[8655de]镜像劫持的，nod32未知

promised

1. 00509A53   MOV EDX,Unistall.00509ACC                 ASCII "SYSTEM\CurrentControlSet\Services"
   
2. 00509A67   MOV ECX,Unistall.00509AF0                 ASCII "Description"
   
3. 00509ACC   ASCII "SYSTEM\CurrentCo"
   
4. 00509ADC   ASCII "ntrolSet\Service"
   
5. 00509AEC   ASCII "s",0
   
6. 00509AF0   ASCII "Description",0
   
7. 00509BBE   MOV ECX,Unistall.00509C04                 ASCII "Vermin.dll"
   
8. 00509BD1   MOV EDX,Unistall.00509C18                 ASCII "BoxIn"
   
9. 00509C04   ASCII "Vermin.dll",0
   
10. 00509C18   ASCII "BoxIn",0
    
11. 00509CD6   MOV EDX,Unistall.00509DE0                 ASCII "LocalSystem"
    
12. 00509CEA   MOV EDX,Unistall.00509DF4                 ASCII "SYSTEM"
    
13. 00509DE0   ASCII "LocalSystem",0
    
14. 00509DF4   ASCII "SYSTEM",0
    
15. 00509E7B   MOV EDX,Unistall.00509EE4                 ASCII "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
    
16. 00509E8F   MOV ECX,Unistall.00509F30                 ASCII "Debugger"
    
17. 00509EE4   ASCII "SOFTWARE\Microso"
    
18. 00509EF4   ASCII "ft\Windows NT\Cu"
    
19. 00509F04   ASCII "rrentVersion\Ima"
    
20. 00509F14   ASCII "ge File Executio"
    
21. 00509F24   ASCII "n Options",0
    
22. 00509F30   ASCII "Debugger",0
    
23. 00509F53   PUSH Unistall.0050A0D8                    ASCII "NotifyWnd"
    
24. 00509F71   PUSH Unistall.0050A0E4                    ASCII "Afx:400000:0"
    
25. 00509F83   PUSH Unistall.0050A0F4                    ASCII "Button"
    
26. 00509FA4   PUSH Unistall.0050A0FC                    ASCII "AVP.AlertDialog"
    
27. 00509FC2   PUSH Unistall.0050A10C                    ASCII "AVP.Product_Notification"
    
28. 00509FE3   PUSH Unistall.0050A134                    ASCII "#32770"
    
29. 0050A004   PUSH Unistall.0050A14C                    UNICODE "#32770"
    
30. 0050A022   PUSH Unistall.0050A15C                    ASCII "###McAlertWindow###"
    
31. 0050A05C   PUSH Unistall.0050A134                    ASCII "#32770"
    
32. 0050A096   PUSH Unistall.0050A134                    ASCII "#32770"
    
33. 0050A0D8   ASCII "NotifyWnd",0
    
34. 0050A0E4   ASCII "Afx:400000:0",0
    
35. 0050A0F4   ASCII "Button",0
    
36. 0050A0FC   ASCII "AVP.AlertDialog",0
    
37. 0050A10C   ASCII "AVP.Product_Noti"
    
38. 0050A11C   ASCII "fication",0
    
39. 0050A134   ASCII "#32770",0
    
40. 0050A14C   UNICODE "#32770",0
    
41. 0050A15C   ASCII "###McAlertWindow"
    
42. 0050A16C   ASCII "###",0
    
43. 0050A338   PUSH EBP                                  (初始 CPU 选择)
    
44. 0050A394   MOV ECX,Unistall.0050A8A8                 ASCII "inf"
    
45. 0050A418   MOV EAX,Unistall.0050A8C4                 ASCII "install"
    
46. 0050A449   MOV ECX,Unistall.0050A8D4                 ASCII "ctfmon.exe"
    
47. 0050A44E   MOV EDX,Unistall.0050A8E8                 ASCII "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" 镜像劫持
    
48. 0050A46E   PUSH Unistall.0050A934                    ASCII "Open"
    
49. 0050A491   MOV EDX,Unistall.0050A8D4                 ASCII "ctfmon.exe"
    
50. 0050A51E   MOV ECX,Unistall.0050A944                 ASCII "Vermin.dll"
    
51. 0050A534   MOV EDX,Unistall.0050A958                 ASCII "mimo"
    
52. 0050A539   MOV EAX,Unistall.0050A968                 ASCII "page1"
    
53. 0050A54D   MOV EAX,Unistall.0050A8C4                 ASCII "install"
    
54. 0050A589   MOV EDX,Unistall.0050A978                 ASCII "Ver"
    
55. 0050A58E   MOV EAX,Unistall.0050A984                 ASCII "SOFTWARE\Microsoft\DataAccess"
    
56. 0050A5F5   MOV EAX,Unistall.0050A9AC                 ASCII "Explorer.exe"
    
57. 0050A64F   PUSH Unistall.0050A9BC                    ASCII "FE9D1162-1B76-4C34-8CBA-3175B81B5CCF"
    
58. 0050A67B   PUSH Unistall.0050A9BC                    ASCII "FE9D1162-1B76-4C34-8CBA-3175B81B5CCF"
    
59. 0050A6F8   MOV EAX,Unistall.0050A8D4                 ASCII "ctfmon.exe"
    
60. 0050A707   MOV EAX,Unistall.0050A9EC                 ASCII "KAVStart.exe"
    
61. 0050A73E   MOV ECX,Unistall.0050AA04                 ASCII "ghost.exe"
    
62. 0050A7C2   PUSH Unistall.0050AA10                    ASCII "EA458F55-17CC-4B5B-A80F-78B211540E1B"
    
63. 0050A843   PUSH Unistall.0050AA10                    ASCII "EA458F55-17CC-4B5B-A80F-78B211540E1B"
    
64. 
    

复制代码

FBAV

反汇编高手

平淡

费尔过了

mofunzone

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\Unistall64.zip'
C:\Documents and Settings\Administrator\My Documents\
  Unistall64.zip
    [0] Archive type: ZIP
    --> Unistall64.exe
        [DETECTION] Contains suspicious code HEUR/Malware
        [WARNING]   Infected files in archives cannot be repaired!
        [INFO]      The file was deleted!

woai_jolin

fsis pass

wangjay1980

detected: virus Heur.Trojan.Generic (modification)        File: C:\Documents and Settings\Owner\×ÀÃæ\Unistall64.zip/Unistall64.exe

微点卫士

微点：
程序:
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\UNISTALL64.EXE
是否删除木马程序及其衍生物?

sharkkong

已检测到: 病毒 Heur.Trojan.Generic (变种)        URL: http://bbs.kafan.cn/attachment.php?aid=125121/Unistall64.exe

残缺的唯美

扫描进行于：2007-9-8 11:00:48
扫描日志
NOD32版本 2514 (20070908) NT
命令行： D:\Documents and Settings\EKINCHENG\桌面\Unistall64.zip

日期： 8.9.2007  时间：11:00:50
已开启反隐藏功能.
已扫描的磁盘，文件夹及文件：D:\Documents and Settings\EKINCHENG\桌面\Unistall64.zip
D:\Documents and Settings\EKINCHENG\桌面\Unistall64.zip >>ZIP >>Unistall64.exe - 未查明的 NewHeur_PE 病毒 [7]
已扫描的文件数目：2
已发现的病毒数目：1
已清除病毒的文件数目：1
完成时间： 11:00:50 总扫描时间：0 秒 (00:00:00)

注意：
[7] 该文件可能感染上未知病毒。

yczhou

NOD32没挂!