cf手游好友显示不出来:psecure.exe 是什么应用程序？

来源：百度文库编辑：高考问答时间：2024/05/07 19:09:00

EXE文件分析：木马用Morphine 1.4 - 2.7 加壳，ImportTable加过密

启动方式：Regmon监视进程发现不停得写Run和RunServices以达到开机自启动
661.10220856 psecure.exe:2340 SetValue HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Provan Security SUCCESS "psecure.exe"

661.10188342 psecure.exe:2340 SetValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Provan Security 7371 648.30563774 psecure.exe:2340 SetValue HKCU\Software\Microsoft\OLE\Provan Security SUCCESS "psecure.exe"

660.97765418 psecure.exe:2340 SetValue HKCU\Software\Microsoft\OLE\Provan Security SUCCESS "psecure.exe"

网络连接：fport|find "psecure"&&netstat -an监视psecure的网络连接情况.以下是一次snapshot
C:\Documents and Settings\flora\fport>fport|find "psecure"&&netstat -an
3292 psecure -> 2023 TCP C:\WINNT\system32\psecure.exe

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1388 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1469 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1471 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1504 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1577 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1712 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1840 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1900 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1979 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1994 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2023 0.0.0.0:0 LISTENING
………………
而且监听的端口还在不断变化

初步结论：非rootkit后门

安全模式下在资源管理器以及注册表中查找psecure.exe,并且全部删除。进系统后再用瑞星杀毒，估计可以杀掉了。

psecure.exe 是什么应用程序？ psecure是什么 EXPLORER.EXE是什么应用程序 ctfmon.exe是什么应用程序? windoern.exe是什么应用程序？？ dxdiag.exe是什么应用程序 iexplore.exe是什么应用程序 102133.exe是什么应用程序？ habb.exe是什么应用程序?? uishe.exe是什么应用程序？