杀毒 ysv15.exe/dlod15.exe/ctfmon.exe/svchost.exe/midimap*.dll

最新推荐文章于 2025-12-12 12:48:45 发布
最新推荐文章于 2025-12-12 12:48:45 发布 · 324 阅读 · 0
文章标签:

#操作系统 #shell

本文详细介绍了一种复杂的病毒入侵案例,病毒通过替换关键系统文件如explorer.exe和ctfmon.exe来实现其目的,并利用多种手段隐藏自身。文章提供了具体的感染文件列表及修改注册表项的方法。
中毒症状:电脑莫名重启
病毒把windows目录下的explorer.exe复制到了system32目录下,不清楚是否已被病毒感染;在windows目录下建立了假的ctfmon.exe和svchost.exe,真品在system32目录下,而且文件大小也不一致。其他一大堆小喽啰文件见下面的列表中。
该windows目录下的scfmon.exe&svchost.exe 和 system32目录下的explorer.exe文件在安全模式下也不容易清理,须使用冰刃等工具。
autoruns记录中的病毒信息,可以使用autoruns清理,也可依此手动清理注册表
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/Shell
+ Explorer.exe,ysv15.exe Windows Explorer Microsoft Corporation c:/windows/system32/explorer.exe
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
+ midimaptl Microsoft MIDI Mapper Plugin Microsoft Corporation c:/windows/system32/midimaptl.dll
+ midimapwd Microsoft MIDI Mapper Plugin Microsoft Corporation c:/windows/system32/midimapwd.dll
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
+ apfocdet.dll c:/windows/system32/apfocdet.dll
+ cedafb.dll c:/windows/system32/cedafb.dll
+ hhrdxd.dll c:/windows/system32/hhrdxd.dll
+ jdsaex.dll c:/windows/system32/jdsaex.dll
+ jhrcar.dll c:/windows/system32/jhrcar.dll
+ midimaptl.dll Microsoft MIDI Mapper Plugin Microsoft Corporation c:/windows/system32/midimaptl.dll
+ midimapwd.dll Microsoft MIDI Mapper Plugin Microsoft Corporation c:/windows/system32/midimapwd.dll
+ mndhddwd.dll c:/windows/system32/mndhddwd.dll
+ mndsfsrv.dll c:/windows/system32/mndsfsrv.dll
+ mnmhfsrv.dll c:/windows/system32/mnmhfsrv.dll
+ mpmydapi.dll c:/windows/system32/mpmydapi.dll
+ nhmxbjkl.dll c:/windows/system32/nhmxbjkl.dll
+ pedadt.dll c:/windows/system32/pedadt.dll
+ rfdswc.dll c:/windows/system32/rfdswc.dll
+ sgrefg.dll c:/windows/system32/sgrefg.dll
+ wrqszl.dll c:/windows/system32/wrqszl.dll
+ yxcschlp.dll c:/windows/system32/yxcschlp.dll
+ zdesfx.dll c:/windows/system32/zdesfx.dll
+ zgfdet.dll c:/windows/system32/zgfdet.dll
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
+ {27AC9076-C898-B098-D098-A18319080972} c:/windows/system32/nhmxbjkl.dll
+ {35671234-7890-ABCD-CDEF-567801237653} c:/windows/system32/yxcschlp.dll
+ {3E035987-F585-68D1-AC28-98FA58E459E3} c:/windows/system32/apfocdet.dll
+ {4629FF4F-ACDB-5C90-A098-FACB3456A264} c:/windows/system32/mpmydapi.dll
+ {4C648541-1025-9650-9057-6541258720C4} c:/windows/system32/mndhddwd.dll
+ {67FD640A-158F-48AC-FD14-1597F14A9776} c:/windows/system32/mndsfsrv.dll
+ {6C8D1401-A58D-A81C-CD24-A5915C4517C6} c:/windows/system32/mnmhfsrv.dll
HKLM/System/CurrentControlSet/Services
+ axd214fo File not found: C:/WINDOWS/System32/Drivers/axd214fo.sys
+ HiddFldy c:/windows/system32/d32dx9.sys
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/Appinit_Dlls
+ nhmxbjkl.dll c:/windows/system32/nhmxbjkl.dll
+ SysDaJHv.dll Windows XP MSPLAY API DLL Microsoft Corporation c:/windows/system32/sysdajhv.dll
+ SysWmWacz.dll Windows XP MSPLAY API DLL Microsoft Corporation c:/windows/system32/syswmwacz.dll
+ SysZxacC.dll Windows XP MSPLAY API DLL Microsoft Corporation c:/windows/system32/syszxacc.dll
补充SREng记录中的隐藏进程
隐藏进程
[2472] C:/WINDOWS/system32/dlod15.exe
两个位于C:/windows/目录下的病毒体,假冒scvhost.exe和ctfmon.exe
[C:/WINDOWS/svchost.exe] [Microsoft Corporation, 6, 0, 2900, 2180]
MD5值:f09dcd72f53931d3946fcfa384d7c51a
文件大小:976896Byte
C:/WINDOWS/ctfmon.exe
MD5值:a52619ae2702506a346888db5768bdeb
文件大小:5076Byte
C:/windows/system32目录下的病毒体
C:/windows/system32/的目录
2004-08-08 11:20 535,560 apfocdet.dll
2008-06-01 11:20 23,648 biuw13.exe
2008-06-01 11:20 23,444 bwbz8.exe
2008-06-01 11:21 225,792 cedafb.dll
2008-06-01 11:21 6,592 d32dx9.sys
2008-06-01 11:21 23,724 dlod15.exe
2008-06-01 10:43 23,444 eytr8.exe
2004-08-08 11:20 520 gpfoadet.sys
2004-08-08 11:20 520 gsdhadwd.sys
2008-06-01 11:20 232,960 hhrdxd.dll
2004-08-08 11:21 14,979 isdsasrv.exe
2004-08-08 11:20 17,465 ismhasrv.exe
2008-06-01 11:21 215,040 jdsaex.dll
2008-06-01 11:21 218,624 jhrcar.dll
2004-08-08 11:20 15,674 lpfoadet.exe
2004-08-08 11:21 15,666 lpmxajkl.exe
2001-06-01 11:20 288 midimaptl.dat
2001-06-01 11:20 20,768 midimaptl.dll
2001-06-01 11:20 288 midimapwd.dat
2001-06-01 11:20 21,792 midimapwd.dll
2004-08-08 11:20 536,072 mndhddwd.dll
2004-08-08 11:21 533,512 mndsfsrv.dll
2004-08-08 11:20 538,120 mnmhfsrv.dll
2004-08-08 11:20 535,560 mpmydapi.dll
2004-08-08 11:21 535,560 nhmxbjkl.dll
2008-06-01 10:27 23,648 nkjj13.exe
2008-06-01 11:21 225,792 pedadt.dll
2008-06-01 11:15 67,990 perfc009.dat
2008-06-01 11:15 431,832 perfh009.dat
2004-08-08 11:20 16,344 pldhadwd.exe
2008-06-01 10:27 23,444 pnru8.exe
2008-06-01 11:15 181,510 prfc0804.dat
2008-06-01 11:15 359,366 prfh0804.dat
2008-06-01 10:44 23,648 rcqw13.exe
2008-06-01 11:21 250,880 rfdswc.dll
2004-08-08 11:21 520 rnmxajkl.sys
2008-06-01 11:20 218,624 sgrefg.dll
2004-08-08 11:20 15,959 simyaapi.exe
2004-08-08 11:21 520 smdsbsrv.sys
2004-08-08 11:20 520 smmhbsrv.sys
2004-08-08 11:20 520 spmybapi.sys
2008-06-01 11:20 19,113 SysDaJHv.dll
2008-06-01 11:20 18,714 SysWmWacz.dll
2008-06-01 11:20 18,888 SysZxacC.dll
2008-06-01 10:44 23,724 uysv15.exe
2008-06-01 10:26 2,206 wpa.dbl
2008-06-01 11:21 225,792 wrqszl.dll
2008-06-01 11:21 24 wymxajkl.sys
2008-06-01 10:43 23,284 xasr6.exe
2004-08-08 11:21 520 xzcsbhlp.sys
2004-08-08 11:21 533,512 yxcschlp.dll
2008-06-01 10:27 23,284 yydh6.exe
2008-06-01 11:20 218,624 zdesfx.dll
2008-06-01 11:20 229,376 zgfdet.dll
2008-06-01 11:20 23,284 zmph6.exe
2004-08-08 11:21 14,915 zxcsahlp.exe
2004-08-08 10:44 14,915 zxcsahlp.exe
上面的文件不一定完全对应,大部分都是隐藏的,还加了系统属性。还有你应该根据你中毒的时间搜寻出 这些个文件,一般中一次所中的病毒体文件的创建时间应该是一致的。注意,不是所有的病毒体创建日期都一致,但是如果你确定了一个病毒体,那么与这个病毒体创建时间一致的文件都要注意了。
iteye_887
关注
完整记录一则Oracle 11.2.0.4单实例打PSU补丁的过程
weixin_34186128的博客
12-04 7万+
本文记录了打PSU的全过程,意在体会数据库打PSU补丁的整个过程。 1.OPatch替换为最新版本2.数据库软件应用19121551补丁程序3.数据库应用补丁4.验证PSU补丁是否应用成功 1.OPatch替换为最新版本 [oracle@DB usr2]$ id uid=500(oracle) gid=500(oinstall) 组=500(oinstall),501(dba) 环境=...
材料物理-综-合-练-习.doc
10-12
6. **润湿性与界面力**:固-液两相接触时,为了实现润湿,液-固界面力需低于固-气和液-气界面力,即Ysv。 7. **扩散机制**:在UO2晶体中,O2-的扩散通常通过空位机制进行,这涉及到缺陷在晶体中的移动。 8. **粘土...
prfc0804.dat
12-13
prfc0804
http://95u.free.fr/index.php,Electronic Software Distribution Service
热门推荐
weixin_39632291的博客
03-19 146万+
Content-Type: multipart/related; start=; boundary=----------OH5LlQ9dynBJGqR8E2AiMRContent-Location: https://software.pitt.edu/software/software.aspSubject: =?utf-8?Q?Electronic=20Software=20Distributi...
Java bovo,java/2095: redefinition of symbol ".LLBB0" in assembler output
weixin_34616304的博客
03-19 1万+
>Number: 2095>Category: java>Synopsis: redefinition of symbol ".LLBB0" in assembler output>Confidential: no>Severity: serious>Priority: medium>Re...
vue表情文字转为表情
qq_58101212的博客
08-22 5407
【代码】表情文字转为表情。菜鸟,勿喷
vue 之常用工具文件
weixin_53105591的博客
12-26 1249
常见的工具js文件 1 日常使用的 2 各种加密方法 3 模板样式
前端之数据加密方法
weixin_53105591的博客
01-10 2019
前端加密方法总结
鞠今日截语2014.05.11火星合月
u013325515的专栏
06-08 604
http://www.docin.com/p-828383564.html?28jc9D6nH http://www.docin.com/p-828383553.html?k3iU8V http://www.docin.com/p-828383517.html?ApZl6fWeew http://www.docin.com/p-828383481.html?2vPD57 http://ww
ArcGIS api 4.x label文字,图片显示
qq_43314764的博客
05-19 1万+
一、实现思路 (一)地图上添加div,用于展示点信息和图片; (二)添加监听事件,在地图缩放、拖动时监听; (三)将地理坐标转成屏幕坐标,刷新div坐标,通过top、left属性控制; (四)球体地图,添加地图范围筛选,点在地球正面的显示,在地球反面的不显示; 二、实现效果 敬请期待。。。 三、实现代码 敬请期待。。。 ...
关于jquery.mloading加载loading效果
qq_34357018的博客
10-19 2万+
首先将jquery.mloading.js和jquery.mloading.css引入到页面 显示loading //自定义 $(element).mLoading({ text:"",//加载文字,默认值:加载中... icon:"",//加载图标,默认值:一个小型的base64的gif图片 html:false,//设置加载内容是否是html格式,默认值是false content:"",//忽略icon和text的值,直接在加载框中显示此值 mask:tr...
电子-YSV0.4基本识别工程基础版.rar
09-05
《电子-YSV0.4基本识别工程基础版》是一个专为学习单片机和嵌入式系统设计的资源包,特别关注STM32系列微控制器的F0、F1和F2型号。这个压缩包提供了丰富的教学材料,旨在帮助初学者和开发者深入理解STM32的基础知识...
新浪手机登录流程
08-04
base64,iVBORw0KGgoAAAANSUhEUgAAAGQAAAAoCAMAAAA\/pq9xAAAATlBMVEX\/\/\/9lZf7r6\/6env54eP6ysv7Fxf6Li\/7Y2P6trf51df5sbP6Xl\/65uf6Wlv6Vlf6Pj\/6Jif6IiP59ff6Bgf5xcf56ev5zc\/58fP5ubv6UsCJmAAACsklEQVRIie1Wa2\/...
【鸿蒙2025领航者闯关】从技术突破到生态共建,开发者的成长与远航
CodeSuc 的技术博客
12-10 1297
鸿蒙开发全场景实践指南(2025) 本文系统梳理了鸿蒙生态开发的核心技术与实践经验。作为分布式操作系统,鸿蒙通过分布式软总线、ArkUI框架和FA/HAP应用架构,实现多设备无缝协同。
wsl与docker网络问题
weixin_62742821的博客
12-11 167
写在前面:写这篇文章的出发点是因为在解决问题过程中遇到太多糟心事了,深感摸着石头过河的不合理性,面对网络上各式各样的解决方法,如果对于底层的原理不了解那对于文章的适用性也就会不了解了。因此文章主要写的是一下概念性问题。1、解决方法:专注于端口,export xxx=127.0.0.1等。
Windows 64位安装MySQL5.7.44
宁德的小码农
12-09 573
本文提供了MySQL 5.7.44 64位版本在Windows系统下的详细安装配置指南。主要内容包括:从官方下载MySQL压缩包并解压到指定目录;创建my.ini配置文件,包含字符集设置、性能优化参数、日志配置等关键选项;通过命令行初始化数据库并记录临时密码;安装MySQL服务并启动;使用临时密码登录后修改root密码;最后验证分区模块是否启用。配置文件中特别优化了InnoDB缓冲池大小、查询缓存等参数,适合中大型应用场景,同时提供了日志记录和严格SQL模式等安全设置。
【总结】【OS】由操作系统完成的
最新发布
wuyufei_sun的博客
12-12 441
管理CPU(调度)、内存(分配/置换)、设备(驱动/缓冲)、文件(命名/组织)。:OS是资源的唯一管理者,进程是资源分配的单位。(包括PC、SP、PTBR等),以及管理地址空间映射的切换。:凡是需要访问或修改系统核心数据结构(如PCB链表、页表、设备队列)的操作,都必须由在。:哪些是OS必须做的(资源管理、上下文切换),哪些是OS不一定做的(如终止子进程)例如:缺页(硬件检测)→ OS选择置换页 → 磁盘I/O(硬件执行)。资源回收、注销身份(PCB)必须由“殡葬师”(OS)来完成。
Linux学习日记17:线程的创建与使用
2201_75969037的博客
12-10 1121
本文介绍了Linux系统中线程的基本概念和操作。主要内容包括:1.线程与进程的关系,指出线程是共享进程资源的轻量级执行单元;2.线程的核心属性,如线程ID、独立栈空间和私有数据等;3.线程操作函数,包括创建(pthread_create)、等待(pthread_join)和退出(pthread_exit);4.通过实例演示线程创建、退出和等待的实现方式,并比较了pthread_exit与exit的区别。文章强调Linux将线程视为任务统一管理,使用POSIX线程库需链接-lpthread,并解释了避免僵尸线
【极简树莓派】五、项目
dochyi的博客
12-09 669
它即可以当做是从 PC 或者 Web 上观看流媒体的机顶盒,作为一个全功能一体化的设备,也可以访问外接硬盘和其他存储媒介中的资源,将视频输出到你的电视或者音响系统中。但是要做到这些,你需要安装一种特殊版本的 XBMC 系统,我们称之为 Raspbmc。这是树莓派可选安装的一种 操作系统,主要运用在 XBMC 多媒体播放器上。系统镜像可以在这里下载。然后你需要将其 安装到 SD 卡上,方法步骤同安装 Raspbian 系统一样理想情况下你应该使用 2 张 SD 卡。
YSV0.4基本识别工程基础版详细教程
标题“电子-YSV0.4基本识别工程基础版.rar”和描述“电子-YSV0.4基本识别工程基础版.rar,单片机/嵌入式STM32-F0/F1/F2”以及标签“单片机/嵌入式STM32-F0/F1/F2专区”指出了这个压缩包文件主要涉及的是电子工程领域...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值