exe.tmp.tmp

显示全部楼层 · 发表于 2009-3-24 16:08:41

怎么知道指向哪个文件？你是说里面包含的吗

显示全部楼层 · 发表于 2009-3-24 16:14:13

那个autorun.inf是指向哪个文件的啊？看你说的隐藏文件里没有其余的异常文件啊。。。。。
ps.你安装双系统了？
题外话。。

显示全部楼层 · 发表于 2009-3-24 16:24:58

在C盘之外的每一个盘根目录下都有，我已经强制删除了，里面是带一个文件夹了，重启他也没有再生成，应该不是这个问题，我用卡巴扫出来很多，应该是病毒源了吧
2009-3-24 16:18:12 检测到威胁: http://www.viruslist.com/sch/advisories/23655 文件 c:\WINDOWS\WinSxS\x86_Microsoft.MSXML2_6bd6b9abf345378f_4.20.9848.0_x-ww_1b897e9a\ msxml4.dll
2009-3-24 16:18:06 检测到威胁: http://www.viruslist.com/sch/advisories/34012 文件 c:\WINDOWS\system32\Macromed\Flash\ Flash9f.ocx
2009-3-24 16:17:15 检测到威胁: http://www.viruslist.com/sch/advisories/23655 文件 c:\WINDOWS\system32\ msxml4.dll
2009-3-24 16:15:33 检测到威胁: http://www.viruslist.com/sch/advisories/30285 文件 c:\program files\microsoft office\office11\ winword.exe
2009-3-24 16:15:24 检测到威胁: http://www.viruslist.com/sch/advisories/31453 文件 c:\program files\microsoft office\office11\ powerpnt.exe
2009-3-24 16:15:22 检测到威胁: http://www.viruslist.com/sch/advisories/31593 文件 c:\program files\microsoft office\office11\ excel.exe
2009-3-24 16:15:12 检测到威胁: http://www.viruslist.com/sch/advisories/31744 文件 c:\program files\Common Files\Microsoft Shared\OFFICE11\ MSO.DLL
2009-3-24 16:15:00 检测到威胁: http://www.viruslist.com/sch/advisories/25952 文件 c:\program files\ACDSee5\ ID_PSP.apl
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000108.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000108.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000108.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000095.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000095.exe
2009-3-24 16:14:31 未处理: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000108.exe 延期
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000104.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000104.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000095.exe
2009-3-24 16:14:31 未处理: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000095.exe 延期
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000104.exe
2009-3-24 16:14:31 未处理: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000104.exe 延期
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000108.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000095.exe
2009-3-24 16:14:31 检测到威胁: HEUR:Worm.Win32.Generic 文件 E:\System Volume Information\_restore{AEB1A671-43C8-46A4-A106-0A2BF7E5FC5A}\RP3\ A0000104.exe

显示全部楼层 · 发表于 2009-3-24 16:28:34

嗯，怪不得呢，这个期待高手吧，上报大蜘蛛试试，听说它解毒不错。。。

显示全部楼层 · 发表于 2009-3-24 16:35:02

大蜘蛛怎么上报？？我没找到

显示全部楼层 · 发表于 2009-3-24 16:54:11

http://bbs.drweb.com.cn/thread-1171-1-1.html
看看这个

显示全部楼层 · 发表于 2009-3-24 17:07:34

又仔细看了下，这个的确是无法修复的，只能还原出大部分的东西，但是还有1部分重要代码丢失了。。。。
附件数据确认是无任何作用的，只是生成tmp文件的标识，每次截取的0x8000字节，其实是1个99%完整的感染文件PE信息（除去PE头的前2个字节4A5D），每次剪掉这个数据一次，生成tmp文件1个，直到全部剪完，而最后一次所剪掉的上面，就是原来文件的信息了，包括很完整的PE头（当然，还得补上头2个字节4A5D），IAT信息，资源文件等都在，不过这样的处理，只能还原出绝大部分信息，还有1部分东西，也就是.code 段的那些内容，无法找到，也还原不出，不知道是被加密了，还是被覆盖了，个人觉得是覆盖了。。。

[ 本帖最后由 ximo 于 2009-3-24 17:24 编辑 ]

显示全部楼层 · 发表于 2009-3-24 17:10:04

你所要的病毒源是不是我卡巴扫出来的这些，这些都没用？我提取打包给你分析下？

显示全部楼层 · 发表于 2009-3-24 17:18:48

我传2个文件上来，1个是我对照着楼主的未感染的样本完全修复的，还有1个是在没对照着的情况下，缺省重要代码的信息下还原出来的。
中间缺省的（也就是00填充的）就是我无法找到的重要代码信息了，有能力的再研究研究吧，研究出了写也个文章，哈哈，我学习。
http://www.rayfile.com/files/aafb3e66-1853-11de-810e-0014221b798a/

显示全部楼层 · 发表于 2009-3-24 17:50:06

where is the attachment?

[病毒样本] exe.tmp.tmp

回复 50楼我是小菜鸟的帖子

回复 52楼我是小菜鸟的帖子

回复 54楼我是小菜鸟的帖子

回复 57楼 ximo 的帖子

[病毒样本] exe.tmp.tmp

回复 50楼 我是小菜鸟 的帖子

回复 52楼 我是小菜鸟 的帖子

回复 54楼 我是小菜鸟 的帖子

回复 57楼 ximo 的帖子

回复 50楼我是小菜鸟的帖子

回复 52楼我是小菜鸟的帖子

回复 54楼我是小菜鸟的帖子