[求助]跪求杀软件。我的exe文件全部感染。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]跪求杀软件。我的exe文件全部感染。

发表于: 2010-7-27 18:42 7945

[求助]跪求杀软件。我的exe文件全部感染。

walaog

2010-7-27 18:42

7945

求大侠帮我杀此毒，它感染了我所有exe。附件是一个很简单的程序和它被感染后的exe。行行好吧。

SIMPLE2.rar 文件是MASM32\Exaple下的一个例子，包里有源文件和被感染后的 exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

viru.rar （30.37kb，44次下载）
SIMPLE2.rar （31.63kb，23次下载）

收藏・2

免费・0

支持

最新回复 (23)
dasa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	dasa 2 楼从新做系统吧 2010-7-28 04:11 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 3 楼养成打压缩包做备份的习惯，如果是老病毒，应该有专杀，如果是新的你可以举报给杀毒软件，国产杀毒软件对这类感染型的病毒一般都可以修复 2010-7-28 09:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼把感染后的EXE给一个~ 好写清理~ 另外试试各种杀软~ 2010-7-28 09:43 0
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 5 楼估计得重做系统了 2010-7-28 09:58 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 6 楼系统重做了，但是其它盘的好多软件感染了。好多都可能网上下不到了。给好几个杀软公司举报过，都1个月了。还是不行。用金山，瑞星，卡巴，诺顿、江民、360等杀软件都查不到。给金山山卫报举报，现在金山卫士可以查到，但不能清除病毒，只能删除文件。 2010-7-28 11:01 0
ncsi 雪币： 116 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 7 楼这毒很强吗，这么多杀软查不到关注 2010-7-28 14:00 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 8 楼楼主你确定这是一个文件被感染前后的两个状态么?我很费解啊 2010-7-28 18:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼不知道文件是怎么个情况，太费解了~ 2010-7-28 20:08 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼别折腾了,我电脑中了usp10,lpk感染病毒,妈妈的exe,rar都被蛋疼了.... 还好有36蛋,自动拦截卸载dll,多好啊~修复也免了... 2010-7-28 20:24 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 11 楼回 whxright 兄：我确定它是感染前后的两个文件。我新上传了附件2，里面有源代码和被感染后的exe 2010-7-28 21:12 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 12 楼 http://kingsoftblog.blog.163.com/blog/static/13484625020106111364379/ 这病毒似乎和这网页上写的类似，可以看看。 2010-7-28 21:15 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 13 楼用金山查出是Win32.Troj.Agent.oj(kcloud)木马，如图。但它是直接删除文件，而不是清除病毒。 2010-7-28 21:49 0
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 14 楼方法还是有地，到金山的官网去叫叫，叫他们的工程师，手动帮你清除下，如果能够清除，他们会干的，呵呵！ 2010-7-29 10:07 0
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 15 楼我把方法说详细点，就是你到金山的官网上去发帖，装小白，说你的文件全被有问题的金山杀了，然后咒骂一顿，一般情况下，虽然有人骂你，但是金山的工作人员都会主动留下QQ，说帮你看看。后面的就好解决了。 2010-7-29 10:13 0
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 16 楼激将法。。。。 2010-7-29 10:51 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 17 楼你给的这个文件貌似被重复感染了。简单看了下，这个文件的修复方案如下：从被感染文件的尾部向前偏移32768（0x8000）然后把这0x8000字节读入内存。把前0x40字节和原文件0x6420处的0x40字节逐字节xor。由于只有一个文件，不知是否有每个文件感染之后的key位置不同，另外，对于文件大小大于0x8000的文件是如何处理的（常理是大于阈值的文件不感染） .text:004026CB 47 inc edi .text:004026CC 83 FF 40 cmp edi, 40h .text:004026CF 7E 02 jle short loc_4026D3 .text:004026D1 33 FF xor edi, edi .text:004026D3 .text:004026D3 loc_4026D3: ; CODE XREF: sub_402540+18Fj .text:004026D3 8A 97 20 80 40 00 mov dl, byte_408020[edi] ；原文件地址 .text:004026D9 8A 88 78 81 40 00 mov cl, byte_408178[eax] ；从尾部读取的0x8000字节首地址 .text:004026DF 32 CA xor cl, dl .text:004026E1 88 88 78 81 40 00 mov byte_408178[eax], cl .text:004026E7 40 inc eax .text:004026E8 3D 00 08 00 00 cmp eax, 800h .text:004026ED 7C DC jl short loc_4026CB 2010-7-29 12:23 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 18 楼谢谢 ttkkxx . 试试此招。回楼上朋友，我刚看了下修改日期。附件2里的文件确实被重复感染了。 2010-7-29 22:46 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 19 楼看看样本是什么样的 2010-7-30 15:33 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 20 楼回去帮你看一下 2010-7-30 16:23 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 21 楼按照他的这种感染方式，貌似没法修复到和原来的样本一模一样。按照我给的方式修复的话，修复后的样本能正常使用，但是大小会比未被感染的文件大小大。另外这个病毒的主体为sysytem32下的一个ime文件，应该是通过输入法调起来的。故你在修复感染型之前需要吧病毒活体搞掉先 2010-7-30 16:35 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 23 楼人才啊`````````````` 2010-8-28 21:51 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 24 楼看来杀软公司还是金山的比较热心？ 2010-8-30 15:51 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 25 楼一直以来想自己学这个技术，可惜了还是不会 2010-8-30 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

walaog

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
dasa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	dasa 2 楼从新做系统吧 2010-7-28 04:11 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 3 楼养成打压缩包做备份的习惯，如果是老病毒，应该有专杀，如果是新的你可以举报给杀毒软件，国产杀毒软件对这类感染型的病毒一般都可以修复 2010-7-28 09:05 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 4 楼把感染后的EXE给一个~ 好写清理~ 另外试试各种杀软~ 2010-7-28 09:43 0
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 5 楼估计得重做系统了 2010-7-28 09:58 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 6 楼系统重做了，但是其它盘的好多软件感染了。好多都可能网上下不到了。给好几个杀软公司举报过，都1个月了。还是不行。用金山，瑞星，卡巴，诺顿、江民、360等杀软件都查不到。给金山山卫报举报，现在金山卫士可以查到，但不能清除病毒，只能删除文件。 2010-7-28 11:01 0
ncsi 雪币： 116 活跃值： (316) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 7 楼这毒很强吗，这么多杀软查不到关注 2010-7-28 14:00 0
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	whxright 8 楼楼主你确定这是一个文件被感染前后的两个状态么?我很费解啊 2010-7-28 18:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼不知道文件是怎么个情况，太费解了~ 2010-7-28 20:08 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼别折腾了,我电脑中了usp10,lpk感染病毒,妈妈的exe,rar都被蛋疼了.... 还好有36蛋,自动拦截卸载dll,多好啊~修复也免了... 2010-7-28 20:24 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 11 楼回 whxright 兄：我确定它是感染前后的两个文件。我新上传了附件2，里面有源代码和被感染后的exe 2010-7-28 21:12 0
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 12 楼 http://kingsoftblog.blog.163.com/blog/static/13484625020106111364379/ 这病毒似乎和这网页上写的类似，可以看看。 2010-7-28 21:15 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 13 楼用金山查出是Win32.Troj.Agent.oj(kcloud)木马，如图。但它是直接删除文件，而不是清除病毒。 2010-7-28 21:49 0
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 14 楼方法还是有地，到金山的官网去叫叫，叫他们的工程师，手动帮你清除下，如果能够清除，他们会干的，呵呵！ 2010-7-29 10:07 0
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 15 楼我把方法说详细点，就是你到金山的官网上去发帖，装小白，说你的文件全被有问题的金山杀了，然后咒骂一顿，一般情况下，虽然有人骂你，但是金山的工作人员都会主动留下QQ，说帮你看看。后面的就好解决了。 2010-7-29 10:13 0
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 16 楼激将法。。。。 2010-7-29 10:51 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 17 楼你给的这个文件貌似被重复感染了。简单看了下，这个文件的修复方案如下：从被感染文件的尾部向前偏移32768（0x8000）然后把这0x8000字节读入内存。把前0x40字节和原文件0x6420处的0x40字节逐字节xor。由于只有一个文件，不知是否有每个文件感染之后的key位置不同，另外，对于文件大小大于0x8000的文件是如何处理的（常理是大于阈值的文件不感染） .text:004026CB 47 inc edi .text:004026CC 83 FF 40 cmp edi, 40h .text:004026CF 7E 02 jle short loc_4026D3 .text:004026D1 33 FF xor edi, edi .text:004026D3 .text:004026D3 loc_4026D3: ; CODE XREF: sub_402540+18Fj .text:004026D3 8A 97 20 80 40 00 mov dl, byte_408020[edi] ；原文件地址 .text:004026D9 8A 88 78 81 40 00 mov cl, byte_408178[eax] ；从尾部读取的0x8000字节首地址 .text:004026DF 32 CA xor cl, dl .text:004026E1 88 88 78 81 40 00 mov byte_408178[eax], cl .text:004026E7 40 inc eax .text:004026E8 3D 00 08 00 00 cmp eax, 800h .text:004026ED 7C DC jl short loc_4026CB 2010-7-29 12:23 0
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 18 楼谢谢 ttkkxx . 试试此招。回楼上朋友，我刚看了下修改日期。附件2里的文件确实被重复感染了。 2010-7-29 22:46 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 19 楼看看样本是什么样的 2010-7-30 15:33 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 20 楼回去帮你看一下 2010-7-30 16:23 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 21 楼按照他的这种感染方式，貌似没法修复到和原来的样本一模一样。按照我给的方式修复的话，修复后的样本能正常使用，但是大小会比未被感染的文件大小大。另外这个病毒的主体为sysytem32下的一个ime文件，应该是通过输入法调起来的。故你在修复感染型之前需要吧病毒活体搞掉先 2010-7-30 16:35 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 23 楼人才啊`````````````` 2010-8-28 21:51 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 24 楼看来杀软公司还是金山的比较热心？ 2010-8-30 15:51 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 25 楼一直以来想自己学这个技术，可惜了还是不会 2010-8-30 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复