收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 高手看看是不是病毒
12下一页
返回列表 发新帖
查看: 2371|回复: 13
收起左侧

[病毒样本] 高手看看是不是病毒

[复制链接]
jackeylau
头像被屏蔽
发表于 2007-10-1 15:41:07 | 显示全部楼层 |阅读模式
RT

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

promised
发表于 2007-10-1 15:56:07 | 显示全部楼层
两个本质上是一样的
都有问题
修改系统时间,删除gho文件,添加服务,反注册DLL
  1. 文本字串参考位于 who:.text
  2. 地址       反汇编                                    文本字串
  3. 00401285   PUSH who.0040416C                         ASCII "
  4. %s
  5. "
  6. 0040158B   CMP EAX,10000                             UNICODE "=::=::"
  7. 004015F7   CMP DWORD PTR DS:[ESI+D46C],10000         UNICODE "=::=::"
  8. 004016CB   CMP EAX,10000                             UNICODE "=::=::"
  9. 00401737   CMP DWORD PTR DS:[ESI+D46C],10000         UNICODE "=::=::"
  10. 004017C0   PUSH who.00404174                         ASCII "Read Error"
  11. 004017D7   PUSH who.00404174                         ASCII "Read Error"
  12. 00401ACE   PUSH who.00404184                         ASCII "rb"
  13. 00401AE1   PUSH who.00404180                         ASCII "wb"
  14. 00401DA1   MOV EDI,who.0040419C                      ASCII "SYSTEM\CurrentControlSet\Services"
  15. 00401E17   PUSH who.00404194                         ASCII "Start"
  16. 00401E50   MOV EDI,who.0040419C                      ASCII "SYSTEM\CurrentControlSet\Services"
  17. 00401ED8   PUSH who.00404188                         ASCII "Description"
  18. 00401EEF   PUSH who.00404194                         ASCII "Start"
  19. 00401F2A   PUSH who.004041C0                         ASCII "ServicesActive"
  20. 00401F7C   MOV EDI,who.0040419C                      ASCII "SYSTEM\CurrentControlSet\Services"
  21. 00401FF8   PUSH who.00404194                         ASCII "Start"
  22. 0040210F   MOV EDI,who.004042EC                      ASCII "\IEHelper.dll"
  23. 00402160   PUSH who.004042DC                         ASCII "/s IEHelper.dll"
  24. 00402165   PUSH who.004042CC                         ASCII "regsvr32.exe"
  25. 004021F6   PUSH who.00404238                         ASCII "/u /s shimgvw.dll"
  26. 004021FB   PUSH who.004042CC                         ASCII "regsvr32.exe"
  27. 0040220A   PUSH who.00404228                         ASCII "/u /s itss.dll"
  28. 0040220F   PUSH who.004042CC                         ASCII "regsvr32.exe"
  29. 0040221E   PUSH who.00404214                         ASCII "/u /s scrrun.dll"
  30. 00402223   PUSH who.004042CC                         ASCII "regsvr32.exe"
  31. 00402232   PUSH who.00404200                         ASCII "/u /s vbscript.dll"
  32. 00402237   PUSH who.004042CC                         ASCII "regsvr32.exe"
  33. 00402246   PUSH who.004041F0                         ASCII "/u /s wmp.dll"
  34. 0040224B   PUSH who.004042CC                         ASCII "regsvr32.exe"
  35. 0040225A   PUSH who.004041E0                         ASCII "/s jscript.dll"
  36. 0040225F   PUSH who.004042CC                         ASCII "regsvr32.exe"
  37. 00402271   PUSH who.004041DC                         ASCII "D:"
  38. 00402289   PUSH who.004041D8                         ASCII "E:"
  39. 004022A1   PUSH who.004041D4                         ASCII "F:"
  40. 004022B9   PUSH who.004041D0                         ASCII "G:"
  41. 00402388   PUSH who.00404304                         ASCII "*.*"
  42. 00402477   PUSH who.004042FC                         ASCII ".gho"
  43. 0040256B   PUSH who.00404324                         ASCII "COMSPEC"
  44. 00402585   PUSH who.0040431C                         ASCII "/c del "
  45. 004025AD   PUSH who.00404314                         ASCII " > nul"
  46. 004025D8   MOV DWORD PTR SS:[ESP+14],who.0040430C    ASCII "Open"
  47. 0040268E   PUSH who.0040432C                         ASCII "XXC"
  48. 004026E3   PUSH who.00404180                         ASCII "wb"
  49. 00402D1F   PUSH EBP                                  (初始 CPU 选择)
  50. 00402E9B   PUSH 10000                                UNICODE "=::=::"
复制代码

[ 本帖最后由 promised 于 2007-10-1 16:28 编辑 ]
回复

举报

微点卫士
发表于 2007-10-1 15:56:55 | 显示全部楼层
一运行就让我关机,报告贴不上来啊
回复

举报

shaw530
发表于 2007-10-1 15:57:21 | 显示全部楼层
AVAST 报 Win32:Agent-IWN [Trj]
回复

举报

changzheng2
发表于 2007-10-1 16:04:41 | 显示全部楼层
Avast!  Win32:Agent-IWN [Trj]
Sophos  Mal/Behav-112
Panda  Suspicious file
Prevx1  Heuristic: Suspicious Self Modifying File
回复

举报

jackeylau
头像被屏蔽
 楼主| 发表于 2007-10-1 16:13:33 | 显示全部楼层
怎么清除 有什么简单点的方法 反正我红伞自动删除了它还是会出
回复

举报

solcroft
发表于 2007-10-1 16:22:51 | 显示全部楼层
奇怪,瑞星怎么挂了
老鹰顶阵

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

promised
发表于 2007-10-1 16:30:31 | 显示全部楼层
删除注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMs
删除C:\defrenlt2.wmz
删除C:\Program Files\Windows Media Player\msplaycom.exe
重新注册C:\WINDOWS\system32\IEHelper.dll,shimgvw.dll, vbscript.dll,scrrun.dll,wmp.dll,jscript.dll
回复

举报

jackeylau
头像被屏蔽
 楼主| 发表于 2007-10-1 16:34:25 | 显示全部楼层
怎么操作,菜鸟一个,以前都没删过注册表
回复

举报

promised
发表于 2007-10-1 16:39:44 | 显示全部楼层
原帖由 jackeylau 于 2007-10-1 16:34 发表
怎么操作,菜鸟一个,以前都没删过注册表

重新注册dll :开始-运行-输入“regsvr32 IEHelper.dll”
其余DLL的注册同上
用syscheck删除服务

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-8 10:21 , Processed in 0.136229 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表