AI 助理
备案控制台
开发者社区 安全 文章 正文

遭遇internet.exe,new.sys,hcalway.sys,mspcidrv.sys,msprosys.sys等

2024-09-28 63
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 遭遇internet.exe,new.sys,hcalway.sys,mspcidrv.sys,msprosys.sys等

昨晚一位网友说他的电脑中了病毒,不定期弹广告窗口,有时会倒计时关机,让偶通过QQ远程协助检修。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/---
pe_xscan 07-08-30 by Purple Endurer
2007-11-20 21:07:25
Windows XP Service Pack 1(5.1.2600)
管理员用户组 
[System Process] * 0
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
C:/WINDOWS/system32/svchost.exe * 796 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24
C:/WINDOWS/System32/svchost.exe * 1156 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24
C:/WINDOWS/System32/ctfmon.exe * 532 | 2002-10-7 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.1106 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
C:/Program Files/Tencent/qq/QQ.exe * 3244 | 2007-10-11 18:26:42 | QQ | 7,1,518,1751 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,1,518,1751 | TENCENT |  | COMQQD | QQ.exe
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
C:/Program Files/Tencent/QQ/TIMPlatform.exe * 3272 | 2007-10-11 17:43:48 | QQ | 7,1,518,1751 | TIMPlatform | Copyright ? 2005 ━ 2007 TENCENT Inc. All Rights Reserved | 7,1,518,1751 | TENCENT |  | TIMPlatform | TIMPlatform.exe
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
C:/WINDOWS/System32/rundll32.exe * 1376 | 2002-10-7 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.0 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | rundll | RUNDLL.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
C:/Program Files/Internet Explorer/iexplore.exe * 2268 | 2002-10-7 20:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2800.1106 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2800.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
    C:/Program Files/TENCENT/SSPlus/SAddr.dll | 2007-11-6 9:22:28 | SAddr Module | 5, 0, 2, 10 |  |  | 5, 0, 2, 10 | Tencent |  | SAddr.dll | 
    C:/Program Files/DeskAdTop/deskipn.dll | 2006-6-13 14:22:34 | bho Module | 1, 0, 0, 1 | bho Module | Copyright 2006 | 1, 0, 0, 1 | | ? | bho | bho.DLL
    C:/WINDOWS/System32/nsp.dll | 2003-9-19 9:33:24
C:/WINDOWS/explorer.exe * 3788 | 2002-10-7 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2800.1106 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2800.1106 (xpsp1.020828-1920) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll | 2007-9-29 10:9:20 | SPlus Module | 5, 0, 1, 25 |  | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 1, 25 | TENCENT |  | SPlus.dll | SPlus.dll
    C:/Program Files/TENCENT/SSPlus/SAddr.dll | 2007-11-6 9:22:28 | SAddr Module | 5, 0, 2, 10 |  |  | 5, 0, 2, 10 | Tencent |  | SAddr.dll | 
O2 - BHO IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/Program Files/DeskAdTop/deskipn.dll
O2 - BHO Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:/Program Files/TENCENT/SSPlus/SAddr.dll
O2 - BHO CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll
O2 - BHO Advance Helper - {8E25AC4A-B129-451B-BEE2-3B510BB751DA} - C:/WINDOWS/System32/NTDLL32.dll
O2 - BHO IE Browser Helper - {D0903A3B-F0EA-434a-9742-98C5335C7946} - C:/WINDOWS/System32/IEHelper.dll
O2 - BHO  - {F6CD3E64-61D4-4cb1-982C-DAE3271B6D85} - 
O3 - IE工具栏: whatever.. - {40987A5C-6AB8-4977-8BE9-A8889DE2EDCC} - C:/Program Files/Copyso/CopysoIE.dll
O4 - HKLM/../Run: [NMGameX_AutoRun] C:/WINDOWS/System32/Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM/../Run: [CdnCtr] 
O4 - HKLM/../Run: [Desktop] "C:/WINDOWS/System32/internet.exe"
O4 - HKLM/../Run: [Internet] "C:/WINDOWS/system32/internet.exe"
O4 - HKLM/../Run: [stup.exe] Rundll32.exe C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll,Rundll32 R
O9 - IE工具栏扩展按钮HKLM:中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll
O9 - IE工具菜单扩展项HKLM:中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:/WINDOWS/System32/CdnIEHlp.dll
O9 - IE工具栏扩展按钮HKLM:易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - hxxp://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=hxxp://www.ebay.com.cn
O9 - IE工具菜单扩展项HKLM:易趣购物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - hxxp://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=hxxp://www.e
O11 - IE扩展选项组:TBH (中文搜搜) =
O23 - 服务: abhcop (abhcop) - system32/drivers/abhcop.sys(系统)
O23 - 服务: AHOOK (AHOOK) - C:/WINDOWS/System32/drivers/ahook.sys(自动)
O23 - 服务: CdnHook (CDNHOOK) - System32/drivers/cdnhook.sys(系统)
O23 - 服务: hcalway (hcalway) - System32/DRIVERS/hcalway.sys(系统)
O23 - 服务: Internet Connection Manager (Internet Connection Manager) - "C:/WINDOWS/System32/internet.exe"(自动)
O23 - 服务: mspcidrv (mspcidrv) - system32/DRIVERS/mspcidrv.sys(系统)
O23 - 服务: msprosys (msprosys) - System32/DRIVERS/msprosys.sys(系统)
O23 - 服务: New0 (New0) - C:/WINDOWS/System32/new.sys | 2004-12-4 11:17:36(自动)
O26 - IFEO: cdnup.exe -> C:/WINDOWS/system32/rundll32.exe
---/

居然还是 win xp sp1……难怪会中这么多流氓软件和恶意软件

 

下载安装 卡卡安全助手,先在[基本功能]—>[查杀恶意及流氓软件],扫描并清理流氓软件

然后在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。

接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。

接下来要处理文件:

C:/WINDOWS/System32/internet.exe

C:/WINDOWS/System32/new.sys

C:/WINDOWS/system32/drivers/abhcop.sys

C:/WINDOWS/System32/drivers/ahook.sys

C:/WINDOWS/System32/drivers/cdnhook.sys

C:/WINDOWS/System32/DRIVERS/hcalway.sys

C:/WINDOWS/system32/DRIVERS/mspcidrv.sys

C:/WINDOWS/System32/DRIVERS/msprosys.sys

http://purpleendurer.ys168.com 下载 bat_do 和FileInfo。

用 FileInfo 提取文件信息,用 bat_do 打包备份,延时删除,生成去除属性,删除,改名命令,下次启动时执行。

用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。

重启电脑~  


文章标签:
Windows
安全
游客qeoynko2nmbgk
目录
相关文章
2025「AI安全」全球攻防赛小编
|
6天前
|
人工智能 自然语言处理 安全
双第一!阿里云领跑安全运营智能体
喜报~
2025「AI安全」全球攻防赛小编
2084 8
2025「AI安全」全球攻防赛小编
|
5天前
|
云安全 人工智能 安全
AI被攻击怎么办?
阿里云提供 AI 全栈安全能力,其中对网络攻击的主动识别、智能阻断与快速响应构成其核心防线,依托原生安全防护为客户筑牢免疫屏障。
2025「AI安全」全球攻防赛小编
1600 3
阿里云万网官方
|
15天前
|
域名解析 人工智能
【实操攻略】手把手教学,免费领取.CN域名
即日起至2025年12月31日,购买万小智AI建站或云·企业官网,每单可免费领1个.CN域名首年!跟我了解领取攻略吧~
阿里云万网官方
1965 9
阿里云云原生
|
9天前
|
安全 Java Android开发
深度解析 Android 崩溃捕获原理及从崩溃到归因的闭环实践
崩溃堆栈全是 a.b.c?Native 错误查不到行号?本文详解 Android 崩溃采集全链路原理,教你如何把“天书”变“说明书”。RUM SDK 已支持一键接入。
阿里云云原生
604 214
阿里云开发者
|
存储 人工智能 监控
从代码生成到自主决策:打造一个Coding驱动的“自我编程”Agent
本文介绍了一种基于LLM的“自我编程”Agent系统,通过代码驱动实现复杂逻辑。该Agent以Python为执行引擎,结合Py4j实现Java与Python交互,支持多工具调用、记忆分层与上下文工程,具备感知、认知、表达、自我评估等能力模块,目标是打造可进化的“1.5线”智能助手。
阿里云开发者
843 61
游客6mpq4uc7irdxi
|
7天前
|
人工智能 移动开发 自然语言处理
2025最新HTML静态网页制作工具推荐:10款免费在线生成器小白也能5分钟上手
晓猛团队精选2025年10款真正免费、无需编程的在线HTML建站工具,涵盖AI生成、拖拽编辑、设计稿转代码等多种类型,均支持浏览器直接使用、快速出图与文件导出,特别适合零基础用户快速搭建个人网站、落地页或企业官网。
游客6mpq4uc7irdxi
1247 157
1837601489925924
|
4天前
|
编解码 Linux 数据安全/隐私保护
教程分享免费视频压缩软件,免费视频压缩,视频压缩免费,附压缩方法及学习教程
教程分享免费视频压缩软件,免费视频压缩,视频压缩免费,附压缩方法及学习教程
1837601489925924
239 138
1837601489925924
|
7天前
|
存储 安全 固态存储
四款WIN PE工具,都可以实现U盘安装教程
Windows PE是基于NT内核的轻量系统,用于系统安装、分区管理及故障修复。本文推荐多款PE制作工具,支持U盘启动,兼容UEFI/Legacy模式,具备备份还原、驱动识别等功能,操作简便,适合新旧电脑维护使用。
1837601489925924
521 109

热门文章

最新文章

  • 1
    linux下ffmpeg安装
  • 2
    overleaf 插入图片,引用图片,图标标题Fig与文章引用Figure不一致解决
  • 3
    364 页 PyTorch 版《动手学深度学习》PDF 开源了(全中文,支持 Jupyter 运行)
  • 4
    阿里云上的几种数据备份方式
  • 5
    用深度神经网络修复H漫:看完这篇你就能眼中无码
  • 6
    MySQL · 引擎特性 · 像NOSQL那样使用MySQL
  • 7
    解决GitHub文件无法下载的问题
  • 8
    OpenSearch大模型实践之Havenask篇
  • 9
    SpringBoot整合Java Mail实现Outlook / Office365发送邮件
  • 10
    2019阿里云双11来袭,价格非常重要,但是懂得上云攻略更重要
  • 1
    AI Agent框架
    53
  • 2
    AI Agent:从工具到伙伴的智能进化
    56
  • 3
    计算机网络--TCP和UDP学习
    30
  • 4
    LBA-ECO ND-30 营养分析和气体通量,森林年代序列,巴西帕拉州
    30
  • 5
    2025年测试工程师的核心能力:掌握Dify工作流编排AI测试智能体
    52
  • 6
    有了解过 SpringBoot 的参数配置吗?
    42
  • 7
    分类模型校准:ROC-AUC不够?用ECE/pMAD评估概率质量
    23
  • 8
    把服务器当代码写:IaC 让部署变得又稳又香
    43
  • 9
    SDN 和 NFV:把网络“拆开重做”的底层革命,到底牛在哪?
    40
  • 10
    用数据“掘地三尺”,为零碳排放找出一条最靠谱的路
    31

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云弹性公网IP线路类型【BGP(多线)_精品】是什么意思?