吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3187|回复: 18
收起左侧

[已解决] 每次开机都生成lpSer.exe 求大佬帮忙看看

[复制链接]
lucid 发表于 2020-7-2 10:51
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
25吾爱币
本帖最后由 lucid 于 2020-7-3 12:12 编辑

每次开机都生成一个叫 lpSer.exe 的文件,生成目录为 C:\Users\Administrator\Application Data\lpser
启动后,在任务管理器中说明是:新闻推送客户端。使用结束进程树无法关闭该程序(没有提示拒绝访问之类的),求大佬看看怎样完全清除。



样本链接如下


样本:https://wwa.lanzouj.com/iE2aqe8695c


非常感谢


最佳答案

查看完整内容

我去瞅了瞅 就是你这个服务没错 工具在吾爱的盘中 地址为:https://down.52pojie.cn/Tools/Disassemblers/IDA.txt 常用快捷键: 拖入文件 不要动 等好了 直接F5就好了 进去 双击函数可以进去 ESC返回 去关闭这个服务启动的程序与方式 删除掉该文件 再去看看win的定时启动 有没有相关的自启动方式 再看看有没有这个服务 有的话看看 咋回事 不对劲 清掉

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

一个悲桑的问题 发表于 2020-7-2 10:51
我去瞅了瞅 就是你这个服务没错

工具在吾爱的盘中  地址为:https://down.52pojie.cn/Tools/Disassemblers/IDA.txt
常用快捷键:
拖入文件 不要动 等好了 直接F5就好了  进去
双击函数可以进去  
ESC返回

去关闭这个服务启动的程序与方式  删除掉该文件 再去看看win的定时启动  有没有相关的自启动方式
微信截图_20200703100420.png
再看看有没有这个服务  有的话看看 咋回事  不对劲 清掉
LYHLJR520 发表于 2020-7-2 11:33
 楼主| lucid 发表于 2020-7-2 12:21
一个悲桑的问题 发表于 2020-7-2 14:10
去这些地方看看,有没有
先排除最基本的地方:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup   如果有该文件或者未知文件 删掉
按“WIN+R“ 输入regedit  找到路径
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  找到里边的东西 依次对照 找到需要的东西 删掉
这两个都是最基本的开机启动方式  确认过后 要是还开机产生这玩意再问问
 楼主| lucid 发表于 2020-7-2 17:05
一个悲桑的问题 发表于 2020-7-2 14:10
去这些地方看看,有没有
先排除最基本的地方:
%AppData%\Roaming\Microsoft\Windows\Start Menu\Program ...

你好,我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容如下

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run里只有ctfmon项,值为C:\Windows\System32\ctfmon.exe
一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……
1.png 2.png 3.png 4.png
你要是小白了就建议你重装电脑
要是程序员了 就抓一下网址 从里边下载下网站的文件 再看看咋回事
具体网址就不贴了  免得其他小白中枪
一个悲桑的问题 发表于 2020-7-2 19:06
lucid 发表于 2020-7-2 17:05
你好,我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容 ...

看起来正常呢
一个悲桑的问题 发表于 2020-7-2 19:07
一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……

哦  我在代码中还看到了创建服务 你这个应该属于服务自启动并创建文件,忘记帮你看服务名了
 楼主| lucid 发表于 2020-7-2 20:44
一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……

谢谢大佬,我自己用dbg也是发现了这个网站,但是我真的想不到我装了什么软件会创建这个,你说服务的话..我去看看(估计要几个小时吧)。
我刚才进安全模式去删除了一些乱七八糟的注册表项目,但是重启仍然还是会创建这个。我去看看服务吧.
非常感谢


ps(我只会一点点逆向,所以才来求助的)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 16:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表