伪 Windows Time / W32Time 服务 fwuiajbiye.dll－安迪教程网※最全面的在线教程

您现在的位置： > 首页 > 软件应用 > 系统安全

>> 最新教程

>> 热门教程

>> 最新游戏资讯

>> 热门游戏资讯

>> 系统安全

伪 Windows Time / W32Time 服务 fwuiajbiye.dll

作者:本站来自:安迪教程网加入时间:08-10-28 进入论坛讨论

　　样本由

　　http://bbs.janmeng.com/thread-759837-1-1.html

　　的楼主提供,谢谢.

　　-----------------------------------------------------------

　　文件: fwuiajbiye.dll

　　大小: 559,104 字节

　　文件版本: 3.1.2.369

　　修改时间: 2008年5月16日, 21:31:10

　　MD5: 1A9355249633FDD98C980FCB4FF64D7A

　　SHA1: CE21F354EC629E4F30A55DBB4DBE349095478135

　　CRC32: 9A1477D6

　　 hp.agwcn.com

　　-----------------------------------------------------------

　　SREng日志表现

　　正在运行的进程

　　[PID: 1232 / SYSTEM][C:WINDOWSSystem32svchost.exe]　 [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]

　　[c:windowssystem32oobefwuiajbiye.dll]　 [Microsoft LTD., 3.1.2.369]

　　==================================

　　服务

　　[Windows Time / W32Time][Stopped/Auto Start]

　　 <C:WINDOWSsystem32svchost.exe -k netsvcs-->c:windowssystem32oobefwuiajbiye.dll><N/A>

　　-----------------------------------------------------------

　　真的 Windows Time / W32 Time 服务

　　==============================================================

　　　　金山清理专家系统诊断报告

　　该诊断报告由金山清理专家提供 http://www.duba.net

　　==============================================================

　　诊断时间: 　　　 2008-05-17, 11:14

　　诊断平台: 　　　 Windows XP [5.1.2600] Service Pack 3

　　IE版本: 　　　　　Internet Explorer V6.0.5512.2900

　　计算机物理内存: 　 503(MB)

　　当前可用内存: 　　　233(MB)

　　硬盘总大小: 　　 76(GB)

　　硬盘可用空间: 　　　54(GB)

　　清理专家版本: 　　　2008.05.14.84

　　恶意软件库版本: 　 2008.05.12.1

　　漏洞库版本: 　　 2008.04.09.1

　　==============================================================

　　　　系统服务

　　==============================================================

　　该项来源: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

　　　　[W32Time] [已启用] 　　　 <C:WINDOWSsystem32w32time.dll>

　　　　文件路径: C:WINDOWSsystem32w32time.dll [安全]

　　==============================================================

　　　　当前进程

　　==============================================================

　　名称: 　　svchost.exe　 [已启用]

　　命令行: C:WINDOWSSystem32svchost.exe -k netsvcs

　　模块文件: c:windowssystem32w32time.dll 　　　　 (Microsoft Corporation)

　　==============================================================

　　我扫描了几次,都发现SREng日志没有这一项...=.= 难道安全的它省略了=.=

　　按理说,按SREng日志的风格,应该是这样

　　服务

　　[Windows Time / W32Time][running/Auto Start]

　　 <C:WINDOWSsystem32svchost.exe -k netsvcs-->c:windowssystem32win32time.dll><Microsoft Corporation>

　　-----------------------------------------------------------

　　5.16 在线扫描报告

　　http://www.virscan.org/report/c4eea2e78d99fd847630fe70c796dff8.html

　　-----------------------------------------------------------

　　Strings

　　文件位置　　 Mem位置　　　　 id　文本

　　0005E2C4　 0045EEC4　　　0　 C:Testlog.lvr

　　00067470　 00468070　　　0　 dfgetcnafg.dll

　　000674E4　 004680E4　　　0　 http://bea.wwwcdn.cn/inss/NewVer.txt

　　0006759C　 0046819C　　　0　 *.txt

　　0006772C　 0046832C　　　0　 *163*.txt

　　00067740　 00468340　　　0　 *sina*.txt

　　00067754　 00468354　　　0　 *3721*.txt

　　00067768　 00468368　　　0　 *mmstat*.txt

　　00067780　 00468380　　　0　 *yahoo*.txt

　　00067794　 00468394　　　0　 *alibaba*.txt

　　000677AC　 004683AC　　　0　 *114*.txt

　　000677C0　 004683C0　　　0　 *yisou*.txt

　　000677D4　 004683D4　　　0　 *baidu*.txt

　　000677E8　 004683E8　　　0　 *google*.txt

　　00067800　 00468400　　　0　 *9v*.txt

　　00067814　 00468414　　　0　 *alimama*.txt

　　0006782C　 0046842C　　　0　 *lianmeng*.txt

　　00067844　 00468444　　　0　 *2t3t*.txt

　　00067858　 00468458　　　0　 *sogou*.txt

　　0006786C　 0046846C　　　0　 *aliunion*.txt

　　00067884　 00468484　　　0　 *narrowad*.txt

　　0006789C　 0046849C　　　0　 *bolaa*.txt

　　000678B0　 004684B0　　　0　 *forsky*.txt

　　000678C8　 004684C8　　　0　 *heima8*.txt

　　00068050　 00468C50　　　0　 bak.hjob123.com

　　00068068　 00468C68　　　0　 http://www.jesuser.cn/plug/doSelect.asp?CMD=%s

　　000680E8　 00468CE8　　　0　 www.jesuser.cn

　　000685F4　 004691F4　　　0　 Regedit.exe /s "

　　00068798　 00469398　　　0　 Windows Registry Editor Version 5.00

　　000687C8　 004693C8　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]

　　0006881C　 0046941C　　　0　 "ServiceDll"=hex(2):

　　00068848　 00469448　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time]

　　00068890　 00469490　　　0　 "Start"= dword:00000002

　　000688B0　 004694B0　　　0　 Ted0l1lr.reg

　　000688C8　 004694C8　　　0　 Regedit.exe /s "

　　00068AEC　 004696EC　　　0　 SYSTEMCurrentControlSetServicesW32Time

　　00068B20　 00469720　　　0　 Start

　　00068B30　 00469730　　　0　 SYSTEMCurrentControlSetServicesW32TimeParameters

　　00068B70　 00469770　　　0　 ServiceDll

　　0006C6F0　 0046D2F0　　　0　 udp.hjob123.com

　　0006CB48　 0046D748　　　0　 oobe

　　0006CB68　 0046D768　　　0　 sv//ch//ost.//exe

　　0006CB7C　 0046D77C　　　0　 DirCreatErr

　　0006CBA0　 0046D7A0　　　0　 rep.exe

　　0006D2E8　 0046DEE8　　　0　 regsvr32.exe /s /u

　　0006D370　 0046DF70　　　0　 http://ip.lk52.com/

　　0006D38C　 0046DF8C　　　0　 http://ip.loveroot.com/

　　0006D3AC　 0046DFAC　　　0　 http://www.cz88.net/ip/

　　0006D3CC　 0046DFCC　　　0　 Http://ip.wisa.com.cn/

　　0006D3EC　 0046DFEC　　　0　 Http://www.ip191.cn/

　　0006D40C　 0046E00C　　　0　 Http://www.tongcha.com/index-ip.php

　　0006D438　 0046E038　　　0　 http://ipseeker.cn/

　　0006D454　 0046E054　　　0　 HTTP://www.dheart.net/ip/

　　0006D478　 0046E078　　　0　 http://tool.chinaz.com/Ip/

　　0006D5E4　 0046E1E4　　　0　 http://www.baidu.com/s?wd=Ip%B2%E9%D1%AF&cl=3

　　00081A3C　 00485C3C　　　0　 Windows Registry Editor Version 5.00

　　00081A64　 00485C64　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32time]

　　00081AA4　 00485CA4　　　0　 "ErrorControl"=dword:00000001

　　00081AC3　 00485CC3　　　0　 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,

　　00081B15　 00485D15　　　0　　 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,

　　00081B65　 00485D65　　　0　　 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,

　　00081BB5　 00485DB5　　　0　　 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

　　00081BF4　 00485DF4　　　0　 "DisplayName"="Windows Time"

　　00081C12　 00485E12　　　0　 "ObjectName"="LocalSystem"

　　00081C2E　 00485E2E　　　0　 "Type"=dword:00000020

　　00081C45　 00485E45　　　0　 "Start"=dword:00000002

　　00081C5D　 00485E5D　　　0　 "Description"="

　　00081D03　 00485F03　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeConfig]

　　00081D4A　 00485F4A　　　0　 "LargePhaseOffset"= dword:00138800

　　00081D6F　 00485F6F　　　0　 "SpikeWatchPeriod"=dword:0000005a

　　00081D92　 00485F92　　　0　 "HoldPeriod"=dword:00000005

　　00081DAF　 00485FAF　　　0　 "MaxPollInterval"=dword:0000000f

　　00081DD1　 00485FD1　　　0　 "LastClockRate"=dword:0002625a

　　00081DF1　 00485FF1　　　0　 "MinClockRate"=dword:000260d4

　　00081E10　 00486010　　　0　 "MaxClockRate"=dword:000263e0

　　00081E2F　 0048602F　　　0　 "FrequencyCorrectRate"=dword:00000004

　　00081E56　 00486056　　　0　 "PollAdjustFactor"=dword:00000005

　　00081E79　 00486079　　　0　 "LocalClockDispersion"=dword:0000000a

　　00081EA0　 004860A0　　　0　 "EventLogFlags"=dword:00000002

　　00081EC0　 004860C0　　　0　 "PhaseCorrectRate"=dword:00000001

　　00081EE3　 004860E3　　　0　 "MinPollInterval"=dword:0000000a

　　00081F05　 00486105　　　0　 "UpdateInterval"=dword:00057e40

　　00081F26　 00486126　　　0　 "MaxPosPhaseCorrection"=dword:0000d2f0

　　00081F4E　 0048614E　　　0　 "MaxNegPhaseCorrection"=dword:0000d2f0

　　00081F76　 00486176　　　0　 "AnnounceFlags"=dword:0000000a

　　00081F96　 00486196　　　0　 "MaxAllowedPhaseOffset"=dword:00000001

　　00081FC0　 004861C0　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeParameters]

　　0008200B　 0048620B　　　0　 "ServiceMain"="SvchostEntry_W32Time"

　　00082031　 00486231　　　0　 "NtpServer"="time.windows.com,0x1"

　　00082055　 00486255　　　0　 "Type"="NTP"

　　00082063　 00486263　　　0　 "ServiceDll"=hex(2):#DLLHEXNAME#

　　00082087　 00486287　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeSecurity]

　　000820D0　 004862D0　　　0　 "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,

　　00082121　 00486321　　　0　　 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,

　　00082171　 00486371　　　0　　 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,

　　000821C1　 004863C1　　　0　　 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,

　　00082211　 00486411　　　0　　 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,

　　00082261　 00486461　　　0　　 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,

　　000822B1　 004864B1　　　0　　 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

　　000822F8　 004864F8　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeTimeProviders]

　　00082348　 00486548　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeTimeProvidersNtpClient]

　　000823A0　 004865A0　　　0　 "Enabled"=dword:00000001

　　000823BA　 004865BA　　　0　 "InputProvider"=dword:00000001

　　000823DA　 004865DA　　　0　 "AllowNonstandardModeCombinations"=dword:00000001

　　0008240D　 0048660D　　　0　 "CrossSiteSyncFlags"=dword:00000002

　　00082432　 00486632　　　0　 "ResolvePeerBackoffMinutes"=dword:0000000f

　　0008245E　 0048665E　　　0　 "ResolvePeerBackoffMaxTimes"=dword:00000007

　　0008248B　 0048668B　　　0　 "CompatibilityFlags"=dword:80000000

　　000824B0　 004866B0　　　0　 "DllName"="#DLLFULLNAME#"

　　000824CB　 004866CB　　　0　 "EventLogFlags"=dword:00000000

　　000824EB　 004866EB　　　0　 "SpecialPollTimeRemaining"=hex(7):00,00

　　00082514　 00486714　　　0　 "SpecialPollInterval"=dword:00093a80

　　0008253C　 0048673C　　　0　 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw32timeTimeProvidersNtpServer]

　　00082594　 00486794　　　0　 "Enabled"=dword:00000001

　　000825AE　 004867AE　　　0　 "InputProvider"=dword:00000000

　　000825CE　 004867CE　　　0　 "DllName"="#DLLFULLNAME#"

　　000825E9　 004867E9　　　0　 "AllowNonstandardModeCombinations"=dword:00000001

　　--------------------------------------------------------------------------------------------------------------

　　IDA载入.....

　　 hp.agwcn.com