遭遇conme.exe,abbhelp.dll,MintRoot.sys,AntiVirus.sys,mtlrd.sys等2

最新推荐文章于 2025-12-02 14:13:54 发布
最新推荐文章于 2025-12-02 14:13:54 发布 · 107 阅读 · 0
文章标签:

#操作系统

本文记录了一次复杂的恶意软件清理过程,涉及多种类型的恶意程序,包括Trojan-PSW和Trojan-GameThief等,这些恶意软件通过伪装成正常程序文件进行传播。文章详细介绍了如何使用WinPE、MAXDOS系统以及特定工具进行手动清理,并强调了全面扫描的重要性。

(续1)

  从pe_xscan 的 log 上看,病毒程序下载安装了许多恶意程序,并且其中一些放在IE及Tencent程序文件夹中,鱼目混珠。如:


文件说明符 : C:/Program Files/Internet Explorer/Top.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:20
修改时间 : 2009-9-22 16:26:22
大小 : 66141 字节 64.605 KB
MD5 : bf779e4ff8c6cd87355bd125aa4e5d49
SHA1: 8DF4753C33E9378607553651284C30F1907AF256
CRC32: f6b508f3


卡巴斯基 报为:Trojan-PSW.Win32.QQPass.msc,瑞星 报为:Trojan.PSW.Win32.QQPass.eri

文件说明符 : C:/PROGRA~1/INTERN~1/PLUGINS/IEPLUG.Dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:36:19
修改时间 : 2009-10-12 10:43:32
大小 : 42728 字节 41.744 KB
MD5 : 81f3c5dfec67cd967775f81430dc8281
SHA1: B4CE5AAE49F17F7BBAED9C12E4D5264FE4E4BBBE
CRC32: ce2d21c8

文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/domain.dll
属性 : --H-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : BhoPlugin Module
版权 : Copyright 2008
产品版本 : 1, 0, 0, 1
产品名称 : BhoPlugin Module
内部名称 : BhoPlugin
源文件名 : BhoPlugin.DLL
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 14848 字节 14.512 KB
MD5 : fcd1780462b4e4b09d95a2664a14ead9
SHA1: 0CE5CDBA42AC9FDA85C2261188CF1C186190DC44
CRC32: 3a1976e8

文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/QQdoctor.exe
属性 : --H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 3584 字节 3.512 KB
MD5 : c3c97d3f2c903fcaf58e6d3084d14855
SHA1: FC090E91B3C18A02E27D2D274A28757BCBCC2F61
CRC32: a4b2a2ce

卡巴斯基 报为:Trojan-PSW.Win32.QQPass.omq,瑞星 报为:Trojan.Win32.Inject.fip

此外,病毒还替换了相当多的系统文件,如:

文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-16 21:14:8
修改时间 : 2009-10-10 22:56:52
大小 : 22016 字节 21.512 KB
MD5 : bf8705bcc12a0c36d9b472736d199943
SHA1: C44D45AD0FCA7D365226522BEF4D49BCD535CFB3
CRC32: c02168b4

卡巴斯基 报为:Trojan-GameThief.Win32.Magania.cegr,瑞星 报为:Trojan.PSW.Win32.DNFOnLine.bl

  由于病毒中包括了viking,它不仅感染了C盘的EXE文件,还感染了其它盘的EXE文件。只要一运行其它盘中被感染的EXE文件,病毒就会重新发作。

  手工修复相对来说麻烦一些:

  用Win PE 来或 MAX DOS 系统来启动电脑,删除 log中红色标记的文件(可以写一个bat来完成),并用autoruns之类的软件删除病毒添加的启动项目;

  对于被病毒替换的系统文件,有Windows SP3光盘的话,可以用sfc命令来修复,否则要手工从dllcache或其它电脑中复制;

  用杀毒软件作一次彻底的扫描,清除其它盘中的病毒。DrWeb CureIt!对付感染型的病毒相当不错,绿色无须安装。

  如果是一键还原C盘或重装系统,完成后也要用杀毒软件作一次彻底的扫描。

iteye_6637
关注
【异常】IDEA中Spring的@Autowired注解提示Could not autowire. No beans of ‘xxxx‘ type found
本本本添哥
04-14 4236
IDEA中@Autowired注解提示Could not autowire. No beans of ‘xxxx’ type found。
oracle11.2.0.3.0 - 64bit,数据泵导入报ORA-06502,解决
Michael Shi
10-31 1650
数据泵导入是报ORA-06502错误, 信息如下: oracle> impdp parfile=impp.par Import: Release 11.2.0.3.0 - Production on Thu Oct 31 20:54:07 2013 Copyright (c) 1982, 2011, Oracle and/or its affiliates.  All ri
coms密码清除
05-18
用于在忘记Windows开机密码及coms密码情况下清除忘记的coms密码
关于病毒Backdoor.Gpigeon.uql
Purpleendurer@优快云
05-13 2869
endurer 原创2006-05-13 第1版有网友的电脑开机提示发现病毒Backdoor.Gpigeon.uql ,并发来了HijackThis扫描的log。在log中发现如下可疑项目:O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:/Documents and Settings/A
Eclipse搭建C/C++开发环境
热门推荐
qq_32293345的博客
07-02 3万+
前言 由于工作中主要用Java,所以熟悉Eclipse,那么自然而然,就想到用Eclipse来写C/C++。之前尝试过用VSCode,但是由于对VSCode的不熟悉,并且还需要繁琐的去配置文件,所以否决了。另外还尝试过用Eclipse+CDT(C/C++插件)的方法,但是由于CDT的下载需要通过Eclipse内置的软件商店,而内置的软件商店又奇慢无比,所以也否决了。 最后我直接下载Eclips...
再战SVOHOST.exe、sxs.exe和command.com
Purpleendurer@优快云
10-23 1685
endurer 原创2006-10-23 第1版有一位朋友电脑中QQ的键盘加密技术不能启动,让偶帮助看看。到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。用HijackThis 扫描 log,发现几个可疑项:/------------Logfile of HijackThis v1.99.1Platform: Windows
遭遇conme.exe,abbhelp.dll,MintRoot.sys,AntiVirus.sys,mtlrd.sys等1
caobihole
10-15 411
  昨天又一个同事的电脑出了毛病表现为:进入桌面后卡巴斯基2010自动消失,电脑卡死,没有打开IE浏览器和QQ,但在任务管理器中发现名为iexplore.exe和TXPlatform.exe的进程,不久蓝屏,提示是AntiVirus.sys引起的。   询问同事得知,因为嫌卡巴斯基2010影响了电脑响应速度,把卡巴斯基关了。然后电脑就出现了这些症状。明显是中标了。   用最新版本的 p...
oracle11 导入databf,oracle11.2.0.3.0 - 64bit,数据泵导入报ORA-06502,解决
weixin_30310209的博客
04-13 528
数据泵导入是报ORA-06502错误,信息如下:oracle> impdp parfile=impp.parImport: Release 11.2.0.3.0 - Production on Thu Oct 31 20:54:07 2013Copyright (c) 1982, 2011, Oracle and/or its affiliates. All rights reserved...
故障:Error: Connection activation failed: No suitable device found for this connection (device lo ...
weixin_44084487的博客
07-02 811
Error: Connection activation failed: No suitable device found for this connection (device lo not available because device is strictly unmanaged).
@Autowired时出现Could not autowire. No beans of 'XXX' type found.错误解决方法
Pluto_sang的博客
03-06 2847
Spring在自动注入时出现检查异常Could not autowire. No beans of ‘XXX’ type found. 方法一:在Mapper的接口类中 添加@Mapper的同时在上面再加一个@Repository注解 申明Dao类为Bean 方法二:在Service的实现类中 在@Autowired后面添加@Autowired(required = false)参数 表示忽略当前...
1-上市公司-双重差分模型手动匹配绿色企业数据-社科数据.zip
11-23
数据集中的关键指标包括证券代码(code)、公司名称(Conme)以及绿色企业标识(green),其中绿色企业标识为1表示绿色企业,否则为0。这些数据经过专业整理,确保了准确性和可用性,可用于绿色政策效应评估、环境...
用Python获取CSMAR中的数据教程
eeee~~的博客
08-14 3209
我们可以利用Python代码获取CSMAR提供的所需分析数据,本文根据CSMAR提供的官方文档逐步进行解析
沪深A股上市公司2007-2021年OFDI数据概览
数据中不仅提供了上市公司的对外投资金额和投资年份,还包含上市公司代码(stkcd)、上市公司名称缩写(stknme)、上市公司完整名称(conme)、行业代码(indcd)和行业名称(indname)以及上市年份(listdt)等详细...
用MASM32编写的免费 系统进程监控程序/ProcView1.4.4004
caobihole
12-15 142
修正了 1.4.4003 版本中 刷新进程列表时丢失进程的bug 下载地址:http://endurer.ys168.com 1.4.4004 (15,872 字节, MD5:207780bded891ec9517d76a87e6fc29a)
Redis服务安装自启动(Windows版)
2509_94199043的博客
11-29 872
一般来说,一些中大型企业都会去采用 Linux 服务器来部署 Redis,而且 Redis 官方并没有提供 [Windows 版本](https://gitcode.com/gh_mirrors/wi/windows/overviewutm_source=highlight_word_gitcode&word=windows&isLogin=1 "Windows 版本")的安装包。
MySQL数据库的数据文件保存在哪?MySQL数据存在哪里
2509_94083514的博客
11-30 762
在安装好MySQL数据库使用一段时间后,会产生许多的数据库和数据。那这些数据库的数据文件存放在本地文件夹的什么位置呢一、默认位置MySQL创建的数据库实际上存储在文件系统的一个特定目录中,该目录通常为MySQL的数据目录。这个目录的默认位置依据操作系统和MySQL的安装方式不同而有所差异。、这个目录通常位于,它可能位于是个隐藏文件夹)**其中“X.X”是MySQL的版本号。目录(每个数据库都有一个与其同名的文件夹,而这个文件夹中包含了该数据库的所有表的文件,而其中的文件代表了数据库中的表。
Day4 AtomGit口袋工具开发1.0
最新发布
Rene_ZHK的博客
12-02 669
Day4 AtomGit口袋工具开发1.0
Linux性能调优详解FIO性能测试的几个常用场景
运维老生常谈
11-29 679
fio是测试存储系统非常重要的工具,能够快速检测出磁盘的IOPS、吞吐能力,以及时间延迟。该工具能够发起指定类型的IO操作,例如顺序读写、随机读写。同时还可以发起多线性,模拟高负载场景。针对常用的IOPS、吞吐量、时延,如何有效利用fio工具,下面进行详细的讲解。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值