AI 助理
备案控制台
开发者社区 安全 文章 正文

chenzi.exe的分析及解决方法

2017-11-16 1777
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
File size: 18593 bytes 
MD5: c595bc161e1d64b4d8f4d84139ef02b0 
SHA1: 100e8a9ae7034b41443e4ddaa46f175adb70eb06 
病毒名称:未知
测试 时间 :2007-3-10
更新时间:明晚将更新此分析日志,


运行后病毒样本,自动删除病毒本身,自动释放病毒到%system%目录下
%system%\del.bat
%system%\msgcom.dll
%system%\1.exe
%system%\2.exe
%system%\3.exe
%system%\4.exe
%system%\5.exe
%system%\6.exe


创建启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows NT\CurrentVersion\Winlogon\Notify\cmdmant
<WinlogonNotify: cmdmant><msgcom.dll>  


修改Explorer.exe其 内存 ,Explorer.exe尝试获取网络存取权限.202.88.90.186,试图启动%system%\1.exe
%system%\2.exe
%system%\3.exe
%system%\4.exe
%system%\5.exe
%system%\6.exe


%system%\1.exe 分析如下:
Explorer.exe启动1.EXE后,自动删除本身
释放病毒文件
%system%\wsvbs.dll
%windows%\wsvbs.exe


创建启动项
HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run
<wsttrs><%windows%\wsvbs.exe>


%system%\2.exe 分析如下
Explorer.exe启动2.EXE后,
释放病毒文件
%system%\mppds.dll
%windows%\mppds.exe


创建启动项
HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run
<mppds><%windows%\mppds.exe> 


%system%\3.exe 分析如下
Explorer.exe启动3.EXE后,
释放病毒文件
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\SystemKb.sys


%system%\4.exe 分析如下:
Explorer.exe启动4.EXE后,自动删除本身
释放病毒文件
%system%\wsttrs.dll
%windows%\wsttrs.exe


创建启动项
HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run
<wsttrs><%windows%\wsttrs.exe>


%system%\5.exe 分析如下:
Explorer.exe启动5.EXE后,自动删除本身
释放病毒文件,并插入各进程.
%windows%\608769.bmp


HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows NT\CurrentVersion\Windows
<AppInit_DLLs><608769M.BMP>


%system%\6.exe 分析如下:
Explorer.exe启动6.EXE后,
释放病毒文件
c:\Documents and Settings\你的用户名\Local Settings\Temp\ie888.exe
c:\Documents and Settings\你的用户名\Local Settings\Temp\iim.dll
c:\Documents and Settings\你的用户名\Local Settings\Temp\packet.dll
c:\Documents and Settings\你的用户名\Local Settings\Temp\wanpacket.dll
%Program Files%\Internet Explorer\PLUGINS\SystemKb.bak
%system%\drivers\npf.sys


修改hosts内容,添加以下内容
58.215.65.136         hyap98.com
58.215.65.136       [url]www.hyap98.com[/url]
60.169.1.178       [url]www.82087871.com[/url]
60.169.1.178         47555.cn
60.169.1.178         nc.47555.cn
60.169.1.178         cn.47555.cn
60.169.1.178         crsky.47555.cn
60.169.1.178       [url]www.47555.cn[/url]
60.169.1.178         baibu.com
60.169.1.178       [url]www.baidu.com[/url]
60.169.1.178         dgufida.com.cn
60.169.1.178         88.our2000.com
60.169.1.178         new.eyliao.com
60.169.1.178         sybaby.a78.zgsj.com


附SRENG日志,
启动项目
注册表
[HKEY_CURRENT_USER\Software\ Microsoft \Windows\CurrentVersion\Run]
<svc><C:\DOCUME~1\MIB\LOCALS~1\Temp\ie888.exe>
[HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run 
<wsvbs><C:\windows\wsvbs.exe>
<mppds><C:\windows\mppds.exe>
<wsttrs><C:\windows\wsttrs.exe>
[HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><608769M.BMP>
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>    [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows NT\CurrentVersion\Winlogon\Notify\cmdmant]
<WinlogonNotify: cmdmant><msgcom.dll>

正在运行的进程
[PID: 700][\??\C:\WINDOWS\system32\winlogon.exe]
      [C:\windows\608769M.BMP]    [N/A, N/A]
      [C:\WINDOWS\system32\msgcom.dll]    [N/A, N/A]
[PID: 752][C:\windows\system32\services.exe
      [C:\windows\608769M.BMP] 
[PID: 764][C:\windows\system32\lsass.exe]  
      [C:\windows\608769M.BMP]    [N/A, N/A]
[PID: 932][C:\windows\system32\svchost.exe]
      [C:\windows\608769M.BMP]    [N/A, N/A]
[PID: 1020][C:\windows\system32\svchost.exe
      [C:\windows\608769M.BMP]    [N/A, N/A]
[PID: 1116][C:\windows\System32\svchost.exe] 
      [C:\windows\608769M.BMP]    [N/A, N/A]
[PID: 1408][C:\windows\system32\svchost.exe]
      [C:\windows\608769M.BMP]    [N/A, N/A]
[PID: 1456][C:\windows\system32\svchost.exe]
      [C:\windows\608769M.BMP]    [N/A, N/A]


解决方法如下:

1.开始---运行---输入---regedit---依次展开

HKEY_CURRENT_USER\Software\ Microsoft \Windows\CurrentVersion\Run
删除

<svc>
HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows\CurrentVersion\Run
删除
<wsvbs>
<mppds>
<wsttrs>

HKEY_LOCAL_MACHINE\Software\ Microsoft \Windows NT\CurrentVersion\Windows
删除
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}>

删除
[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows NT\CurrentVersion\Winlogon\Notify\cmdmant]
<WinlogonNotify: cmdmant>


2.重启 计算机


3.删除以下文件
%system%\del.bat
%system%\msgcom.dll
%system%\wsvbs.dll
%windows%\wsvbs.exe
%system%\mppds.dll
%windows%\mppds.exe
%Program Files%\Internet Explorer\PLUGINS\system2.jmp
%Program Files%\Internet Explorer\PLUGINS\SystemKb.sys
%system%\wsttrs.dll
%windows%\wsttrs.exe
c:\Documents and Settings\你的用户名\Local Settings\Temp\ie888.exe
c:\Documents and Settings\你的用户名\Local Settings\Temp\iim.dll
c:\Documents and Settings\你的用户名\Local Settings\Temp\packet.dll
c:\Documents and Settings\你的用户名\Local Settings\Temp\wanpacket.dll
%Program Files%\Internet Explorer\PLUGINS\SystemKb.bak
%system%\drivers\npf.sys
%system%\3.exe
%system%\6.exe


system32\drivers\etc\hosts
用记事打开HOSTS文件,删除以下内容
58.215.65.136         hyap98.com
58.215.65.136       [url]www.hyap98.com[/url]
60.169.1.178       [url]www.82087871.com[/url]
60.169.1.178         47555.cn
60.169.1.178         nc.47555.cn
60.169.1.178         cn.47555.cn
60.169.1.178         crsky.47555.cn
60.169.1.178       www47555cn
60.169.1.178         baibu.com
60.169.1.178       [url]www.baidu.com[/url]
60.169.1.178         dgufida.com.cn
60.169.1.178         88.our2000.com
60.169.1.178         new.eyliao.com
60.169.1.178         sybaby.a78.zgsj.com


%windows%\608769M.BMP
到我的E盘 下载 专杀.

[url]http://free5.ys168.com/?ufwihgu168[/url]


(<因为对SSM监控到的桌面进程不是很懂,对这个网络连接分析存在有问题,将于明晚进行更新,也请 高手 指正,内容如下,谢谢)
进程:
     路径: C:\WINDOWS\explorer.exe
     PID: 1988
      信息 : Windows Explorer ( Microsoft  Corporation)

网络信息:
     IP 地址: 222.88.90.186
     信任的区域: 否

     协议: TCP
















本文转自starger51CTO博客,原文链接: http://blog.51cto.com/starger/20667,如需转载请自行联系原作者




文章标签:
Windows
安全
技术小甜
目录
相关文章
acw_ecd20250213
|
5天前
|
数据采集 人工智能 自然语言处理
3分钟采集134篇AI文章!深度解析如何通过云无影AgentBay实现25倍并发 + LlamaIndex智能推荐
结合阿里云无影 AgentBay 云端并发采集与 LlamaIndex 智能分析,3分钟高效抓取134篇 AI Agent 文章,实现 AI 推荐、智能问答与知识沉淀,打造从数据获取到价值提炼的完整闭环。
acw_ecd20250213
390 93
阿里云万网官方
|
6天前
|
域名解析 人工智能
【实操攻略】手把手教学,免费领取.CN域名
即日起至2025年12月31日,购买万小智AI建站或云·企业官网,每单可免费领1个.CN域名首年!跟我了解领取攻略吧~
阿里云万网官方
692 9
Promise微笑
|
5天前
|
SQL 人工智能 自然语言处理
Geo优化SOP标准化:于磊老师的“人性化Geo”体系如何助力企业获客提效46%
随着生成式AI的普及,Geo优化(Generative Engine Optimization)已成为企业获客的新战场。然而,缺乏标准化流程(Geo优化sop)导致优化效果参差不齐。本文将深入探讨Geo专家于磊老师提出的“人性化Geo”优化体系,并展示Geo优化sop标准化如何帮助企业实现获客效率提升46%的惊人效果,为企业在AI时代构建稳定的流量护城河。
Promise微笑
394 156
Geo优化SOP标准化:于磊老师的“人性化Geo”体系如何助力企业获客提效46%
2025「AI安全」全球攻防赛小编
|
云安全 人工智能 安全
双十一狂欢来临:云安全爆款产品,新用户低至3折
11.1-11.30限时抢购
2025「AI安全」全球攻防赛小编
1458 2
双十一狂欢来临:云安全爆款产品,新用户低至3折
Thomasyoung
|
5天前
|
数据采集 缓存 数据可视化
Android 无侵入式数据采集:从手动埋点到字节码插桩的演进之路
本文深入探讨Android无侵入式埋点技术,通过AOP与字节码插桩(如ASM)实现数据采集自动化,彻底解耦业务代码与埋点逻辑。涵盖页面浏览、点击事件自动追踪及注解驱动的半自动化方案,提升数据质量与研发效率,助力团队迈向高效、稳定的智能化埋点体系。(238字)
Thomasyoung
278 158
数据库知识分享者小北
|
13天前
|
机器人 API 调度
基于 DMS Dify+Notebook+Airflow 实现 Agent 的一站式开发
本文提出“DMS Dify + Notebook + Airflow”三位一体架构,解决 Dify 在代码执行与定时调度上的局限。通过 Notebook 扩展 Python 环境,Airflow实现任务调度,构建可扩展、可运维的企业级智能 Agent 系统,提升大模型应用的工程化能力。
数据库知识分享者小北
690 172

热门文章

最新文章

  • 1
    中文大模型体验测评系列(一)
  • 2
    七招教你处理非平衡数据——避免得到一个“假”模型
  • 3
    python web service开发
  • 4
    《Cadence 16.6电路设计与仿真从入门到精通》——1.4 Cadence SPB 16.6的启动 
  • 5
    百度网盘搜索引擎
  • 6
    想在Daydream View上看成人内容,GameLink为你准备好一切
  • 7
    真正实现性能可预期的ECS实例(突发性能实例t5)
  • 8
    一文讲透 RocketMQ 消费者是如何负载均衡的
  • 9
    Silverlight版本的LoadMask
  • 10
    jQuery 常用技巧
  • 1
    springboot自动装配的基本原理
    62
  • 2
    星野“崽崽”大规模下架整改:AI陪伴行业的警示与拐点
    164
  • 3
    Python 3.14 实用技巧:10个让代码更清晰的小改进
    49
  • 4
    如何驯服AI编程
    43
  • 5
    Kali Linux 加入 Windows 域:完整的域渗透测试环境搭建指南
    49
  • 6
    使用 Ansible 自动化部署 Snort3 入侵检测系统:从零到生产环境(RedHat)
    68
  • 7
    我是谁?我从哪来?我要到哪去?——聊聊数据血缘分析的“前世今生”
    63
  • 8
    兄弟别手工点云服务器了:聊聊 IaC 的人间真实与落地指南
    49
  • 9
    别再给我推明星八卦了!——大数据视角下,个性化新闻推荐的“人间真实”优化指南
    43
  • 10
    Vue 3 emit 参数数量不匹配问题深度解析与最佳实践
    38

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云对象存储OSS收费标准:500G存储118元1年、