怎样把中毒文件修复-----增加样本17号更新

显示全部楼层 · 发表于 2009-7-16 16:53:12

这个被感染坏了。
传个正常的感染样本上来。

显示全部楼层 · 发表于 2009-7-16 17:17:52

瑞星2010
查询编号：RS20090716150712046519
文件名称：ATF-Cleaner-cn.rar
文件MD5：59C022FA1DDE48EF0CFF477FDF20CD1C
文件状态：压缩文件，包含1个文件

文件名	MD5	状态	病毒名称	解决版本号
ATF-Cleaner-cn...	E8AAC83EE...	安全文件

显示全部楼层 · 发表于 2009-7-16 17:34:01

感染坏掉了……自动修ms有点麻烦……

先删掉前0x15806字节的垃圾数据

然后……运行时这毒会一个个的加载原先程序的函数解压数据，最后返回到正常文件的入口点
0044D3BA 68 402E4000 push 00402E40
0044D3BF C3 retn

修了一个

显示全部楼层 · 发表于 2009-7-16 17:37:05

卡巴都掃不倒....

显示全部楼层 · 发表于 2009-7-16 18:38:37

ATF-Cleaner-cn.exe
坏了的

发个感染的试试

显示全部楼层 · 发表于 2009-7-16 20:40:59

看尾部应该是BMW之类感染的但文件头都没了被感染坏了

显示全部楼层 · 发表于 2009-7-16 21:57:13

To KL

显示全部楼层 · 发表于 2009-7-17 08:10:30

13楼的真不错，看情况修复太复杂了，谢谢。再传几个文件，有兴趣的试试，如果都损坏了

显示全部楼层 · 发表于 2009-7-17 20:13:04

不好修复 :(

[病毒样本] 怎样把中毒文件修复-----增加样本17号更新