5.5 电源插座DC-005 ALTIUM PCB封装库,已在项目中使用,可以做你你的设计参考, 封装库列表: Component Count : 52 Component Name ---------------------------------...
STM32HAL库 -- 5.蜂鸣器报警
qq_30634911的博客
04-22 3004
通过上一个博客介绍的HAL库操作GPIO的函数,来实现蜂鸣器的的实验。笔者使用的开发板是STM32F103ZET6为MCU的正点原子精英板,读者可以使用自己的开发板来复现实验。开发板不是重点,重点是学习HAL库的使用。STM32HAL库 -- 1.手把手创建HAL库工程模板STM32HAL库 -- 2.介绍外设GPIOSTM32HAL库 -- 3.介绍HAL库中操作GPIO的函数。
MySQL8 中文参考(十一)
龙哥盟
06-26 1173
mysqldump支持以下选项,可以在命令行或选项文件的和[client]组中指定。有关 MySQL 程序使用的选项���件的信息,请参见 Section 6.2.2.2, “Using Option Files”。表 6.15 mysqldump 选项选项名称描述引入废弃在每个 CREATE DATABASE 语句之前添加 DROP DATABASE 语句在每个 CREATE TABLE 语句之前添加 DROP TABLE 语句。
遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2
Purpleendurer@优快云
06-22 2132
遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2endurer 原创 2008-06-22 第1版(继1)到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。用FileInfo 提取 pe_x
中毒的beep.sys文件
yzd
10-07 1249
C:/windows/system32/drivers/beep.sys 未中毒的 大小 4.12 KB (4,224 字节), MD5 :da1f27d85e0d1525f6621372e7b685e9 中毒后的 大小 15.8 KB (16,256 字节), MD5 : 177cb1deabb1e315ce79a6225c9d84b3 beep.sys MD5:177cb1deabb1e31...
C#调用 kernel32.dll
yue008的博客
09-08 3199
C#调用 kernel32.dll的案例介绍说明
go get无法安装golang.org/x/的解决方法
热门推荐
、moddemod
11-13 1万+
写在前面的话 因为golang.org/x/服务器在境外,所以正常情况下go get是不能安装的,需要科学上网才可! 下面是博主提供的文件,可以先搜索你需要的文件是否存在,存在你再下载! github地址:https://github.com/moddemod/golang.org The mirror of golang.org/x Updated November 13, 2019 Here...
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2
Purpleendurer@优快云
06-25 2427
beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2endurer 原创2008-06-25 第1版(续1)先修正电脑日期,然后下载 DrWeb CureIt!扫描。同时下载 bat_do、FileInfo 提取文件信息,打包备份,延时删除。接着下载 瑞星卡卡安全助手清理恶意程序
1_2.rar_atgy8_labview_labview beep.vi_构建vi_构建一个VI
09-22
此外,当生成的随机数大于0.5时,会调用`beep.vi`来产生蜂鸣声。 首先,我们要了解LabVIEW的基础。LabVIEW是美国国家仪器公司(NI)开发的一种图形化编程环境,它使用数据流编程模型,通过连接各种功能模块(称为VI...
精选资源
STM32L475开发板PDF原理图+AD集成3D封装库+主要器件技术手册.zip
04-22
STM32L475开发板PDF原理图+AD集成3D封装库+主要器件技术手册,集成封装库型号列表如下: Library Component Count : 44 Name Description -----------------------------------------------------------------...
API的用法之beep.rar
04-04
总结来说,"API的用法之beep.rar"这个教程主要教授了如何在易语言中使用API的"beep"函数来产生简单的音频信号。通过理解API的工作原理和调用方式,开发者可以更好地掌握Windows API的使用,并将其应用到更广泛的软件...
(45页PPT)智慧口某省市场发展前景及投资研究报告.ppt
12-03
(45页PPT)智慧口某省市场发展前景及投资研究报告.ppt
3D打印机调度问题的研究。目标是同时降低完成时间和成本.zip
12-03
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Bot468__30192_1764666289903.zip
12-03
Bot468__30192_1764666289903.zip
(41页PPT)智慧地铁公交智慧防控系统解决方案.pptx
12-03
(41页PPT)智慧地铁公交智慧防控系统解决方案.pptx
(40页PPT)智慧检务解决方案.pptx
12-03
(40页PPT)智慧检务解决方案.pptx
状态估计非线性受控动力系统的线性预测器-Koopman模型预测MPC(Matlab代码实现)
最新发布
12-03
【状态估计】非线性受控动力系统的线性预测器——Koopman模型预测MPC(Matlab代码实现)
C#中Win32 API编程:P/Invoke示例与Beep()函数应用
C#与Win32 API编程是IT领域的重要结合,尤其对于想要利用Windows内置功能但又不想完全依赖.NET框架的开发者而言。C#本身并不直接提供对所有Win32 API的支持,因为.NET框架团队在创建时考虑了资源限制,无法为庞大的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值