每次开机都生成lpSer.exe 求大佬帮忙看看
本帖最后由 lucid 于 2020-7-3 12:12 编辑每次开机都生成一个叫 lpSer.exe 的文件,生成目录为 C:\Users\Administrator\Application Data\lpser
启动后,在任务管理器中说明是:新闻推送客户端。使用结束进程树无法关闭该程序(没有提示拒绝访问之类的),求大佬看看怎样完全清除。
样本链接如下
样本:https://wwa.lanzouj.com/iE2aqe8695c
非常感谢{:301_972:}
我去瞅了瞅 就是你这个服务没错
工具在吾爱的盘中地址为:https://down.52pojie.cn/Tools/Disassemblers/IDA.txt
常用快捷键:
拖入文件 不要动 等好了 直接F5就好了进去
双击函数可以进去
ESC返回
去关闭这个服务启动的程序与方式删除掉该文件 再去看看win的定时启动有没有相关的自启动方式
再看看有没有这个服务有的话看看 咋回事不对劲 清掉 解压包有密码 LYHLJR520 发表于 2020-7-2 11:33
解压包有密码
版规不是说默认要密码吗..
密码 52pojie 去这些地方看看,有没有
先排除最基本的地方:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 如果有该文件或者未知文件 删掉
按“WIN+R“ 输入regedit找到路径
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run找到里边的东西 依次对照 找到需要的东西 删掉
这两个都是最基本的开机启动方式确认过后 要是还开机产生这玩意再问问 一个悲桑的问题 发表于 2020-7-2 14:10
去这些地方看看,有没有
先排除最基本的地方:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Program ...
你好,我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容如下
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run里只有ctfmon项,值为C:\Windows\System32\ctfmon.exe 简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……
你要是小白了就建议你重装电脑
要是程序员了 就抓一下网址 从里边下载下网站的文件 再看看咋回事
具体网址就不贴了免得其他小白中枪 lucid 发表于 2020-7-2 17:05
你好,我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容 ...
看起来正常呢 一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……
哦我在代码中还看到了创建服务 你这个应该属于服务自启动并创建文件,忘记帮你看服务名了 一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……
谢谢大佬,我自己用dbg也是发现了这个网站,但是我真的想不到我装了什么软件会创建这个,你说服务的话..我去看看(估计要几个小时吧)。
我刚才进安全模式去删除了一些乱七八糟的注册表项目,但是重启仍然还是会创建这个。我去看看服务吧.
非常感谢
ps(我只会一点点逆向,所以才来求助的)
页:
[1]
2