一个小病毒居然轻松过红伞？？？

solcroft

无尽藏海

程序:
E:\VIRUS\PAL\PAL\PAL.EXE
病毒程序生成以下文件:
1) C:\''仙剑~1\''仙剑~1\PAL.EXE
是否删除病毒程序及其衍生物?

barbara

偶直接运行了 不幸的是运行的时候comodo开的Training Mode...

yew0325

这个病毒句让这么厉害   

zwl2828

花楹....

barbara

现在中毒已深  不知道怎么清楚?每个盘根目录下都有个. ' '仙 剑' ' .文件夹

ssy275

仙剑，。。

闪电战

原帖由 0-100 于 2008-6-18 23:17 发表

没有试过用DOS命令的，主要是那个文件价名太难输入了

XP以后的Windows中，命令提示符下按Tab键自动完成文件名

ranguangning

   地址                     反汇编                                                         文本字串
00401560   PUSH 仙剑病毒.004023D4                        (初始 cpu 选择)
00401560   PUSH 仙剑病毒.004023D4                        vb5!6&vb6chs.dll
00404081   MOV DWORD PTR SS:[EBP-9C],仙剑病毒.00402      notepad.exe
004041B2   MOV DWORD PTR SS:[EBP-9C],仙剑病毒.00402      c:\windows\system32
0040424E   MOV DWORD PTR SS:[EBP-AC],仙剑病毒.00402      c:\windows\system32\dllcache
004042CA   PUSH 仙剑病毒.00402D8C                        c:\windows\system\systemdrive.bat
004042DD   PUSH 仙剑病毒.00402DD4                        @echo off
00404384   MOV DWORD PTR SS:[EBP-9C],仙剑病毒.00402      explorer.exe
004043C4   PUSH 仙剑病毒.00402E1C                        exit
004043E8   MOV DWORD PTR SS:[EBP-9C],仙剑病毒.00402      c:\windows\system\systemdrive.bat
0040442D   PUSH 仙剑病毒.00402E2C                        c:\windows\inf\auto1.inf
0040443A   PUSH 仙剑病毒.00402E64                        [autorun]
00404479   PUSH 仙剑病毒.00402FA0                        c:\windows\inf\auto2.inf
00404486   PUSH 仙剑病毒.00402E64                        [autorun]
00404494   PUSH 仙剑病毒.00402FD8                        open=e2e2~1\e2e2~1\pal.exe
004044A2   PUSH 仙剑病毒.00403014                        shell\open\command=e2e2~1\e2e2~1\pal.exe
004044B0   PUSH 仙剑病毒.0040306C                        shell\explore\command=e2e2~1\e2e2~1\pal.exe
00404957   MOV DWORD PTR SS:[EBP-164],仙剑病毒.0040      1
004049CD   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      :
00404B47   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      :
00404E0D   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      c:\windows\system32
00404E76   PUSH 仙剑病毒.004030E8                        c:\windows\system32\svch0st.exe
00404E8A   PUSH 仙剑病毒.0040312C                        c:\windows\system32\dllcache\svch0st.exe
004050B4   MOV DWORD PTR SS:[EBP-164],仙剑病毒.0040      \
00405100   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      \
00405299   MOV DWORD PTR SS:[EBP-174],仙剑病毒.0040      .exe
004052AD   PUSH 仙剑病毒.004030E8                        c:\windows\system32\svch0st.exe
004055A0   MOV DWORD PTR SS:[EBP-164],仙剑病毒.0040      \
004055EC   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      \
00405785   MOV DWORD PTR SS:[EBP-174],仙剑病毒.0040      .exe
00405799   PUSH 仙剑病毒.0040319C                        c:\windows\system32\dllcache\soundman.exe
00405876   PUSH 仙剑病毒.004030E8                        c:\windows\system32\svch0st.exe
0040588A   PUSH 仙剑病毒.0040312C                        c:\windows\system32\dllcache\svch0st.exe
0040589C   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      c:\windows\system32\svch0st.exe
004059DC   PUSH 仙剑病毒.0040318C                        .exe
00405A0B   MOV DWORD PTR SS:[EBP-144],仙剑病毒.0040      svch0st.exe
00405FDC   MOV DWORD PTR SS:[EBP-138],仙剑病毒.0040      \
00406028   MOV DWORD PTR SS:[EBP-118],仙剑病毒.0040      \
004061BB   MOV DWORD PTR SS:[EBP-148],仙剑病毒.0040      .exe
00406303   PUSH 仙剑病毒.00403314                        :\autorun.inf
00406345   PUSH 仙剑病毒.00403314                        :\autorun.inf
0040635C   PUSH 仙剑病毒.00402E2C                        c:\windows\inf\auto1.inf
0040637F   PUSH 仙剑病毒.00403314                        :\autorun.inf
00406569   PUSH 仙剑病毒.00403334                        :\...\
0040659C   PUSH 仙剑病毒.00403348                        :\...\...\
004065D1   PUSH 仙剑病毒.00403364                        :\e2e2~1
00406606   PUSH 仙剑病毒.0040337C                        :\e2e2~1\e2e2~1
0040663B   PUSH 仙剑病毒.004033A0                        :\e2e2~1\e2e2~1\pal.exe
00406874   MOV DWORD PTR SS:[EBP-138],仙剑病毒.0040      \
004068C0   MOV DWORD PTR SS:[EBP-118],仙剑病毒.0040      \
00406A53   MOV DWORD PTR SS:[EBP-148],仙剑病毒.0040      .exe
00406A6D   PUSH 仙剑病毒.004033A0                        :\e2e2~1\e2e2~1\pal.exe
00406B66   PUSH 仙剑病毒.004033A0                        :\e2e2~1\e2e2~1\pal.exe
00406B9B   PUSH 仙剑病毒.00403314                        :\autorun.inf
00406BDD   PUSH 仙剑病毒.00403314                        :\autorun.inf
00406BF4   PUSH 仙剑病毒.00402FA0                        c:\windows\inf\auto2.inf
00406C17   PUSH 仙剑病毒.00403314                        :\autorun.inf
00406DA6   PUSH 仙剑病毒.004033D4                        :\autorun.inf
00406E07   PUSH 仙剑病毒.004033F4                        :\
00406EE3   PUSH 仙剑病毒.00403404                        c:\windows\system32\dllcache\drive
00406F00   PUSH 仙剑病毒.00403450                        .bat
00406F3D   PUSH 仙剑病毒.00402DD4                        @echo off
00406F59   PUSH 仙剑病毒.00403460                        rd /s/q
00406F76   PUSH 仙剑病毒.00403478                        :\autorun.inf&exit
00406FC6   PUSH 仙剑病毒.00403404                        c:\windows\system32\dllcache\drive
00406FE3   PUSH 仙剑病毒.00403450                        .bat
00407149   MOV EDX,仙剑病毒.004030E8                     c:\windows\system32\svch0st.exe
00407153   MOV EDX,仙剑病毒.00403504                     systemdrive
0040715D   MOV EDX,仙剑病毒.004034A4                     software\microsoft\windows\currentversion\run
004071A0   MOV EDX,仙剑病毒.0040355C                     c:\windows\system32\dllcache\soundman.exe %1
004071B4   MOV EDX,仙剑病毒.00403520                     txtfile\shell\open\command
004071F1   MOV EDX,仙剑病毒.00403660                     uncheckedvalue
00407202   MOV EDX,仙剑病毒.004035BC                     software\microsoft\windows\currentversion\explorer\advanced\folder\superhidden
0040723B   MOV EDX,仙剑病毒.00403700                     superhidden
0040724C   MOV EDX,仙剑病毒.00403684                     software\microsoft\windows\currentversion\explorer\advanced
00407285   MOV EDX,仙剑病毒.0040371C                     hidden
00407296   MOV EDX,仙剑病毒.00403684                     software\microsoft\windows\currentversion\explorer\advanced

【老动作的集合体】


[ 本帖最后由 ranguangning 于 2008-6-19 11:19 编辑 ]

我的装备轻松被过！kis2009(8.0.357(a.b))