昨天检查出来的以病毒~本心辛苦搜索后居然没有解决办法

挪威的冬天

因为不支持分解压缩档查杀 所以解压杀

病毒 2007-12-17  11:39:20 病毒在文件C:\Documents and Settings\Norways Winter\桌面\AcroRd32[1]\AcroRd32\AcroRd32.exe中 Win32.VcingT.yd.204808 处理成功（操作：清除）

杀完后的源文件

smile125121

怎么没个高手进来帮忙解决一下呢~~彻底分析一下~~

千里同风

原帖由 rodneyxp2002 于 2007-12-15 10:50 发表
我前天捉的，不知道是不是这个？
卡巴报Virus.Win32.Xorer.bu
前天过了微点又过卡巴
害我重装
微点上报了才杀

下载你提供的样本解压时微点报同上，附件是从程序中提取的病毒体。

dsd1982

com文件夹下的这两个东西一看就是 变身广告a

解决步骤
1 拔网线

2 windows清理助手查杀木马和注册表 改名防止劫持
清楚auto文件 和pagefile。pif

3卡巴红伞全盘扫毒 别偷懒 漏一个exe你就白忙了 这步最好在winpe下进行免得他们杀软自身都被感染

4 ok后装彩影的arp防火墙 禁用cmd  修复安全模式

我们11月初就遇到过

把我的帖子看完
http://bbs.kafan.cn/viewthread.php?tid=159905&extra=page%3D2

[ 本帖最后由 dsd1982 于 2007-12-20 15:56 编辑 ]

dsd1982

我在网上找到的一篇行为分析 zt的
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

被和谐了汗，打不开！

[ 本帖最后由 dsd1982 于 2007-12-20 17:14 编辑 ]