[求助]跪求杀软件。我的exe文件全部感染。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]跪求杀软件。我的exe文件全部感染。

2010-7-27 18:42 7487

[求助]跪求杀软件。我的exe文件全部感染。

walaog

2010-7-27 18:42

7487

求大侠帮我杀此毒，它感染了我所有exe。附件是一个很简单的程序和它被感染后的exe。行行好吧。

SIMPLE2.rar 文件是MASM32\Exaple下的一个例子，包里有源文件和被感染后的 exe

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

viru.rar （30.37kb，44次下载）
SIMPLE2.rar （31.63kb，23次下载）

收藏・2

点赞・0

打赏

最新回复 (23)
dasa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	dasa 2010-7-28 04:11 2 楼 0 从新做系统吧
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 2010-7-28 09:05 3 楼 0 养成打压缩包做备份的习惯，如果是老病毒，应该有专杀，如果是新的你可以举报给杀毒软件，国产杀毒软件对这类感染型的病毒一般都可以修复
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2010-7-28 09:43 4 楼 0 把感染后的EXE给一个~ 好写清理~ 另外试试各种杀软~
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 2010-7-28 09:58 5 楼 0 估计得重做系统了
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 11:01 6 楼 0 系统重做了，但是其它盘的好多软件感染了。好多都可能网上下不到了。给好几个杀软公司举报过，都1个月了。还是不行。用金山，瑞星，卡巴，诺顿、江民、360等杀软件都查不到。给金山山卫报举报，现在金山卫士可以查到，但不能清除病毒，只能删除文件。
ncsi 雪币： 116 活跃值： (241) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 2010-7-28 14:00 7 楼 0 这毒很强吗，这么多杀软查不到关注
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	whxright 2010-7-28 18:58 8 楼 0 楼主你确定这是一个文件被感染前后的两个状态么?我很费解啊
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2010-7-28 20:08 9 楼 0 不知道文件是怎么个情况，太费解了~
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 545 粉丝 0 关注私信	mszjk 2010-7-28 20:24 10 楼 0 别折腾了,我电脑中了usp10,lpk感染病毒,妈妈的exe,rar都被蛋疼了.... 还好有36蛋,自动拦截卸载dll,多好啊~修复也免了...
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 21:12 11 楼 0 回 whxright 兄：我确定它是感染前后的两个文件。我新上传了附件2，里面有源代码和被感染后的exe
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 2010-7-28 21:15 12 楼 0 http://kingsoftblog.blog.163.com/blog/static/13484625020106111364379/ 这病毒似乎和这网页上写的类似，可以看看。
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 21:49 13 楼 0 用金山查出是Win32.Troj.Agent.oj(kcloud)木马，如图。但它是直接删除文件，而不是清除病毒。
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 2010-7-29 10:07 14 楼 0 方法还是有地，到金山的官网去叫叫，叫他们的工程师，手动帮你清除下，如果能够清除，他们会干的，呵呵！
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 2010-7-29 10:13 15 楼 0 我把方法说详细点，就是你到金山的官网上去发帖，装小白，说你的文件全被有问题的金山杀了，然后咒骂一顿，一般情况下，虽然有人骂你，但是金山的工作人员都会主动留下QQ，说帮你看看。后面的就好解决了。
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 2010-7-29 10:51 16 楼 0 激将法。。。。
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 2010-7-29 12:23 17 楼 0 你给的这个文件貌似被重复感染了。简单看了下，这个文件的修复方案如下：从被感染文件的尾部向前偏移32768（0x8000）然后把这0x8000字节读入内存。把前0x40字节和原文件0x6420处的0x40字节逐字节xor。由于只有一个文件，不知是否有每个文件感染之后的key位置不同，另外，对于文件大小大于0x8000的文件是如何处理的（常理是大于阈值的文件不感染） .text:004026CB 47 inc edi .text:004026CC 83 FF 40 cmp edi, 40h .text:004026CF 7E 02 jle short loc_4026D3 .text:004026D1 33 FF xor edi, edi .text:004026D3 .text:004026D3 loc_4026D3: ; CODE XREF: sub_402540+18Fj .text:004026D3 8A 97 20 80 40 00 mov dl, byte_408020[edi] ；原文件地址 .text:004026D9 8A 88 78 81 40 00 mov cl, byte_408178[eax] ；从尾部读取的0x8000字节首地址 .text:004026DF 32 CA xor cl, dl .text:004026E1 88 88 78 81 40 00 mov byte_408178[eax], cl .text:004026E7 40 inc eax .text:004026E8 3D 00 08 00 00 cmp eax, 800h .text:004026ED 7C DC jl short loc_4026CB
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-29 22:46 18 楼 0 谢谢 ttkkxx . 试试此招。回楼上朋友，我刚看了下修改日期。附件2里的文件确实被重复感染了。
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 2010-7-30 15:33 19 楼 0 看看样本是什么样的
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2010-7-30 16:23 20 楼 0 回去帮你看一下
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 2010-7-30 16:35 21 楼 0 按照他的这种感染方式，貌似没法修复到和原来的样本一模一样。按照我给的方式修复的话，修复后的样本能正常使用，但是大小会比未被感染的文件大小大。另外这个病毒的主体为sysytem32下的一个ime文件，应该是通过输入法调起来的。故你在修复感染型之前需要吧病毒活体搞掉先
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 147 回帖 858 粉丝 0 关注私信	PEBOSS 2010-8-28 21:51 23 楼 0 人才啊``````````````
dayang 雪币： 220 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2010-8-30 15:51 24 楼 0 看来杀软公司还是金山的比较热心？
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	cjteam 2010-8-30 17:35 25 楼 0 一直以来想自己学这个技术，可惜了还是不会
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

walaog

发帖

回帖

RANK

关注

私信

他的文章

[求助]跪求杀软件。我的exe文件全部感染。

[求助]中毒了，杀软查不出，哪位高人帮我分析一下这个毒。

[求助]我用在程序中PrintDlg 打印时,打印字符和数字时正常,打印中文时就乱码.请问为什么?

怎样区分相同类名和标题的两个控件？

怎样取得隐藏 IE 地址栏的 IE 地址？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
dasa 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	dasa 2010-7-28 04:11 2 楼 0 从新做系统吧
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 2010-7-28 09:05 3 楼 0 养成打压缩包做备份的习惯，如果是老病毒，应该有专杀，如果是新的你可以举报给杀毒软件，国产杀毒软件对这类感染型的病毒一般都可以修复
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2010-7-28 09:43 4 楼 0 把感染后的EXE给一个~ 好写清理~ 另外试试各种杀软~
venuserena 雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	venuserena 2010-7-28 09:58 5 楼 0 估计得重做系统了
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 11:01 6 楼 0 系统重做了，但是其它盘的好多软件感染了。好多都可能网上下不到了。给好几个杀软公司举报过，都1个月了。还是不行。用金山，瑞星，卡巴，诺顿、江民、360等杀软件都查不到。给金山山卫报举报，现在金山卫士可以查到，但不能清除病毒，只能删除文件。
ncsi 雪币： 116 活跃值： (241) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	ncsi 2010-7-28 14:00 7 楼 0 这毒很强吗，这么多杀软查不到关注
whxright 雪币： 38 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	whxright 2010-7-28 18:58 8 楼 0 楼主你确定这是一个文件被感染前后的两个状态么?我很费解啊
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2010-7-28 20:08 9 楼 0 不知道文件是怎么个情况，太费解了~
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 545 粉丝 0 关注私信	mszjk 2010-7-28 20:24 10 楼 0 别折腾了,我电脑中了usp10,lpk感染病毒,妈妈的exe,rar都被蛋疼了.... 还好有36蛋,自动拦截卸载dll,多好啊~修复也免了...
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 21:12 11 楼 0 回 whxright 兄：我确定它是感染前后的两个文件。我新上传了附件2，里面有源代码和被感染后的exe
化学魔人雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	化学魔人 2010-7-28 21:15 12 楼 0 http://kingsoftblog.blog.163.com/blog/static/13484625020106111364379/ 这病毒似乎和这网页上写的类似，可以看看。
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-28 21:49 13 楼 0 用金山查出是Win32.Troj.Agent.oj(kcloud)木马，如图。但它是直接删除文件，而不是清除病毒。
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 2010-7-29 10:07 14 楼 0 方法还是有地，到金山的官网去叫叫，叫他们的工程师，手动帮你清除下，如果能够清除，他们会干的，呵呵！
ttkkxx 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	ttkkxx 2010-7-29 10:13 15 楼 0 我把方法说详细点，就是你到金山的官网上去发帖，装小白，说你的文件全被有问题的金山杀了，然后咒骂一顿，一般情况下，虽然有人骂你，但是金山的工作人员都会主动留下QQ，说帮你看看。后面的就好解决了。
xuzhengdao 雪币： 459 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 189 粉丝 0 关注私信	xuzhengdao 2010-7-29 10:51 16 楼 0 激将法。。。。
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 2010-7-29 12:23 17 楼 0 你给的这个文件貌似被重复感染了。简单看了下，这个文件的修复方案如下：从被感染文件的尾部向前偏移32768（0x8000）然后把这0x8000字节读入内存。把前0x40字节和原文件0x6420处的0x40字节逐字节xor。由于只有一个文件，不知是否有每个文件感染之后的key位置不同，另外，对于文件大小大于0x8000的文件是如何处理的（常理是大于阈值的文件不感染） .text:004026CB 47 inc edi .text:004026CC 83 FF 40 cmp edi, 40h .text:004026CF 7E 02 jle short loc_4026D3 .text:004026D1 33 FF xor edi, edi .text:004026D3 .text:004026D3 loc_4026D3: ; CODE XREF: sub_402540+18Fj .text:004026D3 8A 97 20 80 40 00 mov dl, byte_408020[edi] ；原文件地址 .text:004026D9 8A 88 78 81 40 00 mov cl, byte_408178[eax] ；从尾部读取的0x8000字节首地址 .text:004026DF 32 CA xor cl, dl .text:004026E1 88 88 78 81 40 00 mov byte_408178[eax], cl .text:004026E7 40 inc eax .text:004026E8 3D 00 08 00 00 cmp eax, 800h .text:004026ED 7C DC jl short loc_4026CB
walaog 雪币： 208 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	walaog 2010-7-29 22:46 18 楼 0 谢谢 ttkkxx . 试试此招。回楼上朋友，我刚看了下修改日期。附件2里的文件确实被重复感染了。
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 2010-7-30 15:33 19 楼 0 看看样本是什么样的
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2010-7-30 16:23 20 楼 0 回去帮你看一下
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 2010-7-30 16:35 21 楼 0 按照他的这种感染方式，貌似没法修复到和原来的样本一模一样。按照我给的方式修复的话，修复后的样本能正常使用，但是大小会比未被感染的文件大小大。另外这个病毒的主体为sysytem32下的一个ime文件，应该是通过输入法调起来的。故你在修复感染型之前需要吧病毒活体搞掉先
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 147 回帖 858 粉丝 0 关注私信	PEBOSS 2010-8-28 21:51 23 楼 0 人才啊``````````````
dayang 雪币： 220 活跃值： (631) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 2010-8-30 15:51 24 楼 0 看来杀软公司还是金山的比较热心？
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 145 粉丝 0 关注私信	cjteam 2010-8-30 17:35 25 楼 0 一直以来想自己学这个技术，可惜了还是不会
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复