电脑里很多exe被感染，用vb写修复程序，文件头的修复不懂

czt

我电脑里有很多exe被感染，这些被感染的exe,运行后会释放一个cmt.exe在c盘，并运行之，然后再运行原来的程序
下面是我的一点研究
这些exe文件头都被改了，文件尾部增加了70多k的数据，而在c盘的cmt.exe也差不多是70多k，尾部增加的这部分数据，前面有一小段是用于生成cmt.exe并运行它的代码,其他数据应该就是那个cmt.exe的数据
我自己用vb写了个程序来检测exe是否被感染，并删除尾部增加的数据，但文件头如何修复，我真的是不懂了，所以来这里求助，求一个具体的思路

PS：有一点我不明白为什么大部分exe都被感染，但还是有少数没有被感染，这是为何
     有一些exe被感染后就运行不了，除了这程序原来会自检外，是不是还有其他原因

附件中的压缩包是一个被感染的exe



PrvDisk_Free.part1.rar (400 KB, 下载次数: 247)

2011-9-21 22:48 上传

点击文件名下载附件 PrvDisk_Free.part2.rar (136.21 KB, 下载次数: 210)

2011-9-21 22:48 上传

点击文件名下载附件

秦王扫六合

遇到过 确实是只能感染一部分
怎么还原就不知道了
等楼下解释

sanhu35

不错  不懂编程纯支持

IllusionWing

在被感染的入口点+0x295处找到长跳转 jmp     00543001 ，这个地址就是程序原始入口点。用LPE等工具把EP调整回这个地方再删除最后一个 PE Section 即可。其他程序类似。顺便一提，这加密工具貌似一点用也没有。

czt

IllusionWing 发表于 2011-9-21 23:49
在被感染的入口点+0x295处找到长跳转 jmp     00543001 ，这个地址就是程序原始入口点。用LPE等工具把EP调整 ...

谢谢这位大哥

具体到写程序，您给出的方法要怎么写出程序来，完全没思路啊

PE文件结构什么的，百度了还是不懂，这方面的知识可以说是0

IllusionWing

明天我再来写个代码，最好能多传点样本上来

czt

IllusionWing 发表于 2011-9-22 00:15
明天我再来写个代码，最好能多传点样本上来

万分感谢，等下我在传多几个样本上来

czt

挑了些小的文件出来
http://115.com/file/dn1rfsid#

allenyuky

都是技术流的交流，只能看看热闹！

wwdboy

膜拜技术达人