auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等1

最新推荐文章于 2025-12-02 14:52:36 发布
最新推荐文章于 2025-12-02 14:52:36 发布 · 235 阅读 · 0
文章标签:

#shell

该报告详细记录了一次系统安全检查的结果,发现系统中存在多种恶意软件和木马病毒,包括auto.exe/Backdoor.Win32.Agent.bgu和b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等。此外,还发现了多个自动运行配置文件及可疑的服务和进程。

auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等1

endurer 原创 2008-06-28 第1

直接贴上 pe_xscan 的 log:

pe_xscan 08-04-26 by Purple Endurer 
2008-6-28 16:58:49 
Windows XP Service Pack 2(5.1.2600) 
MSIE:6.0.2900.2180 
管理员用户组 
正常模式 

C:/WINDOWS/Explorer.EXE* 1164 | 2004-8-17 4:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE 
  C:/WINDOWS/system32/12t9.dll
  C:/WINDOWS/system32/iujznmouzpoul.dll | 2008-6-24 13:19:48 | | 1.0.0.0 | Windows Time Update | | 1.0.0.0 | Microsoft Inc. | | | 
  C:/WINDOWS/system32/qzyejpgucs.dll | 2008-6-28 1:41:48 | | 2.0.0.0 | windows-update | | 2.0.0.0 | Nicrosoft Inc. | | | 
  C:/WINDOWS/system32/hecowsaukc.dll | 2008-6-27 1:19:48 | | 2.0.0.0 | windows-update | | 2.0.0.0 | Nicrosoft Inc. | | | 
 
O2 - BHO - {0A71FCEB-0184-4347-A345-539CF9F38F6A} -C:/WINDOWS/system32/iujznmouzpoul.dll
O2 - BHO - {A7BE9548-E942-44B0-8EB2-B4D52A8158D7} -C:/WINDOWS/system32/qzyejpgucs.dll
O2 - BHO - {E5ADFAFA-8542-4BBD-BC1C-B295E63CA728} -C:/WINDOWS/system32/hecowsaukc.dll
O2 - BHO SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} -C:/Program Files/HotTools/iebho.dll
O3 - IE工具栏: 快捷工具条3.21 - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} -C:/Program Files/HotTools/ietool.dll



C:/autorun.inf
/-----
[AutoRun]
OPEN=auto.exe
shellexecute=auto.exe
shell/打开(&O)/command=ntldr.exe
shell/Auto/command=auto.exe
-----/


D:/autorun.inf
/-----
[AutoRun]
OPEN=auto.exe
shellexecute=auto.exe
shell/打开(&O)/command=ntldr.exe
shell/Auto/command=auto.exe
-----/


E:/autorun.inf
/-----
[AutoRun]
OPEN=auto.exe
shellexecute=auto.exe
shell/打开(&O)/command=ntldr.exe
shell/Auto/command=auto.exe
-----/

O23 - 服务: 1028247E (1028247E) -C:/WINDOWS/system32/62F1B80D.EXE -a (自动) 
O23 - 服务: 25yyf (25yyf) - System32/DRIVERS/25yyf.sys | | 1, 0, 0, 1 | File System Driver | (C) Microsoft Corporation. All rights reserved. | 1, 0, 0, 1 | | | | (引导) O23 - 服务: 3A452D83 (3A452D83) -C:/WINDOWS/system32/24E9F3BC.EXE -k (自动) 
O23 - 服务: b8u6bvx912 (b8u6bvx912) - system32/drivers/b8u6bvx912.sys(引导)


O26 - IFEO: 360rpt.exe -> net
O26 - IFEO: 360Safe.exe -> net
O26 - IFEO: 360tray.exe -> net
O26 - IFEO: ACKWIN32.EXE -> net
O26 - IFEO: ANTI-TROJAN.EXE -> net
O26 - IFEO: APVXDWIN.EXE -> net
O26 - IFEO: AUTODOWN.EXE -> net
O26 - IFEO: AVCONSOL.EXE -> net
O26 - IFEO: AVE32.EXE -> net
O26 - IFEO: AVGCTRL.EXE -> net
O26 - IFEO: AVKSERV.EXE -> net
O26 - IFEO: AVNT.EXE -> net
O26 - IFEO: AVP.EXE -> net
O26 - IFEO: AVP32.EXE -> net
O26 - IFEO: AVPCC.EXE -> net
O26 - IFEO: AVPDOS32.EXE -> net
O26 - IFEO: AVPM.EXE -> net
O26 - IFEO: AVPTC32.EXE -> net
O26 - IFEO: AVPUPD.EXE -> net
O26 - IFEO: AVSCHED32.EXE -> net
O26 - IFEO: AVWIN95.EXE -> net
O26 - IFEO: AVWUPD32.EXE -> net
O26 - IFEO: BLACKD.EXE -> net
O26 - IFEO: BLACKICE.EXE -> net
O26 - IFEO: CFIADMIN.EXE -> net
O26 - IFEO: CFIAUDIT.EXE -> net
O26 - IFEO: CFINET.EXE -> net
O26 - IFEO: CFINET32.EXE -> net
O26 - IFEO: CLAW95.EXE -> net
O26 - IFEO: CLAW95CF.EXE -> net
O26 - IFEO: CLEANER.EXE -> net
O26 - IFEO: CLEANER3.EXE -> net
O26 - IFEO: DVP95.EXE -> net
O26 - IFEO: DVP95_0.EXE -> net
O26 - IFEO: ECENGINE.EXE -> net
O26 - IFEO: EGHOST.EXE -> net
O26 - IFEO: ESAFE.EXE -> net
O26 - IFEO: EXPWATCH.EXE -> net
O26 - IFEO: F-AGNT95.EXE -> net
O26 - IFEO: F-PROT.EXE -> net
O26 - IFEO: F-PROT95.EXE -> net
O26 - IFEO: F-STOPW.EXE -> net
O26 - IFEO: FESCUE.EXE -> net
O26 - IFEO: FINDVIRU.EXE -> net
O26 - IFEO: FP-WIN.EXE -> net
O26 - IFEO: FPROT.EXE -> net
O26 - IFEO: FRW.EXE -> net
O26 - IFEO: IAMAPP.EXE -> net
O26 - IFEO: IAMSERV.EXE -> net
O26 - IFEO: IBMASN.EXE -> net
O26 - IFEO: IBMAVSP.EXE -> net
O26 - IFEO: ICLOAD95.EXE -> net
O26 - IFEO: ICLOADNT.EXE -> net
O26 - IFEO: ICMON.EXE -> net
O26 - IFEO: ICSUPP95.EXE -> net
O26 - IFEO: ICSUPPNT.EXE -> net
O26 - IFEO: IFACE.EXE -> net
O26 - IFEO: IOMON98.EXE -> net
O26 - IFEO: Iparmor.exe -> net
O26 - IFEO: JEDI.EXE -> net
O26 - IFEO: KAV32.exe -> net
O26 - IFEO: KAVPFW.EXE -> net
O26 - IFEO: KAVsvc.exe -> net
O26 - IFEO: KAVSvcUI.exe -> net
O26 - IFEO: KVFW.EXE -> net
O26 - IFEO: KVMonXP.exe -> net
O26 - IFEO: KVMonXP.kxp -> net
O26 - IFEO: KVSrvXP.exe -> net
O26 - IFEO: KVwsc.exe -> net
O26 - IFEO: KvXP.kxp -> net
O26 - IFEO: KWatchUI.EXE -> net
O26 - IFEO: LOCKDOWN2000.EXE -> net
O26 - IFEO: Logo1_.exe -> net
O26 - IFEO: Logo_1.exe -> net
O26 - IFEO: LOOKOUT.EXE -> net
O26 - IFEO: LUALL.EXE -> net
O26 - IFEO: MAILMON.EXE -> net
O26 - IFEO: MOOLIVE.EXE -> net
O26 - IFEO: MPFTRAY.EXE -> net
O26 - IFEO: N32SCANW.EXE -> net
O26 - IFEO: Navapsvc.exe -> net
O26 - IFEO: Navapw32.exe -> net
O26 - IFEO: NAVLU32.EXE -> net
O26 - IFEO: NAVNT.EXE -> net
O26 - IFEO: navw32.EXE -> net
O26 - IFEO: NAVWNT.EXE -> net
O26 - IFEO: NISUM.EXE -> net
O26 - IFEO: NMain.exe -> net
O26 - IFEO: NORMIST.EXE -> net
O26 - IFEO: NUPGRADE.EXE -> net
O26 - IFEO: NVC95.EXE -> net
O26 - IFEO: PAVCL.EXE -> net
O26 - IFEO: PAVSCHED.EXE -> net
O26 - IFEO: PAVW.EXE -> net
O26 - IFEO: PCCWIN98.EXE -> net
O26 - IFEO: PCFWALLICON.EXE -> net
O26 - IFEO: PERSFW.EXE -> net
O26 - IFEO: PFW.EXE -> net
O26 - IFEO: Rav.exe -> net
O26 - IFEO: RAV7.EXE -> net
O26 - IFEO: RAV7WIN.EXE -> net
O26 - IFEO: RAVmon.exe -> net
O26 - IFEO: RAVmonD.exe -> net
O26 - IFEO: RAVtimer.exe -> net
O26 - IFEO: Rising.exe -> net
O26 - IFEO: SAFEWEB.EXE -> net
O26 - IFEO: SCAN32.EXE -> net
O26 - IFEO: SCAN95.EXE -> net
O26 - IFEO: SCANPM.EXE -> net
O26 - IFEO: SCRSCAN.EXE -> net
O26 - IFEO: SERV95.EXE -> net
O26 - IFEO: SMC.EXE -> net
O26 - IFEO: SPHINX.EXE -> net
O26 - IFEO: SWEEP95.EXE -> net
O26 - IFEO: TBSCAN.EXE -> net
O26 - IFEO: TCA.EXE -> net
O26 - IFEO: TDS2-98.EXE -> net
O26 - IFEO: TDS2-NT.EXE -> net
O26 - IFEO: THGUARD.EXE -> net
O26 - IFEO: TrojanHunter.exe -> net
O26 - IFEO: VET95.EXE -> net
O26 - IFEO: VETTRAY.EXE -> net
O26 - IFEO: VSCAN40.EXE -> net
O26 - IFEO: VSECOMR.EXE -> net
O26 - IFEO: VSHWIN32.EXE -> net
O26 - IFEO: VSSTAT.EXE -> net
O26 - IFEO: WEBSCANX.EXE -> net
O26 - IFEO: WFINDV32.EXE -> net
O26 - IFEO: ZONEALARM.EXE -> net
O26 - IFEO: _AVP32.EXE -> net
O26 - IFEO: _AVPCC.EXE -> net
O26 - IFEO: _AVPM.EXE -> net
O26 - IFEO: 修复工具.exe -> net


O29 - HKCU-Start Page = hxxp://www.258central.cn/


HKLM/SHOWALL 值非1


(未完待续)

                

        




    


  



    

      

        

            

              
                
                  iteye_6637
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
abap--关于sap地址,传真,邮箱的地址读取

				
			

			

				

					SAP BLOG--Jack Wu
				

				

					11-12
					
					8307
					
				

			

		

		

			
				
在sap的应用中,很多地方需要用到地址和联系方式,sap对于地址采用了集中维护,最近对这进行了学习,收集到的一些资料供大家参考,也请大家多多指点。一、相关packageSZAD二、相关表(可以参见ADDR_SAVE_INTERN函数的操作)1 ADR2 : 电话号码 (业务地址服务)(ADDRNUMBER(10),PERSNUMBER(10))2.ADR3:传真号 (业务地址服务)(ADDRN

			
		

	



                

            
              



	

		

			

				
					
AVPro Video 1.9.17b.unitypackage.zip

				
			

			

				

					07-02
				

			

		

		

			
				
AVPro Video 播放插件最新版本1.19.17,可在IOS,android,OSX, Windows,Linux等各平台使用。

			
		

	



              


  
              

                


	

		

			

				
					
AVPro Video 1.9.12.zip

				
			

			

				

					05-22
				

			

		

		

			
				
AVPro Video 1.9.12 最新版,亲测可用,支持4k,8k视频播放,具体效果看硬件支持,请勿用于商业用途。

			
		

	





	

		

			

				
					
遭遇auto.exe,winforms.dll,zinforms.dll,LYLoader.exe,LYLoadbr.exe等/4

				
			

			

				

					caobihole
				

				

					10-11
					
					143
					
				

			

		

		

			
				
遭遇auto.exe,winforms.dll,zinforms.dll,LYLoader.exe,LYLoadbr.exe等/4
endurer 原创2007-10-111版
(续3)
DrWeb CureIt! 扫荡完了,还得做些清理工作。
运行瑞星卡卡安全助手,在 高级功能—>[插件管理及卸载] 里把 O2 和 O24 项卸载掉切换到[系统启动项管理]里,找到O4、O20、O23...

			
		

	



		

			
		



	

		

			

				
					
auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2

				
			

			

				

					Purpleendurer@优快云
				

				

					06-30
					
					2732
					
				

			

		

		

			
				
auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2endurer 原创 2008-06-30 第1版到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。用FileInfo 提取 pe_xscan 的 log 中红色标

			
		

	





	

		

			

				
					
Backdoor.Win32.Rbot病毒专杀

				
			

			

				

					02-17
				

			

		

		

			
				
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试

			
		

	





	

		

			

				
					
html.win32.scipt病毒,Win32/Induc.A是什么病毒该如何解决

				
			

			

				

					weixin_42333370的博客
				

				

					06-29
					
					1059
					
				

			

		

		

			
				
Virus/Win32.Induc.a是这是Delphi感染型病毒,通过感染Delphi库文件中的SysConst.dcu文件,进而使Delphi编写的所有文件染毒,目前尚不知其危害,网上说其没有危害。 该病毒实际上并不具有危害性,只是其更改了库文件后使编译生成的所有程序均带有不正常代码,而其代码行为即为以上描述。 这个病毒具有二次感染能力,也就是说原来你编译出来的所有Delphi程序都可以再次感...

			
		

	





	

		

			

				
					
Backdoor.Win32.Rbot病毒清除工具绿色版发布

				
			

			

				

					
				

			

		

		

			
				
Backdoor.Win32.Rbot 是一种被广泛识别的恶意后门程序,属于远程控制类病毒的一种。这种病毒的主要特征是允许攻击者远程控制受感染的计算机系统,从而进行诸如数据窃取、远程命令执行、系统监视等恶意活动。Backdoor...

			
		

	





	

		

			

				
					
Linux.BackDoor.Gates.5木马处理文档

				
			

			

				

					11-13
				

			

		

		

			
				
生产使用的Linux.BackDoor.Gates.5木马处理文档!

			
		

	





	

		

			

				
					
backdoortft.rar_ZKSoftware_backdoortft_backdoortft.rar_reset

				
			

			

				

					07-14
				

			

		

		

			
				
标题“backdoortft.rar_ZKSoftware_backdoortft_backdoortft.rar_reset”和描述“reset zksoftware password”暗示了这是一个与ZKSoftware相关的安全问题,可能涉及到一个后门程序(backdoor)以及密码重置的过程。...

			
		

	





	

		

			

				
					
视频资料

				
			

			

				

					男人的累,女人不懂
				

				

					11-13
					
					1万+
					
				

			

		

		

			
				
1、javascript视频教程

         链接: http://pan.baidu.com/s/1gd57FVH 密码: d9ei

2、JPA视频教程

         链接: http://pan.baidu.com/s/1dDCx1fj 密码: fwwd

3、马士兵hibernate视频教程

         链接: http://pan.baidu.c...

			
		

	





	

		

			

				
					
推荐一些国外嵌入式开发的网站

					
热门推荐

				
			

			

				

					larntin
				

				

					03-17
					
					44万+
					
				

			

		

		

			
				
 本文为转贴:原文网址关于嵌入式开发的站点,提供非常多关于嵌入式开发的资料。包括开发公司,技术文档,免费资源等等。版面包括busses & boards,embedded software,dsp,embedded systems,open source,rtos,embedded chips,system-on-a-chip 等等。强烈推荐http://www.eg3.com/ - 外文  3.

			
		

	





	

		

			

				
					
Alan Turing(阿兰·图灵)

				
			

			

				

					Purpleendurer@优快云
				

				

					12-16
					
					3623
					
				

			

		

		

			
				
Alan Turing阿兰·图灵英文来源:http://techrepublic.com.com/5208-6230-0.html?forumID=8&threadID=185688&start=0&tag=nl.e101Author: nielb作者:nielb翻译:Purple Endurer2005.12.161版Ive just watched a drama on the BBC 

			
		

	





	

		

			

				
					
在linux环境安装mysql5.7

				
			

			

				

					av1900的博客
				

				

					04-22
					
					149
					
				

			

		

		

			
				

 
下载安装包
mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz
 
进入mysql安装目录解压安装包
[root@c1 ~]# cd /usr/local/
[root@c1 ~]# cd /usr/local/
[root@c1 local]# tar -xzvf mysql-5.7.18-linux-glibc2.5-x86_64.tar....

			
		

	





	

		

			

				
					
OrangePi_5_Pro_RK3588S 进行ADB连接

					
最新发布

				
			

			

				

					gene's blog
				

				

					12-02
					
					321
					
				

			

		

		

			
				
首先准备一根品质良好的 USB2.0 公对公数据线,通过 USB2.0 公对公数据线连接好开发板与 Ubuntu PC,开发板支持 device功能的 USB2.0 接口的位置如下图所示:
步骤1: 运行下面的命令将 USB2.0 接口设置为 device 模式
步骤2: 确认下 adbd 已经启动
步骤1: Ubuntu PC 上安装下 adb 工具
步骤2:查看下有没有识别到 adb 设备
步骤3:登录开发板的 linux 系统

			
		

	





	

		

			

				
					
【打靶日记】VluNyx 之 Serve

				
			

			

				

					XHhui的博客
				

				

					11-28
					
					1028
					
				

			

		

		

			
				
(keepass)通过ARP扫描发现目标主机192.168.56.113,Nmap扫描显示开放22(SSH)和80(HTTP)端口。目录枚举发现/secrets/目录包含重要信息,nikto扫描检测到/notes.txt文件,提示用户名"teo"和数据库凭证存储在secret目录。使用gobuster进一步扫描发现/secrets/db.kdbx文件,可能包含关键凭证信息。

			
		

	





	

		

			

				
					
设置Zsh为默认Shell

				
			

			

				

					weixin_62528784的博客
				

				

					12-02
					
					159
					
				

			

		

		

			
				
默认zsh

			
		

	





	

		

			

				
					
Linux 理解 Shell 提示符:PS0 PS1 PS2 PS3 PS4

				
			

			

				

					https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
				

				

					11-28
					
					692
					
				

			

		

		

			
				
Linux 理解 Shell 提示符:PS0 PS1 PS2 PS3 PS4

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值