凝逸反毒.修复Win32.HLLW.WaceE感染1.0
感染引擎: 修复Win32.HLLW.Wace病毒
引擎作者: 凝逸
病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
功能: 修复Win32.HLLW.Wace感染的EXE,有一些感染坏了,就修复不了!
防御:
注意:先试修复几个exe,如不能运行为新变种,请联络凝逸开发出新的修复引擎!
修复方法:
[专杀]
->修复Win32.HLLW.Wace
再 修复所有exe
[扫描]
->扫描病毒
把 c:\ 下的木马杀了
从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
[扫描]
->黑洞
把 把木马杀了, 从开机时在还原系,
---
主页:http://hi.baidu.com/503165656
凝逸BBS:http://nyav.uu1001.cn/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)
============
点击进入下载-Win32.HLLW.Wace感染(nyav).zip
密:nyav
感染WinRAR.exe
========PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :512
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :8
文件创建的时间 :2007年9月20日12时34分22秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :5.0
代码段长度 :A3000
已初始化数据块大小 :42400
未初始化数据块大小 :0
★程序入口 [EntryCodeData]:001309B6
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:000A4000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :0.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :130BDE
所有头+节表的大小 :600
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :2000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 000A3000 00000600 000A2200 60000020
2 .data 000A4000 0004C000 000A2800 0000E000 C0000040
3 .tls 000F0000 00001000 000B0800 00000200 C0000040
4 .rdata 000F1000 00001000 000B0A00 00000200 50000040
5 .idata 000F2000 00003000 000B0C00 00002A00 40000040
6 .edata 000F5000 00001000 000B3600 00000200 40000040
7 .rsrc 000F6000 00032000 000B3800 00031400 40000040
8 .MMM 00128000 00008BDE 000E4C00 00008BDE E00000E0 |
[复制链接]
发表于 2009-4-5 11:39:43
楼主