有种你ye来试试啊～～～～～～～～～～【已有多人收藏】

itow

回复 19楼 liulangzhecgr 的帖子

不用的，即时生效

itow

RootkitRevealer，BlackLight，GMER，Hook Explorer，IDefense，IceSword,,wsyscheck,sreng
等等

itow

病毒winupgro.exe全球肆虐技压群雄，可耐唯败东方微点
http://bbs.kafan.cn/thread-408416-1-1.html

liulangzhecgr

回复 21楼 itow 的帖子

打开xt...一闪而过！修改扩展名为pif,还是一闪而过！

打开xt啦！
红色的进程。。。是个可疑进程（？！）还是病毒进程？！


[XueTr][内核模块]: 145
驱动名  基地址  大小  驱动对象  驱动路径  服务名  加载顺序  文件厂商
taskmgr.sys  0xB8A70000  0x00064000  0xFF565778  C:\WINDOWS\system32\taskmgr.sys    102  文件不存在
wfsintwq.sys  0xB8C50000  0x0001B000  0x8117D8E0  C:\WINDOWS\system32\wfsintwq.sys  srosa  100
......
[XueTr][系统回调]: 25
回调入口  类型  路径  文件厂商  备注
0xB8C50C14  LoadImage  C:\WINDOWS\system32\wfsintwq.sys
。。。。。。


[XueTr][DPC]: 55
定时器对象  触发周期(ms)  函数入口  函数入口所在内核模块
0x81B80898  10000  0xF878F6C4  C:\WINDOWS\System32\watchdog.sys
0x81B80940  10000  0xF878F6C4  C:\WINDOWS\System32\watchdog.sys
。。。。。。。

[XueTr][SSDT]: 41
序号  函数名称  当前函数地址  Hook  原始函数地址  当前函数地址所在模块
173  NtQuerySystemInformation  0xB8C5775A  inline hook  0x80608B48  C:\WINDOWS\system32\wfsintwq.sys
224  NtSetInformationFile  0xB8C514EC  inline hook  0x80571284  C:\WINDOWS\system32\wfsintwq.sys
93  NtInitiatePowerAction  0xB8A8D27E  ssdt hook  0x805BF2BE  C:\WINDOWS\system32\taskmgr.sys

[XueTr][ShadowSSDT]: 23
序号  函数名称  当前函数地址  Hook  原始函数地址  当前函数地址所在模块
312  NtUserBuildHwndList  0xB8AABAFA  ssdt hook  0xBF835EEB  C:\WINDOWS\system32\taskmgr.sys
323  NtUserCallOneParam  0xB8A8D116  ssdt hook  0xBF8010A7  C:\WINDOWS\system32\taskmgr.sys
355  NtUserDestroyWindow  0xB8AABEDC  ssdt hook  0xBF866A95  C:\WINDOWS\system32\taskmgr.sys
378  NtUserFindWindowEx  0xB8AABBDC  ssdt hook  0xBF869381  C:\WINDOWS\system32\taskmgr.sys
404  NtUserGetForegroundWindow  0xB8AABC26  ssdt hook  0xBF820B84  C:\WINDOWS\system32\taskmgr.sys
457  NtUserLockWorkStation  0xB8A8CA2A  ssdt hook  0xBF91116E  C:\WINDOWS\system32\taskmgr.sys
460  NtUserMessageCall  0xB8AABF1E  ssdt hook  0xBF80EE2B  C:\WINDOWS\system32\taskmgr.sys
476  NtUserPostThreadMessage  0xB8AABD5A  ssdt hook  0xBF86BD55  C:\WINDOWS\system32\taskmgr.sys
483  NtUserQueryWindow  0xB8AABD9C  ssdt hook  0xBF803B16  C:\WINDOWS\system32\taskmgr.sys
529  NtUserSetParent  0xB8AABDDA  ssdt hook  0xBF88291C  C:\WINDOWS\system32\taskmgr.sys
544  NtUserSetWindowLong  0xB8AABE58  ssdt hook  0xBF832BB6  C:\WINDOWS\system32\taskmgr.sys
555  NtUserShowWindow  0xB8AABE9A  ssdt hook  0xBF834F73  C:\WINDOWS\system32\taskmgr.sys
。。。。。。
[XueTr][Kernel Hook]: 61
挂钩对象  挂钩位置  钩子类型  挂钩处当前值  挂钩处原始值

len(1) RtlPrefetchMemoryNonTemporal[ntkrnlpa.exe]  [0x80543354]->[-]  Inline  90  C3

len(2) NtCreateFile[ntkrnlpa.exe]  [0x8056F27C]->[0xB8C56E3A][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  8B FF

len(2) NtDeleteFile[ntkrnlpa.exe]  [0x8056CE1C]->[0xB8C5149C][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  8B FF

len(4) NtDuplicateObject[ntkrnlpa.exe]  [0x805B48A5]->[0xB8AACBDE][C:\WINDOWS\system32\taskmgr.sys]  Inline  35 83 4F 38  0D D2 FF FF

len(2) NtOpenFile[ntkrnlpa.exe]  [0x8057039A]->[0xB8C56F58][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  8B FF

len(5) NtOpenProcess[ntkrnlpa.exe]  [0x805C2296]->[0xB8C513EE][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 53 F1 68 38  68 C4 00 00 00

len(2) NtQueryDirectoryFile[ntkrnlpa.exe]  [0x80570074]->[0xB8C575A8][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  8B FF
len(5) NtQuerySystemInformation[ntkrnlpa.exe]  [0x80608B48]->[0xB8C5775A][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 0D EC 64 38  68 10 02 00 00

len(5) NtSetInformationFile[ntkrnlpa.exe]  [0x80571284]->[0xB8C514EC][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 63 02 6E 38  68 8C 00 00 00
len(4) NtShutdownSystem[ntkrnlpa.exe]  [0x8060A0C0]->[0xB8A8D108][C:\WINDOWS\system32\taskmgr.sys]  Inline  44 30 48 38  12 FD 03 00

len(1) KiFastCallEntry[ntkrnlpa.exe]  [0x8053E736]->[-]  Inline  06  05

len(2) NtDeleteKey[ntkrnlpa.exe]  [0x8061B716]->[0xB8C51A2E][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 38

len(2) NtDeleteValueKey[ntkrnlpa.exe]  [0x8061B8E6]->[0xB8C5182E][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 48

len(2) NtEnumerateKey[ntkrnlpa.exe]  [0x8061BAC6]->[0xB8C57302][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 54
len(2) NtEnumerateValueKey[ntkrnlpa.exe]  [0x8061BD30]->[0xB8C57058][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 54
len(2) NtLoadDriver[ntkrnlpa.exe]  [0x8057A588]->[0xB8C57B88][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 54

len(2) NtQueryKey[ntkrnlpa.exe]  [0x8061C97E]->[0xB8C57E78][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 60

len(5) NtSetSystemPowerState[ntkrnlpa.exe]  [0x80649DD6]->[0xB8A8D1C2][C:\WINDOWS\system32\taskmgr.sys]  Inline  E9 E7 33 44 38  68 AC 00 00 00

len(2) NtSetValueKey[ntkrnlpa.exe]  [0x8061980C]->[0xB8C51614][C:\WINDOWS\system32\wfsintwq.sys]  Inline  EB F9  6A 5C

len(4) NtTerminateProcess[ntkrnlpa.exe]  [0x805C9C75]->[0xB8AACE96][C:\WINDOWS\system32\taskmgr.sys]  Inline  1D 32 4E 38  3D 7E FE FF

len(4) NtTerminateThread[ntkrnlpa.exe]  [0x805C9E73]->[0xB8AACE96][C:\WINDOWS\system32\taskmgr.sys]  Inline  1F 30 4E 38  3F 7C FE FF
len(4) [ntkrnlpa.exe]  [0x80502C30]->[-]  Inline  3F 91 1B BA  86 B2 61 80

len(4) [ntkrnlpa.exe]  [0x80502C54]->[-]  Inline  33 3A 1B BA  EC 16 5A 80
len(4) [ntkrnlpa.exe]  [0x80502C60]->[-]  Inline  7D 6D 1B BA  08 82 5C 80
len(16) [ntkrnlpa.exe]  [0x80502C88]->[-]  Inline  7B 94 1B BA 42 BC 5E 80 CE 95 1B BA 61 62 1B BA  16 B7 61 80 42 BC 5E 80 E6 B8 61 80 42 F4 56 80
len(12) [ntkrnlpa.exe]  [0x80502CA8]->[-]  Inline  4E CF 1B BA 34 DB 60 80 98 CC 1B BA  C6 BA 61 80 34 DB 60 80 30 BD 61 80
len(4) [ntkrnlpa.exe]  [0x80502D00]->[-]  Inline  7E D2 A8 B8  BE F2 5B 80
len(4) [ntkrnlpa.exe]  [0x80502D10]->[-]  Inline  AA 2B 1B BA  88 A5 57 80
len(4) [ntkrnlpa.exe]  [0x80502D68]->[-]  Inline  05 C7 1B BA  58 C6 61 80

len(3) [ntkrnlpa.exe]  [0x80502D75]->[-]  Inline  54 1B BA  22 5C 80
len(4) [ntkrnlpa.exe]  [0x80502D80]->[-]  Inline  CD 2C 1B BA  22 07 5A 80
len(4) [ntkrnlpa.exe]  [0x80502DB0]->[-]  Inline  13 35 1B BA  08 EA 5A 80

len(4) [ntkrnlpa.exe]  [0x80502E0C]->[-]  Inline  63 BF 1B BA  7E C9 61 80
len(4) [ntkrnlpa.exe]  [0x80502E50]->[-]  Inline  40 C5 1B BA  BE 94 61 80

len(4) [ntkrnlpa.exe]  [0x80502E5C]->[-]  Inline  0D 69 1B BA  66 84 5C 80
len(4) [ntkrnlpa.exe]  [0x80502E68]->[-]  Inline  5A 3F 1B BA  AA 27 57 80

len(4) [ntkrnlpa.exe]  [0x80502E74]->[-]  Inline  50 31 1B BA  12 A7 5A 80

len(4) [ntkrnlpa.exe]  [0x80502EAC]->[-]  Inline  F8 6D 1B BA  8E 90 59 80

len(4) [ntkrnlpa.exe]  [0x80502EBC]->[-]  Inline  D1 66 1B BA  3E CC 61 80
len(4) [ntkrnlpa.exe]  [0x80502EE0]->[-]  Inline  89 4B 1B BA  2A 89 5C 80

len(12) [ntkrnlpa.exe]  [0x80502F4C]->[-]  Inline  C0 4E 1B BA AC 64 1B BA AA 5B 1B BA  76 6E 60 80 D6 9D 64 80 A4 B5 60 80
len(12) [ntkrnlpa.exe]  [0x80502F68]->[-]  Inline  D8 8D 1B BA 06 24 57 80 5F 48 1B BA  0C 98 61 80 06 24 57 80 92 A0 60 80
len(24) [ntkrnlpa.exe]  [0x80502F80]->[-]  Inline  9E 46 1B BA 7E 44 1B BA A6 4D 1B BA 8C 42 1B BA D3 40 1B BA 69 49 1B BA  EA BC 5C 80 5C BB 5C 80 DA F1 60 80 5A E7 5C 80 2A 9C 5C 80 24 9E 5C 80

len(4) [ntkrnlpa.exe]  [0x80502FD4]->[-]  Inline  0E 3D 1B BA  48 32 57 80
len(4) [ntkrnlpa.exe]  [0x80502FE0]->[-]  Inline  39 33 1B BA  1C A8 5A 80

len(18) [ntkrnlpa.exe]  [0x80542A5A]->[-]  Inline  E0 25 7F FF FF FF 0F 22 E0 0D 80 00 00 00 0F 22 E0 C3  D8 0F 22 D8 C3 0F 20 E0 25 7F FF FF FF 0F 22 E0 0D 80

len(1) [ntkrnlpa.exe]  [0x80542A72]->[-]  Inline  00  C3

len(7) [ntkrnlpa.exe]  [0x8056CE17]->[0xB8C5149C][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 80 46 6E 38 EB F9  CC CC CC CC CC 8B FF

len(7) [ntkrnlpa.exe]  [0x8056F277]->[0xB8C56E3A][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 BE 7B 6E 38 EB F9  CC CC CC CC CC 8B FF

len(7) [ntkrnlpa.exe]  [0x8057006F]->[0xB8C575A8][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 34 75 6E 38 EB F9  CC CC CC CC CC 8B FF

len(7) [ntkrnlpa.exe]  [0x80570395]->[0xB8C56F58][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 BE 6B 6E 38 EB F9  CC CC CC CC CC 8B FF

len(7) [ntkrnlpa.exe]  [0x8057A583]->[0xB8C57B88][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 00 D6 6D 38 EB F9  CC CC CC CC CC 6A 54

len(4) [ntkrnlpa.exe]  [0x805C24BB]->[0xB8AACA36][C:\WINDOWS\system32\taskmgr.sys]  Inline  77 A5 4E 38  8B FE FE FF

len(4) [ntkrnlpa.exe]  [0x805C273D]->[0xB8AACA36][C:\WINDOWS\system32\taskmgr.sys]  Inline  F5 A2 4E 38  09 FC FE FF

len(7) [ntkrnlpa.exe]  [0x80619807]->[0xB8C51614][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 08 7E 63 38 EB F9  CC CC CC CC CC 6A 5C

len(7) [ntkrnlpa.exe]  [0x8061B711]->[0xB8C51A2E][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 18 63 63 38 EB F9  CC CC CC CC CC 6A 38

len(7) [ntkrnlpa.exe]  [0x8061B8E1]->[0xB8C5182E][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 48 5F 63 38 EB F9  CC CC CC CC CC 6A 48

len(7) [ntkrnlpa.exe]  [0x8061BAC1]->[0xB8C57302][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 3C B8 63 38 EB F9  CC CC CC CC CC 6A 54

len(7) [ntkrnlpa.exe]  [0x8061BD2B]->[0xB8C57058][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 28 B3 63 38 EB F9  CC CC CC CC CC 6A 54

len(7) [ntkrnlpa.exe]  [0x8061C979]->[0xB8C57E78][C:\WINDOWS\system32\wfsintwq.sys]  Inline  E9 FA B4 63 38 EB F9  CC CC CC CC CC 6A 60

len(5) [win32k.sys]  [0xBF808974]->[0xB8AABC72][C:\WINDOWS\system32\taskmgr.sys]  Inline  E9 F9 32 2A F9  8B FF 55 8B EC

itow

其实微点也干不掉，我中招之后，安装微点，
立即蓝屏，我不得不恢复到最后的配置

5332666

LZ试试能过360卫士的主防么？

itow

回复 26楼 5332666 的帖子

我是中招之后采用360的，不行

5332666

不是中招再装，我意思是装了360卫士，再试这病毒能不能起效。
MJ不是说不是说基本什么病毒都不能过卫士的主防么。

itow

回复 28楼 5332666 的帖子

也许不能吧，反正那时360也干不了他

itow

回复 24楼 liulangzhecgr 的帖子

当时我正打算重装，我找到了xt，那时还刚出来呢，我一把干掉，再用MalwareBytes.Anti-Malware，修复了400多个问题，终于全部清理干净