每次开机都生成lpSer.exe 求大佬帮忙看看

lucid

每次开机都生成一个叫 lpSer.exe 的文件，生成目录为 C:\Users\Administrator\Application Data\lpser
启动后，在任务管理器中说明是：新闻推送客户端。使用结束进程树无法关闭该程序（没有提示拒绝访问之类的），求大佬看看怎样完全清除。


样本链接如下


样本：https://wwa.lanzouj.com/iE2aqe8695c


非常感谢

一个悲桑的问题

我去瞅了瞅 就是你这个服务没错

工具在吾爱的盘中  地址为：https://down.52pojie.cn/Tools/Disassemblers/IDA.txt
常用快捷键：
拖入文件 不要动 等好了 直接F5就好了  进去
双击函数可以进去  
ESC返回

去关闭这个服务启动的程序与方式  删除掉该文件 再去看看win的定时启动  有没有相关的自启动方式

再看看有没有这个服务  有的话看看 咋回事  不对劲 清掉

LYHLJR520

解压包有密码

lucid

LYHLJR520 发表于 2020-7-2 11:33
解压包有密码

版规不是说默认要密码吗..
密码 52pojie

一个悲桑的问题

去这些地方看看，有没有
先排除最基本的地方：
%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup   如果有该文件或者未知文件 删掉
按“WIN+R“ 输入regedit  找到路径
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  找到里边的东西 依次对照 找到需要的东西 删掉
这两个都是最基本的开机启动方式  确认过后 要是还开机产生这玩意再问问

lucid

一个悲桑的问题 发表于 2020-7-2 14:10
去这些地方看看，有没有
先排除最基本的地方：
%AppData%\Roaming\Microsoft\Windows\Start Menu\Program ...

你好，我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容如下

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run里只有ctfmon项，值为C:\Windows\System32\ctfmon.exe

一个悲桑的问题

简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……

你要是小白了就建议你重装电脑
要是程序员了 就抓一下网址 从里边下载下网站的文件 再看看咋回事
具体网址就不贴了  免得其他小白中枪

一个悲桑的问题

lucid 发表于 2020-7-2 17:05
你好，我在%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup里只找到desktop.ini,内容 ...

看起来正常呢

一个悲桑的问题

一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……

哦  我在代码中还看到了创建服务 你这个应该属于服务自启动并创建文件，忘记帮你看服务名了

lucid

一个悲桑的问题 发表于 2020-7-2 19:04
简单看了一下你传的文件 就一个下载器 或者一个远控的客户端
还得看看下载下来的东西是干什么的……

谢谢大佬，我自己用dbg也是发现了这个网站，但是我真的想不到我装了什么软件会创建这个，你说服务的话..我去看看（估计要几个小时吧）。
我刚才进安全模式去删除了一些乱七八糟的注册表项目，但是重启仍然还是会创建这个。我去看看服务吧.
非常感谢


ps（我只会一点点逆向，所以才来求助的）