继续昨日的SYSTEM.EXE，把A.EXE打包了

alpher

我不会分析病毒文件，在SYSTEM32目录下发现了一个TXT文本，里面有34个病毒的下载地址，应该是下载这些文件吧。
说说今天的卸载过程。。跟昨天差不多情况。
1、网卡禁用，拔网线
2、用SWORD，把异常进程结束。
3、用wsyscheck，顶上有个构建安全系统后，剩下没几个进程了，泛红的进程里将红色的DLL卸载模块，碰到一个sh05003.dll进驻在csrss.exe里面怎么清除不了。先没理它
4、用windows清理助手，查找，清理，剩下几个提示驱动方式加载，需重启清除，未重启。右键查看哪些文件清理不了。
再一次回到wsyscheck，再来一次卸载模块，这回成功卸载。使用windows清理助手，成功清除所有文件，再一次扫描，没有异常。
5、用SRE与AUTORUNS，按正常步骤，查看启动项目－－里面的注册表只剩几个MS的和输入法，服务未细看（在autoruns才看），其它正常。系统修复－－文件关联（修复），HOSTS（重置，保存），其它没发现异常。
跟着来到autoruns，只看非MS签名的加载项，file not found的全部删除，最后只剩几个系统驱动（确认是 驱动，声卡）
6、用SWORD清除系统残留文件。删除ADMINISTRATOR下的TEMP，与IETEMP（全部文件都清除）。SYSTEM32内使用创建时间排序，排行前面的，很多CFG隐藏文件，*.TMP临时文件，强制删除（第一次清理有个LSASVR.dll，被我强制删除，结果进不了系统，重新将DLLCACHE全部覆盖才解决问题，幸好样机多）。
7、安装了NOD32，扫描病毒，还是被查出了100多个病毒文件，全是NEW（*）.exe，在NetworkService用户下还有好多临时文件。SYSTEM32里面的system32\config\systemprofile也有好多临时文件。

最后查杀的时候幸好看着WSYSCHECK，竟然发现，WowInitcode.BAT又被加载了，那时候连了网络，临时文件又没有公完全被清空。马上卸载模块，后来就一切正常了。
等明天再看看，是否又死灰复燃，现在的病毒越来越顽强了。。


晕死。突然网页打不开了，幸好文字有复制。。重新粘贴一下。


该怎么样分析病毒文件呢？谁可以教教吗？给个软件我自己去找教程也行。




后续在16楼。。。。。。。

[ 本帖最后由 alpher 于 2008-11-9 14:18 编辑 ]

IllusionWing

这个应该到样本区..

难得FS自己的引擎表现一次
Result: 2 malware found
Trojan-Dropper.Win32.Agent.yzy (virus)
C:\Documents and Settings\sk\桌面\236.rar\新建文件夹\sh17011.exe
Trojan:W32/Agent.GKQ (virus)
C:\Documents and Settings\sk\桌面\236.rar\新建文件夹\a.rar\a.exe

Definitions version:
Viruses: 2008-11-08_01
Spyware: 2008-11-08_01

Scanning Engines:
F-Secure AVP: 7.00.171, 2008-11-08
F-Secure Hydra: 2.08.8110, 2008-11-08

IllusionWing

用OD反向，沙盘很方便

主要注册表麻烦，上次碰到DNSChanger，手工半天没搞定。。。
万一系统文件被替换了更麻烦

IllusionWing

反了一下sh17011.exe
就是释放一个antisg.sys，然后IDA反antisg.sys
antisg.sys屏蔽了TX的保护驱动TesSafe.sys，估计用于盗号。
OVER

alpher

原帖由 gankeyu 于 2008-11-8 16:18 发表
用OD反向，沙盘很方便

呃……可以说个全名吗？？我这类新手最怕的就是缩写。

alpher

原帖由 gankeyu 于 2008-11-8 16:22 发表
反了一下sh17011.exe
就是释放一个antisg.sys，然后IDA反antisg.sys
antisg.sys屏蔽了TX的保护驱动TesSafe.sys，估计用于盗号。
OVER

确实如此，QQ号被人盗了。

IllusionWing

WowInitcode.dat是downloader和wow的stealer，没功夫继续解密了

kavfans99

原帖由 alpher 于 2008-11-8 16:22 发表
呃……可以说个全名吗？？我这类新手最怕的就是缩写。

OD - 应该就是 OllyDbg 汇编级分析调试工具吧~
_http://www.ollydbg.de/

沙盘 - Sandboxie - 将程序放到隔离的虚拟区域运行~
_http://www.sandboxie.com/