AI 助理
文档备案控制台
开发者社区 安全 文章 正文

遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1

2024-09-28 257
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1

昨晚一位网友说他的电脑中了病毒,金山毒霸不停的提示发现病毒WinForm2.dll,使用一段时间后会弹出倒计时关机对话框,让偶通过QQ远程协助。

让网友重启到带网络连接的安全模式,刚连上就出现了倒计时关机对话框,用shutdown -a命令停止了。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/===
pe_xscan 07-07-24 by Purple Endurer
2007-8-13 21:49:9
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/winlogon.exe * 452 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/lsass.exe * 512 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/system32/svchost.exe * 660 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
C:/WINDOWS/Explorer.EXE * 1456 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
C:/KAV2007/KAV32.EXE * 1968 | 2001-8-3 9:18:3 | Kingsoft Internet Security | 7, 6, 0, 19 | Kingsoft AntiVirus | Copyright (C) 2000 - 2007 Kingsoft Corporation. All rights reserved. | 2007, 7, 23, 229 | Kingsoft Corporation | Kingsoft | KAV32 | KAV32.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
C:/WINDOWS/system32/conime.exe * 812 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Console IME | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | Console | CONIME.EXE
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/xyhins.exe * 980 | 2007-8-11 22:48:14
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/jzgins.exe * 1092 | 2007-8-11 15:12:30
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/qhcins.exe * 504 | 2007-8-11 22:24:24
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
C:/WINDOWS/system32/ztmins.exe * 1320 | 2007-8-12 15:22:34
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/qjeins.exe * 1372 | 2007-8-12 19:47:24
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/zxgins.exe * 920 | 2007-8-12 20:6:8
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/jhains.exe * 1528 | 2007-8-12 20:3:30
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
C:/WINDOWS/system32/ctfmon.exe * 164 | 2005-5-2 4:30:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
C:/Program Files/Internet Explorer/iexplore.exe * 1536 | 2005-5-2 4:30:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/WINDOWS/system32/zxgpri.dll | 2004-8-4 15:31:54
    C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys | 2007-8-13 15:31:54
    C:/WINDOWS/system32/jhapri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qjepri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/ztmpri.dll | 2004-8-4 15:31:54
    C:/WINDOWS/system32/qhcpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/jzgpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/xyhpri.dll | 2004-8-4 15:31:53
    C:/WINDOWS/system32/WinForm2.dll | 2004-8-4 17:2:50

F2 - REG: system.ini: UserInit=C:/WINDOWS/system32/Userinit.exe

O4 - HKCU/../Run: [blin] "C:/Documents and Settings/h/blin/blin.exe" -background 1
C:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
D:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
E:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/
F:/autorun.inf
/-----
[autorun]
open=auto.exe
shell/open=打开(&O)
shell/open/Command=auto.exe
hell/explore=资源管理器(&X)
shell/explore/Command="auto.exe"
-----/

O23 - 服务: 46427F5F (46427F5F) - C:/WINDOWS/system32/61611F9E.EXE -46427F5F(自动)
O23 - 服务: BB7005AC (BB7005AC) - C:/WINDOWS/system32/1CC3706C.EXE -k(自动)
O23 - 服务: dmmuykip (dmmuykip) - System32/DRIVERS/dmmuykip.sys| ? | 1.6.9.1084| ?| ? | 1.8.0.1096 | Yahoo! China Corporation| ?| ?| ?(引导)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies |  | NPF + TME  | npf.sys(手动)

O24 - ShlExecHook: [] - {40117B96-998D-4D80-8F89-5E9DBD9F3460} = C:/Program Files/Internet Explorer/PLUGINS/WinSys64.Sys
O24 - ShlExecHook: [8] - {813AF41A-21B1-131B-1BFC-D2A90DF4A2B8} = C:/WINDOWS/system32/WinForm2.dll
O24 - ShlExecHook: [WindowsVista] - {3495D328-661A-4FB0-BA67-8ACDD1704D1E} = C:/WINDOWS/system32/temp[3].dll
O24 - ShlExecHook: [9] - {913AF41A-21B1-131B-1BFC-D2A90DF4A2B9} = C:/WINDOWS/system32/xyhpri.dll
O24 - ShlExecHook: [7] - {759AFD5B-159F-ACD8-954C-ACD545FA6587} = C:/WINDOWS/system32/jzgpri.dll
O24 - ShlExecHook: [3] - {36368135-64FA-BC34-DA32-DCF4FD431C93} = C:/WINDOWS/system32/qhcpri.dll
O24 - ShlExecHook: [D] - {D1351752-5628-1547-FFAB-BADC13512AFD} = C:/WINDOWS/system32/ztmpri.dll
O24 - ShlExecHook: [5] - {54123FF1-8371-9834-9021-184518451FA5} = C:/WINDOWS/system32/qjepri.dll
O24 - ShlExecHook: [7] - {7A65498A-7653-9801-1647-987114AB7F47} = C:/WINDOWS/system32/zxgpri.dll
O24 - ShlExecHook: [2] - {252D2432-37A2-324F-2A54-21BF5CF2F1A2} = C:/WINDOWS/system32/jhapri.dll

HKLM/SHOWALL    值非1
===/

恶意程序使用了Shell Execute Hook(O24),所以在安全模式下仍然启动了……

用WinRAR检查C、D、E,F盘,没有发现 auto.exe,检查金山毒霸的隔离区,发现是被隔离了,不过毒霸没有删除autorun.inf,换成瑞星是会自动删除autorun.inf的,只能手动删除了。

接下来的处理,留待下回分解……

文章标签:
资源管理
安全
Shell
游客qeoynko2nmbgk
目录
相关文章
科技小能手
轻松网页账号和口令
科技小能手
1574 0
LucianaiB
|
10天前
|
人工智能 数据可视化 安全
王炸组合!阿里云 OpenClaw X 飞书 CLI,开启 Agent 基建狂潮!(附带免费使用6个月服务器)
本文详解如何用阿里云Lighthouse一键部署OpenClaw,结合飞书CLI等工具,让AI真正“动手”——自动群发、生成科研日报、整理知识库。核心理念:未来软件应为AI而生,CLI即AI的“手脚”,实现高效、安全、可控的智能自动化。
LucianaiB
34590 28
王炸组合!阿里云 OpenClaw X 飞书 CLI,开启 Agent 基建狂潮!(附带免费使用6个月服务器)
别惹CC
|
3天前
|
人工智能 机器人 开发工具
Windows 也能跑 Hermes Agent!完整安装教程 + 飞书接入,全程避坑
Hermes Agent 是一款自学习AI智能体系统,支持一键安装与飞书深度集成。本教程详解Windows下从零部署全流程,涵盖依赖自动安装、模型配置、飞书机器人接入及四大典型兼容性问题修复,助你快速构建企业级AI协作平台。(239字)
别惹CC
4057 10
兮动人
|
5天前
|
人工智能 自然语言处理 安全
Claude Code 全攻略:命令大全 + 实战工作流(建议收藏)
本文介绍了Claude Code终端AI助手的使用指南,主要内容包括:1)常用命令如版本查看、项目启动和更新;2)三种工作模式切换及界面说明;3)核心功能指令速查表,包含初始化、压缩对话、清除历史等操作;4)详细解析了/init、/help、/clear、/compact、/memory等关键命令的使用场景和语法。文章通过丰富的界面截图和场景示例,帮助开发者快速掌握如何通过命令行和交互界面高效使用Claude Code进行项目开发,特别强调了CLAUDE.md文件作为项目知识库的核心作用。
兮动人
4433 19
Claude Code 全攻略:命令大全 + 实战工作流(建议收藏)
LucianaiB
|
22天前
|
人工智能 JSON 机器人
让龙虾成为你的“公众号分身” | 阿里云服务器玩Openclaw
本文带你零成本玩转OpenClaw:学生认证白嫖6个月阿里云服务器,手把手配置飞书机器人、接入免费/高性价比AI模型(NVIDIA/通义),并打造微信公众号“全自动分身”——实时抓热榜、AI选题拆解、一键发布草稿,5分钟完成热点→文章全流程!
LucianaiB
45442 151
让龙虾成为你的“公众号分身” | 阿里云服务器玩Openclaw
$雪地伤孤$
|
12天前
|
人工智能 JSON 监控
Claude Code 源码泄露:一份价值亿元的 AI 工程公开课
我以为顶级 AI 产品的护城河是模型。读完这 51.2 万行泄露的源码,我发现自己错了。
$雪地伤孤$
5183 21
YueGuan
|
4天前
|
机器学习/深度学习 存储 人工智能
还在手写Skill?hermes-agent 让 Agent 自己进化能力
Hermes-agent 是 GitHub 23k+ Star 的开源项目,突破传统 Agent 依赖人工编写Aegnt Skill 的瓶颈,首创“自我进化”机制:通过失败→反思→自动生成技能→持续优化的闭环,让 Agent 在实践中自主构建、更新技能库,持续自我改进。
YueGuan
959 2

热门文章

最新文章

  • 1
    深入阿里云大数据IDE–MaxCompute Studio
  • 2
    Serverless 时代前端避坑指南
  • 3
    Linux 下 Crontab 命令使用详解 定时任务
  • 4
    无法保存对hosts权限所作的更改 拒绝访问(权限,防止Windows主机文件、进程、注册表项进行操作和更改)
  • 5
    终于!RocketMQ 迎来第五个大版本,深度解读“消息、事件、流”超融合处理平台
  • 6
    tensorflow.js 的服务器端安装 - 分享自 @开发者头条
  • 7
    学习笔记-Redis设计与实现-RDB持久化
  • 8
    config postgresql of Metasploit 4.1.4 pro
  • 9
    MyEclipse中防止代码格式化时出现换行
  • 10
    【DATAGUARD 学习】ora-03113
  • 1
    OpenClaw是什么?OpenClaw能做什么?OpenClaw详细介绍及保姆级部署教程
    116
  • 2
    电缆损坏目标检测数据集分享(YOLO系列)| 电缆断裂 雷击损伤 断股 烧蚀痕迹 输电线路巡检 目标检测标注
    30
  • 3
    道路表面缺陷数据集分享(YOLO系列分类检测)| 路面病害 目标检测 坑洼裂缝 训练集
    37
  • 4
    阿里云服务器、本地系统怎么部署 OpenClaw、集成 Agent Skill:代码仓库分析SKill开发教程
    72
  • 5
    阿里云、本地部署 OpenClaw、配置百炼Coding Plan:0代码搭建股票异动监控、24小时成交量、涨速预警系统
    90
  • 6
    告别API参数解析!一句话查12306火车票,这个开源项目做到了
    84
  • 7
    阿里云/本地部署OpenClaw图文流程+ 企业级全维度监控运维、告警体系搭建教程
    50
  • 8
    OpenAI 发布重要安全公告:macOS 用户请注意!
    42
  • 9
    阿里云企业新用户定义及最新优惠内容政策完整解析
    31
  • 10
    道路设施目标检测数据集(约5000张已标注)|YOLO训练与智能交通应用数据集
    57

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    开通oss服务