首页
社区
课程
招聘
[求助]跪求杀软件。我的exe文件全部感染。
发表于: 2010-7-27 18:42 7946

[求助]跪求杀软件。我的exe文件全部感染。

2010-7-27 18:42
7946
求大侠帮我杀此毒,它感染了我所有exe。 附件是一个很简单的程序和它被感染后的exe。行行好吧。

SIMPLE2.rar 文件是MASM32\Exaple下的一个例子,包里有源文件和被感染后的 exe

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (23)
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
从新做系统吧
2010-7-28 04:11
0
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
养成打压缩包做备份的习惯,如果是老病毒,应该有专杀,如果是新的 你可以举报给杀毒软件,国产杀毒软件对这类感染型的病毒一般都可以修复
2010-7-28 09:05
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
4
把感染后的EXE给一个~
好写清理~

另外试试各种杀软~
2010-7-28 09:43
0
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
估计得重做系统了
2010-7-28 09:58
0
雪    币: 208
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
系统重做了,但是其它盘的好多软件感染了。好多都可能网上下不到了。 给好几个杀软公司举报过,都1个月了。还是不行。用金山,瑞星,卡巴, 诺顿、江民、360等杀软件都查不到。给金山山卫报举报,现在金山卫士可以查到,但不能清除病毒,只能删除文件。
2010-7-28 11:01
0
雪    币: 116
活跃值: (316)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这毒很强吗,这么多杀软查不到 关注
2010-7-28 14:00
0
雪    币: 38
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
楼主你确定 这是一个文件被感染前后的两个状态么?我很费解啊
2010-7-28 18:58
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
9
不知道文件是怎么个情况,太费解了~
2010-7-28 20:08
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
别折腾了,我电脑中了usp10,lpk感染病毒,妈妈的exe,rar都被蛋疼了....
还好有36蛋,自动拦截卸载dll,多好啊~修复也免了...
2010-7-28 20:24
0
雪    币: 208
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
回 whxright 兄: 我确定它是感染前后的两个文件。  我新上传了附件2,里面有源代码和被感染后的exe
2010-7-28 21:12
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
http://kingsoftblog.blog.163.com/blog/static/13484625020106111364379/
这病毒似乎和这网页上写的类似,可以看看。
2010-7-28 21:15
0
雪    币: 208
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
用金山查出是Win32.Troj.Agent.oj(kcloud)木马,如图。但它是直接删除文件,而不是清除病毒。
2010-7-28 21:49
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
方法还是有地,到金山的官网去叫叫,
叫他们的工程师,手动帮你清除下,如果能够清除,他们会干的,呵呵!
2010-7-29 10:07
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我把方法说详细点,就是你到金山的官网上去发帖,
装小白,说你的文件全被有问题的金山杀了,
然后咒骂一顿,
一般情况下,虽然有人骂你,
但是金山的工作人员都会主动留下QQ,
说帮你看看。
后面的就好解决了。
2010-7-29 10:13
0
雪    币: 459
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
激将法。。。。
2010-7-29 10:51
0
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
你给的这个文件貌似被重复感染了。
简单看了下,这个文件的修复方案如下:
从被感染文件的尾部向前偏移32768(0x8000) 然后把这0x8000字节读入内存。把前0x40字节和原文件0x6420处的0x40字节逐字节xor。

由于只有一个文件,不知是否有每个文件感染之后的key位置不同,另外,对于文件大小大于0x8000的文件是如何处理的(常理是大于阈值的文件不感染)

.text:004026CB 47                                      inc     edi
.text:004026CC 83 FF 40                                cmp     edi, 40h
.text:004026CF 7E 02                                   jle     short loc_4026D3
.text:004026D1 33 FF                                   xor     edi, edi
.text:004026D3
.text:004026D3                         loc_4026D3:                             ; CODE XREF: sub_402540+18Fj
.text:004026D3 8A 97 20 80 40 00                       mov     dl, byte_408020[edi] ;原文件地址
.text:004026D9 8A 88 78 81 40 00                       mov     cl, byte_408178[eax] ;从尾部读取的0x8000字节首地址
.text:004026DF 32 CA                                   xor     cl, dl
.text:004026E1 88 88 78 81 40 00                       mov     byte_408178[eax], cl
.text:004026E7 40                                      inc     eax
.text:004026E8 3D 00 08 00 00                          cmp     eax, 800h
.text:004026ED 7C DC                                   jl      short loc_4026CB
2010-7-29 12:23
0
雪    币: 208
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
谢谢 ttkkxx . 试试此招。 回楼上朋友,我刚看了下修改日期。附件2里的文件确实被重复感染了。
2010-7-29 22:46
0
雪    币: 91
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
看看样本是什么样的
2010-7-30 15:33
0
雪    币: 201
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
回去帮你看一下
2010-7-30 16:23
0
雪    币: 110
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
按照他的这种感染方式,貌似没法修复到和原来的样本一模一样。
按照我给的方式修复的话,修复后的样本能正常使用,但是大小会比未被感染的文件大小大。

另外这个病毒的主体为sysytem32下的一个ime文件,应该是通过输入法调起来的。故你在修复感染型之前需要吧病毒活体搞掉先
2010-7-30 16:35
0
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
人才啊``````````````
2010-8-28 21:51
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
看来杀软公司还是金山的比较热心?
2010-8-30 15:51
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
一直以来想自己学这个技术,可惜了还是不会
2010-8-30 17:35
0
游客
登录 | 注册 方可回帖
返回
//