exe.tmp.tmp

dddirsaya

不会吧？不行？那我不种头彩了重建分区表得了？我有700G的空间呐~！
他是靠什么途径传播的呀？什么墙能防止？

dddirsaya

哪种其他样本？我在救援发的，然后来这里发样本的
还是要同种被感染的程序么，C盘有什么是直接导致这种东西执行的有吗

dddirsaya

我用大蜘蛛扫了一遍到C盘的时候修复了一个文件

dddirsaya

修复了一个Win32.HLLW.Autoruner.5555  被感染的文件名是efwbnd[1].gif

ximo

没原始文件，实在不好修复，PE结构没任何问题，程序也没什么乱码，不是动态解码的，也没什么加壳的特征。
刚开始以为附加数据，但发现没任何PE特征，考虑是否被加密，需要解密，未果。。。
后来考虑是否类似上兴或女王的壳，但也不是。。。。
郁闷了
楼主继续从你电脑上找感染的样本，条件是最好其他人都有的，这样有个比对，也有办法进行比对修复，不然，我能力有限，今天上想不出修复的方法了。。。

The EQs

没看到加密，OD看不出来，用16进制编辑工具就OK了

dddirsaya

怎么没对比，我不是发了一个未感染的一个感染的给你参考么，在纳米盘上

dddirsaya

你把东西拿出来了？好用？可有位大大说是加壳感染的啊，什么方法教教我

ximo

原帖由 EQ2 于 2009-3-23 23:22 发表
没看到加密，OD看不出来，用16进制编辑工具就OK了

16进制能看出个什么？？乱乱的一片。。。

[ 本帖最后由 ximo 于 2009-3-24 14:39 编辑 ]

ximo

原帖由 dddirsaya 于 2009-3-23 23:24 发表
怎么没对比，我不是发了一个未感染的一个感染的给你参考么，在纳米盘上

额，有未感染的样本?? 抱歉，没发现。我就下了个你刚开始传的3个感染后的样本。。。
今天不看了，明天继续