AI 助理
备案控制台
开发者社区 安全 文章 正文

遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1

2024-09-28 6
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1

昨晚一位网友说他的电脑中了病毒,金山毒霸不停的提示发现病毒WinForm2.dll,使用一段时间后会弹出倒计时关机对话框,让偶通过QQ远程协助。

让网友重启到带网络连接的安全模式,刚连上就出现了倒计时关机对话框,用shutdown -a命令停止了。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/===
pe_xscan 07-07-24 by Purple Endurer
2007-8-13 21:49:9
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/winlogon.exe * 452 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/lsass.exe * 512 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/svchost.exe * 660 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/Explorer.EXE * 1456 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
C:/KAV2007/KAV32.EXE * 1968 | 2001-8-3 9:18:3 | Kingsoft Internet Security | 7, 6, 0, 19 | Kingsoft AntiVirus | Copyright (C) 2000 - 2007 Kingsoft Corporation. All rights reserved. | 2007, 7, 23, 229 | Kingsoft Corporation | Kingsoft | KAV32 | KAV32.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
C:/WINDOWS/system32/conime.exe * 812 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Console IME | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | Console | CONIME.EXE
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/xyhins.exe * 980 | 2007-8-11 22:48:14
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/jzgins.exe * 1092 | 2007-8-11 15:12:30
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/qhcins.exe * 504 | 2007-8-11 22:24:24
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/ztmins.exe * 1320 | 2007-8-12 15:22:34
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/qjeins.exe * 1372 | 2007-8-12 19:47:24
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/zxgins.exe * 920 | 2007-8-12 20:6:8
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/jhains.exe * 1528 | 2007-8-12 20:3:30
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/ctfmon.exe * 164 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/Program Files/Internet Explorer/iexplore.exe * 1536 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50

F2 - REG: system.ini: UserInit=C:/WINDOWS/system32/Userinit.exe

O4 - HKCU/../Run: [blin] "C:/Documents and Settings/h/blin/blin.exe" -background 1
C:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
D:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
E:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
F:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/

O23 - 服务: 46427F5F (46427F5F) - C:/WINDOWS/system32/61611F9E.EXE -46427F5F(自动)
O23 - 服务: BB7005AC (BB7005AC) - C:/WINDOWS/system32/1CC3706C.EXE -k(自动)
O23 - 服务: dmmuykip (dmmuykip) - System32/DRIVERS/dmmuykip.sys| ? | 1.6.9.1084| ?| ? | 1.8.0.1096 | Yahoo! China Corporation| ?| ?| ?(引导)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies |  | NPF + TME  | npf.sys(手动)

O24 - ShlExecHook: [] - {40117B96-998D-4D80-8F89-5E9DBD9F3460} = C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys
O24 - ShlExecHook: [8] - {813AF41A-21B1-131B-1BFC-D2A90DF4A2B8} = C:/WINDOWS/system32/WinForm2.dll
O24 - ShlExecHook: [WindowsVista] - {3495D328-661A-4FB0-BA67-8ACDD1704D1E} = C:/WINDOWS/system32/temp[3].dll
O24 - ShlExecHook: [9] - {913AF41A-21B1-131B-1BFC-D2A90DF4A2B9} = C:/WINDOWS/system32/xyhpri.dll
O24 - ShlExecHook: [7] - {759AFD5B-159F-ACD8-954C-ACD545FA6587} = C:/WINDOWS/system32/jzgpri.dll
O24 - ShlExecHook: [3] - {36368135-64FA-BC34-DA32-DCF4FD431C93} = C:/WINDOWS/system32/qhcpri.dll
O24 - ShlExecHook: [D] - {D1351752-5628-1547-FFAB-BADC13512AFD} = C:/WINDOWS/system32/ztmpri.dll
O24 - ShlExecHook: [5] - {54123FF1-8371-9834-9021-184518451FA5} = C:/WINDOWS/system32/qjepri.dll
O24 - ShlExecHook: [7] - {7A65498A-7653-9801-1647-987114AB7F47} = C:/WINDOWS/system32/zxgpri.dll
O24 - ShlExecHook: [2] - {252D2432-37A2-324F-2A54-21BF5CF2F1A2} = C:/WINDOWS/system32/jhapri.dll

HKLM/SHOWALL    值非1
===/

恶意程序使用了Shell Execute Hook(O24),所以在安全模式下仍然启动了……

用WinRAR检查C、D、E,F盘,没有发现 auto.exe,检查金山毒霸的隔离区,发现是被隔离了,不过毒霸没有删除autorun.inf,换成瑞星是会自动删除autorun.inf的,只能手动删除了。

接下来的处理,留待下回分解……

文章标签:
安全
Shell
游客qeoynko2nmbgk
目录
相关文章
弹性计算-百晓生
|
10天前
|
弹性计算 人工智能 架构师
阿里云携手Altair共拓云上工业仿真新机遇
2024年9月12日,「2024 Altair 技术大会杭州站」成功召开,阿里云弹性计算产品运营与生态负责人何川,与Altair中国技术总监赵阳在会上联合发布了最新的“云上CAE一体机”。
弹性计算-百晓生
82220 16
阿里云携手Altair共拓云上工业仿真新机遇
BetterBench
|
7天前
|
机器学习/深度学习 算法 大数据
【BetterBench博士】2024 “华为杯”第二十一届中国研究生数学建模竞赛 选题分析
2024“华为杯”数学建模竞赛,对ABCDEF每个题进行详细的分析,涵盖风电场功率优化、WLAN网络吞吐量、磁性元件损耗建模、地理环境问题、高速公路应急车道启用和X射线脉冲星建模等多领域问题,解析了问题类型、专业和技能的需要。
BetterBench
2512 16
【BetterBench博士】2024 “华为杯”第二十一届中国研究生数学建模竞赛 选题分析
BetterBench
|
6天前
|
机器学习/深度学习 算法 数据可视化
【BetterBench博士】2024年中国研究生数学建模竞赛 C题:数据驱动下磁性元件的磁芯损耗建模 问题分析、数学模型、python 代码
2024年中国研究生数学建模竞赛C题聚焦磁性元件磁芯损耗建模。题目背景介绍了电能变换技术的发展与应用,强调磁性元件在功率变换器中的重要性。磁芯损耗受多种因素影响,现有模型难以精确预测。题目要求通过数据分析建立高精度磁芯损耗模型。具体任务包括励磁波形分类、修正斯坦麦茨方程、分析影响因素、构建预测模型及优化设计条件。涉及数据预处理、特征提取、机器学习及优化算法等技术。适合电气、材料、计算机等多个专业学生参与。
BetterBench
1520 14
【BetterBench博士】2024年中国研究生数学建模竞赛 C题:数据驱动下磁性元件的磁芯损耗建模 问题分析、数学模型、python 代码
Ganos全空间数据库
|
2天前
|
存储 关系型数据库 分布式数据库
GraphRAG:基于PolarDB+通义千问+LangChain的知识图谱+大模型最佳实践
本文介绍了如何使用PolarDB、通义千问和LangChain搭建GraphRAG系统,结合知识图谱和向量检索提升问答质量。通过实例展示了单独使用向量检索和图检索的局限性,并通过图+向量联合搜索增强了问答准确性。PolarDB支持AGE图引擎和pgvector插件,实现图数据和向量数据的统一存储与检索,提升了RAG系统的性能和效果。
Ganos全空间数据库
473 24
阿里云新鲜事
|
8天前
|
编解码 JSON 自然语言处理
通义千问重磅开源Qwen2.5,性能超越Llama
击败Meta,阿里Qwen2.5再登全球开源大模型王座
阿里云新鲜事
539 14
阿里云云原生
|
1月前
|
运维 Cloud Native Devops
一线实战:运维人少,我们从 0 到 1 实践 DevOps 和云原生
上海经证科技有限公司为有效推进软件项目管理和开发工作,选择了阿里云云效作为 DevOps 解决方案。通过云效,实现了从 0 开始,到现在近百个微服务、数百条流水线与应用交付的全面覆盖,有效支撑了敏捷开发流程。
阿里云云原生
19282 30
阿里云
|
8天前
|
人工智能 自动驾驶 机器人
吴泳铭:AI最大的想象力不在手机屏幕,而是改变物理世界
过去22个月,AI发展速度超过任何历史时期,但我们依然还处于AGI变革的早期。生成式AI最大的想象力,绝不是在手机屏幕上做一两个新的超级app,而是接管数字世界,改变物理世界。
阿里云
461 48
吴泳铭:AI最大的想象力不在手机屏幕,而是改变物理世界
灵杰开发者
|
1月前
|
人工智能 自然语言处理 搜索推荐
阿里云Elasticsearch AI搜索实践
本文介绍了阿里云 Elasticsearch 在AI 搜索方面的技术实践与探索。
灵杰开发者
18837 20
灵杰开发者
|
1月前
|
Rust Apache 对象存储
Apache Paimon V0.9最新进展
Apache Paimon V0.9 版本即将发布,此版本带来了多项新特性并解决了关键挑战。Paimon自2022年从Flink社区诞生以来迅速成长,已成为Apache顶级项目,并广泛应用于阿里集团内外的多家企业。
灵杰开发者
17526 13
Apache Paimon V0.9最新进展
云安全专家
|
1天前
|
云安全 存储 运维
叮咚!您有一份六大必做安全操作清单,请查收
云安全态势管理(CSPM)开启免费试用
云安全专家
358 4
叮咚!您有一份六大必做安全操作清单,请查收