遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
endurer 原创
2007-07-24 第1版
很奇怪,今天中午在一位网友的电脑遇到与此相似的东东,pe_xscan 的 log 中的 O2、O4、O23、O24都相似,各盘下也有auto.exe,但多了一个:O20 - AppInit_DLLs: mybpri.dll,修复起来比这个要困难……
还是先说一下昨天这个的处理过程罢:
关闭系统还原功能
停止并禁用服务:WindowsDown (Windows_SystemDown)
用任务管理器终止进程树:C:/Program Files/Internet Explorer/msvcrt.bak
下载安装瑞星卡卡安全助手,选择 [高级功能],在[进程管理]里终止进程:C:/WINDOWS/system32/drivers/smss.exe
在[插件管理及卸载] 里把 O2、O24 项卸载掉,
在 [IE及系统修复] 里修复红色显示的部分:HKLM/SHOWALL 值非1
在[系统启动项管理]里,右击 O4 和 O23 项对应的项目,从弹出的菜单里选择删除。
到 http://purpleendurer.ys168.com 下载 FreeDLL,bat_do 和 FileInfo。
用 FreeDLL 从所有进程卸载 msvcrt.dll、Relive.dll等。还好,O4组的那些没有启动,不然就有得忙了……
FileInfo提取文件信息,用 bat_do 将可疑文件打包备份,使用延迟删除,然后生成去除属性和删除命令并执行,再下次启动时执行。
用WinRAR删除 各盘下的 autorun.inf 和 auto.exe。
到控制面板的“添加删除程序”里卸载:中文搜搜、 Alexa。
到 http://endurer.ys168.com 下载 HijackThis,修复 O8、O11。
用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
重启电脑,再用瑞星卡卡安全助手检查[高级功能]->[插件管理及卸载],如果还残留O24中的项目,再卸载一次。
文件说明符 : C:/WINDOWS/System32/smss.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-18 19:57:27
修改时间 : 2007-7-18 19:57:56
访问时间 : 2007-7-23 0:0:0
大小 : 103403 字节 100.1003 KB
MD5 : c31c8d307884ab5c3e7e7a10fa72d2e6
Kaspersky 报为 HackTool.Win32.Agent.be,瑞星 报为 Hack.ArpCheater.a(ARP欺骗工具)
文件说明符 : C:/WINDOWS/system32/visin.exe
属性 : ----
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2007-7-18 22:37:51
修改时间 : 2005-3-3 2:10:6
访问时间 : 2007-7-23 0:0:0
大小 : 25639 字节 25.39 KB
MD5 : 3c02316b557dcb8dda8f6fe65040e748
Kaspersky 报为 Trojan-Downloader.Win32.Small.exc,瑞星 报为 Trojan.PSW.Win32.Agent.qi
文件说明符 : C:/WINDOWS/system32/servet.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-22 16:22:5
修改时间 : 2007-7-22 16:23:22
访问时间 : 2007-7-23 0:0:0
大小 : 16613 字节 16.229 KB
MD5 : e42e9b5ccb602214271c1fb924a00ecc
Kaspersky 报为 Virus.Win32.AutoRun.au,瑞星 报为 Trojan.DL.Mnless.akb
文件说明符 : D:/auto.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 1. 0. 0. 0
说明 : Microsoft drivers
版权 :
备注 :
产品版本 : 0.0.0.0
产品名称 :
公司名称 : Microsoft
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-7-21 15:19:39
修改时间 : 2007-5-29 11:20:52
访问时间 : 2007-7-22 0:0:0
大小 : 150814 字节 147.286 KB
MD5 : a104e1fd11617c0f225a30d49861c478
图标是白描的猫或鼠。
文件说明符 : c:/windows/system32/2.jpg
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-21 15:19:32
修改时间 : 2007-7-22 16:23:30
访问时间 : 2007-7-22 0:0:0
大小 : 473257 字节 462.169 KB
MD5 : a782f4f92fbfc57703872f1562e0ec34
释放:
drivers/auto.txt
drivers/csrss.exe
drivers/drivers.exe
drivers/npf.sys
drivers/smss.exe
Packet.dll
WanPacket.dll
wpcap.dll
C:/WINDOWS/system32/drivers/csrss.exe 与 auto.exe 相同。
文件说明符 : C:/WINDOWS/system32/drivers/auto.txt
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-21 15:19:38
修改时间 : 2007-7-18 20:26:36
访问时间 : 2007-7-22 0:0:0
大小 : 137 字节
MD5 : 895cd66a288ec2b170af35a18800411e
内容与autorun.inf相同:
/---
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
---/
文件说明符 : C:/WINDOWS/system32/nwizzhuxians.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-18 8:12:40
修改时间 : 2007-6-18 8:13:0
访问时间 : 2007-7-23 0:0:0
大小 : 46895 字节 45.815 KB
MD5 : dda372cd5e1c47b8cb4fe18d8e76af79
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.fq,瑞星 报为 Packer.Mian007
文件说明符 : C:/WINDOWS/system32/drivers/drivers.exe
属性 : A---
语言 : 英语(美国)
文件版本 : 1. 0. 0. 0
说明 : Microsoft drivers
版权 :
备注 :
产品版本 : 0.0.0.0
产品名称 :
公司名称 : Microsoft
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-7-21 15:19:39
修改时间 : 2007-5-29 11:20:52
访问时间 : 2007-7-22 0:0:0
大小 : 150814 字节 147.286 KB
MD5 : a104e1fd11617c0f225a30d49861c478
瑞星 报为 Trojan.DL.Win32.Agent.wys
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/woso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-10 9:18:32
修改时间 : 2007-7-19 17:56:12
访问时间 : 2007-7-22 0:0:0
大小 : 9500 字节 9.284 KB
MD5 : cfa2db081308b1dcb345635c8b51b038
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/ztso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-8 5:26:37
修改时间 : 2007-7-19 17:56:12
访问时间 : 2007-7-22 0:0:0
大小 : 8832 字节 8.640 KB
MD5 : 91d3add55a71de8487f72c8bca7f0a30
Kaspersky 报为 Trojan-PSW.Win32.Small.cf,瑞星 报为 Trojan.PSW.ZhengTu.jzd
文件说明符 : D:/pe/tools/virus/daso.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-19 17:55:5
修改时间 : 2007-7-19 17:56:28
访问时间 : 2007-7-23 0:0:0
大小 : 7952 字节 7.784 KB
MD5 : 50c231feac49deaa417ea4e542bbd2b0
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.nw,瑞星 报为 Trojan.PSW.Win32.XYOnline.as
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/daso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-19 17:55:5
修改时间 : 2007-7-22 16:17:44
访问时间 : 2007-7-22 0:0:0
大小 : 7168 字节 7.0 KB
MD5 : 3e3729eb7afc9055a3d398452c98ffd8
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.nw,瑞星 报为 Trojan.PSW.Win32.XYOnline.aq
C:/Documents and Settings/user/Local Settings/Temp/daso1.dll 同 daso0.dll
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/fyso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-21 15:18:15
修改时间 : 2007-7-22 16:17:40
访问时间 : 2007-7-22 0:0:0
大小 : 11264 字节 11.0 KB
MD5 : 20d1484e9bdb1612589b8e2ca0e89b58
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.abi,瑞星 报为 Trojan.PSW.OnlineGames.bhw
C:/Documents and Settings/user/Local Settings/Temp/fyso1.dll 同 fyso0.dll
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/woso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-21 15:18:14
修改时间 : 2007-7-22 16:17:40
访问时间 : 2007-7-22 0:0:0
大小 : 12800 字节 12.512 KB
MD5 : 9f66799e7112a1bc57b6db8a60498837
Kaspersky 报为 Trojan-PSW.Win32.Small.cf,瑞星 报为 Trojan.PSW.Win32.WoWar.sl
C:/Documents and Settings/user/Local Settings/Temp/woso1.dll 同 woso0.dll
文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/ztso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-21 15:18:14
修改时间 : 2007-7-22 16:17:40
访问时间 : 2007-7-22 0:0:0
大小 : 10240 字节 10.0 KB
MD5 : 5ccb031fdad424c9e39c3e45ee048ddc
Kaspersky 报为 Trojan-PSW.Win32.Nilage.bjp,瑞星 报为 Trojan.PSW.Win32.OnlineGames.dfh
C:/Documents and Settings/user/Local Settings/Temp/ztso1.dll 同 ztso0.dll
文件说明符 : C:/Program Files/Internet Explorer/msvcrt.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-7-19 15:26:34
修改时间 : 2007-7-19 15:27:26
访问时间 : 2007-7-23 0:0:0
大小 : 23087 字节 22.559 KB
MD5 : 39cedb7e898215555e0dc800932dac71
Kaspersky 报为 Virus.Win32.AutoRun.bk,瑞星 报为 Worm.Win32.Delf.ysw
文件说明符 : C:/Program Files/Internet Explorer/HiJack.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-14 9:55:18
修改时间 : 2007-5-14 9:55:20
访问时间 : 2007-7-22 0:0:0
大小 : 22069 字节 21.565 KB
MD5 : 3c184e788ed31c18931b0e05ddf4241f
文件说明符 : C:/Program Files/Internet Explorer/HiJack.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-14 9:55:18
修改时间 : 2007-5-23 2:3:54
访问时间 : 2007-7-22 0:0:0
大小 : 14389 字节 14.53 KB
MD5 : aeb8522ad07bb0a1e04ba20496b45451
文件说明符 : C:/Program Files/Internet Explorer/romdrivers.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-23 2:4:56
修改时间 : 2007-6-12 9:16:48
访问时间 : 2007-7-22 0:0:0
大小 : 22066 字节 21.562 KB
MD5 : 93ddd394c7d36ccf069141ad84585f57
Kaspersky 报为 Virus.Win32.AutoRun.am,瑞星 报为 Trojan.PSW.Agent.kbg》upx_c
文件说明符 : C:/Program Files/Internet Explorer/romdrivers.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-23 2:4:56
修改时间 : 2007-6-17 8:21:2
访问时间 : 2007-7-22 0:0:0
大小 : 14898 字节 14.562 KB
MD5 : 5e12658d4dec4c3f9df782a23d179c5d
Kaspersky 报为 Virus.Win32.AutoRun.am,瑞星 报为 Trojan.PSW.Agent.kbg》upx_c
文件说明符 : C:/Program Files/Internet Explorer/msvcrt.ebk
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-7-22 16:17:36
修改时间 : 2007-7-22 16:51:6
访问时间 : 2007-7-22 0:0:0
大小 : 14895 字节 14.559 KB
MD5 : 8ae7f8988a5bfb7b5fb4d2a648cb1c16
Kaspersky 报为 Virus.Win32.AutoRun.bk,瑞星 报为 Worm.Win32.Delf.ysw》upx_c
文件说明符 : C:/Program Files/Internet Explorer/msvcrt.dll
属性 : ----
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-7-15 16:2:59
修改时间 : 2007-7-22 16:51:6
访问时间 : 2007-7-22 0:0:0
大小 : 14895 字节 14.559 KB
MD5 : 8ae7f8988a5bfb7b5fb4d2a648cb1c16
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/HiJack.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-8 5:20:19
修改时间 : 2007-5-8 5:20:20
访问时间 : 2007-7-22 0:0:0
大小 : 18997 字节 18.565 KB
MD5 : 45680654f7e984aa1781fbee26603042
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
属性 : ----
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-7-22 16:56:54
修改时间 : 2007-7-22 16:59:14
访问时间 : 2007-7-23 0:0:0
大小 : 12341 字节 12.53 KB
MD5 : f3d36c0a5bac3eae2a28063cac087102
Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo,瑞星 报为 Trojan.HiJack.c
遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2相关推荐
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1
遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1 endurer 原创 2007-07-23 第1版 一位网友说他的电脑昨晚使用时出 ...
- ARP欺骗工具arpspoof的用法
ARP欺骗工具arpspoof的用法 ARP工具 ARP断网攻击 ARP欺骗 ARP工具 arpspoof 是一款进行arp欺骗的工具,攻击者可以通过它来毒化受害者arp缓存,将网关mac替换为攻击者 ...
- 局域网arp攻击_python制作ARP欺骗工具
前面给大家做一些扫描工具,今天小菜给大家带来了ARP欺骗工具.当然啦,工具实现起来也是几行代码呢!(是不是依旧如此简单).这个可以让目标器断网,还可以把数据包转到自己机器上,自己机器开启转发数据包功能 ...
- 关于fi dd ler 手机抓包 网卡地址地址_网络抓包的高级手段:ARP欺骗工具的应用...
网络数据包的捕获有时会遇到条件不具备的情况,就会人为利用一些手段来创造抓包环境,来完成"尴尬"局面下的数据抓取.这里我们介绍一款ARP欺骗工具-Cain&Abel. 主界面 ...
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
endurer 原创 2006-08-10 第1版 刚才一位网友的电脑开机时,瑞星开机扫描发现病毒:Trojan.PSW.ZhengTu.dm.Trojan.PSW.LMir.atb,接着瑞星监控小伞 ...
- 最近幻影的两个ARP欺骗工具 挺不错的
arpspoof 3.1b 主要功能:ARP欺骗过程中进行数据修改,实现会话劫持攻击 说明: 本程序公开源代码,为了换取更多朋友的指教 实例: 欺骗192.168.0.108访问百度网站的全过程(注: ...
- 网络安全 中间人攻击-ARP欺骗 工具:Cain
两台虚拟机:A和B,A中有工具Cain A是攻击机, B是靶机 首先,在B中使用cmd查看IP地址,注意网关 再查看B的ARP表 都查看完之后,回带有工具的虚拟机A中,打开Cain 下面开始在Cain ...
- 2021年二月下旬文章导读与开源项目仓库 | scatter-gather DMA,SR-IOV,ARP欺骗,中断,Lockdep,virtio,vhost
目录 文章目录 开源项目仓库 [转]浅谈scatter-gather DMA SR-IOV:网卡直通技术 [黑客入门] 连接公共WIFI有多危险(ARP欺骗) DPDK ACL算法介绍 文章目录 Li ...
- 使用ARP欺骗, 截取局域网中任意一台机器的网页请求,破解用户名密码等信息
ARP欺骗的作用 当你在网吧玩,发现有人玩LOL大吵大闹, 用ARP欺骗把他踢下线吧 当你在咖啡厅看上某一个看书的妹纸,又不好意思开口要微信号, 用arp欺骗,不知不觉获取到她的微信号和聊天记录,吓一 ...
最新文章
- Apache工具类ToStringBuilder用法简介
- AI 帮忙找 Bug ,英特尔开源代码编程工具 ControlFlag
- 影像组学视频学习笔记(12)-支持向量机(SVM)参数优化(代码)、Li‘s have a solution and plan.
- Android自定义控件(四)仿网易客户端上拉加载更多
- webview如何自动登录保存登录信息详情
- ubuntu ssh密钥_生成SSH密钥以在Ubuntu中进行无密码登录
- 华为ADSL路由设置
- 简单瀑布流-jquery实现
- spss入门基本用法
- 人生时间计算器_真实年龄计算器app下载-抖音珍稀时间年龄计算器下载v1.5 安卓版-西西软件下载...
- Esxi 5下ROS5.18+Panabit
- Unity 灯光及光照烘焙
- 企业微信推送应用消息-图片(news)/图文(npmnews)/卡片/文字
- 按键精灵获取服务器信息,按键精灵获取窗口信息脚本源码
- 荣联 云通讯 发送短信通知 node
- 【python】13位时间戳转成正常格式的时间
- 基于FPGA的数字钟——(三)时钟显示模块(数码管)
- python 搜索功能_怎么python检索Twitter搜索功能?
- Spring4 实战笔记(3):面向切面编程
- 自动增益控制电路(AGC)