[求助][求助]中了个强毒，360等杀毒马上消失不起作用，xuetr,冰刀都没有办法，附样本-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]中了个强毒，360等杀毒马上消失不起作用，xuetr,冰刀都没有办法，附样本

发表于: 2011-9-7 20:09 16519

[求助][求助]中了个强毒，360等杀毒马上消失不起作用，xuetr,冰刀都没有办法，附样本

hwfdvd

2011-9-7 20:09

16519

中了个强毒，xuetr,冰刀都没有办法，360等杀毒马上消失不起作用
进程里有个C:\WINDOWS\2971737224，结束后马上又回来，内核里有个可依驱动对象，
另外在c:\windows\下有个$NtUninstallKB22098$文件夹，无法删除，在pe环境下也无法删除，求解

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

keygen.zip （199.24kb，181次下载）

收藏・11

免费・0

支持

最新回复 (25) 1 2 ▶
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 2 楼真的假的？差点连下载都不敢了 2011-9-7 20:13 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 3 楼还真的是晕死了现在呵呵 2011-9-7 20:27 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 4 楼旧版ZeroAccess。。。 2011-9-7 20:53 0
wowocock 雪币： 405 活跃值： (2355) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 5 楼 http://hi.baidu.com/ithurricane/blog/item/6a1a391e7b192cef1bd57692.html 2011-9-7 21:14 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 6 楼病毒杀了，虽然不是按照楼上的办法解决的。呵呵系统又干干净净了 2011-9-7 21:21 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 7 楼搞不定啊，用了这个powertool，按介绍来做还是搞不定，是不是病毒升级了？ 2011-9-8 00:22 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 8 楼能介绍下怎么杀掉得吗，谢谢哦 2011-9-8 00:24 0
dreapet 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	dreapet 9 楼可疑木马（）Trojan.Generic.KD.349350） 2011-9-8 08:44 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 10 楼这么厉害的病毒好可怕！ 2011-9-8 08:57 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 11 楼好邪恶，好强大 2011-9-8 09:50 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 12 楼表示关注 2011-9-8 09:57 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 13 楼终于清掉了，用了最新版的xuetr,powertool,都没有办法，最后用NTBrain才能结束进程，然后用antizeroaccess清除中毒sys文件，最后系统干净了 2011-9-8 11:42 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 14 楼解压前就要开始做准备的了，要真等程序运行了才清除的话，电脑就遭殃了 2011-9-8 12:42 0
yanghuixp 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yanghuixp 15 楼有点怕，还是下个NOD32后，再看吧 2011-9-8 13:35 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 16 楼 down下来，分析下 2011-9-9 09:15 0
xie风腾雪币： 12515 活跃值： (5258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1066 粉丝 5 关注私信	xie风腾 17 楼应该说你杀软太弱了吧 2011-9-9 09:28 0
guobing 雪币： 11591 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 18 楼不是强壳，直接脱之，[ATTACH]dump[/ATTACH] 想问一下，为什么在新开启的explorer.exe里断不下来注入进去的线程。。上传的附件： dddd.7z （87.59kb，18次下载） 2011-9-9 16:46 0
sqhua 雪币： 41 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	sqhua 19 楼我的Win2003也中了这个，用OD附加马上兰屏，360去查造成360的相关工具(dmain.exe)被删，端星去查则查不到（端星太菜了）最后我直接重装系统了。。。 2011-9-9 17:34 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 238 关注私信	cvcvxk 10 20 楼进PE系统修理很快就好了~ 2011-9-9 18:39 0
cmdxhz 雪币： 1753 活跃值： (910) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 21 楼下来瞅瞅~~~ 这么厉害~挑战下~! 手痒了`! 2012-1-10 22:01 0
nlhack 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	nlhack 22 楼 pe下无敌，没什么东西能在pe下牛，操作系统也不行 2012-1-10 22:07 0
dayang 雪币： 220 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 937 粉丝 1 关注私信	dayang 23 楼还是常GHOST系统好啊 2012-1-11 10:07 0
viphack 雪币： 219 活跃值： (848) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 24 楼楼主和这种病毒差不多吧 XUETR 不是有个驱动模块的你用 XUETR 看看进程的模块有没有可疑的卸载掉！！出现错误不要按确定就放着进程有没有出现RAR.EXE 和IE 的进程一会儿就没了？？卡巴嫩杀上传的附件： 360截图20110815123056515.jpg （108.57kb，145次下载） 2012-1-16 16:38 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 25 楼希望楼主能把NTBrain这个工具放上来呀 2012-3-27 08:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hwfdvd

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (25) 1 2 ▶
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 2 楼真的假的？差点连下载都不敢了 2011-9-7 20:13 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 3 楼还真的是晕死了现在呵呵 2011-9-7 20:27 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 4 楼旧版ZeroAccess。。。 2011-9-7 20:53 0
wowocock 雪币： 405 活跃值： (2355) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 5 楼 http://hi.baidu.com/ithurricane/blog/item/6a1a391e7b192cef1bd57692.html 2011-9-7 21:14 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 6 楼病毒杀了，虽然不是按照楼上的办法解决的。呵呵系统又干干净净了 2011-9-7 21:21 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 7 楼搞不定啊，用了这个powertool，按介绍来做还是搞不定，是不是病毒升级了？ 2011-9-8 00:22 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 8 楼能介绍下怎么杀掉得吗，谢谢哦 2011-9-8 00:24 0
dreapet 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	dreapet 9 楼可疑木马（）Trojan.Generic.KD.349350） 2011-9-8 08:44 0
淡定是罪雪币： 2503 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 600 粉丝 0 关注私信	淡定是罪 10 楼这么厉害的病毒好可怕！ 2011-9-8 08:57 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 11 楼好邪恶，好强大 2011-9-8 09:50 0
yarpee 雪币： 343 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 156 粉丝 0 关注私信	yarpee 1 12 楼表示关注 2011-9-8 09:57 0
hwfdvd 雪币： 4192 活跃值： (3070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 16 粉丝 0 关注私信	hwfdvd 13 楼终于清掉了，用了最新版的xuetr,powertool,都没有办法，最后用NTBrain才能结束进程，然后用antizeroaccess清除中毒sys文件，最后系统干净了 2011-9-8 11:42 0
leavekwong 雪币： 291 活跃值： (48) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 215 粉丝 0 关注私信	leavekwong 14 楼解压前就要开始做准备的了，要真等程序运行了才清除的话，电脑就遭殃了 2011-9-8 12:42 0
yanghuixp 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	yanghuixp 15 楼有点怕，还是下个NOD32后，再看吧 2011-9-8 13:35 0
dahaione 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	dahaione 16 楼 down下来，分析下 2011-9-9 09:15 0
xie风腾雪币： 12515 活跃值： (5258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1066 粉丝 5 关注私信	xie风腾 17 楼应该说你杀软太弱了吧 2011-9-9 09:28 0
guobing 雪币： 11591 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 18 楼不是强壳，直接脱之，[ATTACH]dump[/ATTACH] 想问一下，为什么在新开启的explorer.exe里断不下来注入进去的线程。。上传的附件： dddd.7z （87.59kb，18次下载） 2011-9-9 16:46 0
sqhua 雪币： 41 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	sqhua 19 楼我的Win2003也中了这个，用OD附加马上兰屏，360去查造成360的相关工具(dmain.exe)被删，端星去查则查不到（端星太菜了）最后我直接重装系统了。。。 2011-9-9 17:34 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 238 关注私信	cvcvxk 10 20 楼进PE系统修理很快就好了~ 2011-9-9 18:39 0
cmdxhz 雪币： 1753 活跃值： (910) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 21 楼下来瞅瞅~~~ 这么厉害~挑战下~! 手痒了`! 2012-1-10 22:01 0
nlhack 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	nlhack 22 楼 pe下无敌，没什么东西能在pe下牛，操作系统也不行 2012-1-10 22:07 0
dayang 雪币： 220 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 937 粉丝 1 关注私信	dayang 23 楼还是常GHOST系统好啊 2012-1-11 10:07 0
viphack 雪币： 219 活跃值： (848) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 24 楼楼主和这种病毒差不多吧 XUETR 不是有个驱动模块的你用 XUETR 看看进程的模块有没有可疑的卸载掉！！出现错误不要按确定就放着进程有没有出现RAR.EXE 和IE 的进程一会儿就没了？？卡巴嫩杀上传的附件： 360截图20110815123056515.jpg （108.57kb，145次下载） 2012-1-16 16:38 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 25 楼希望楼主能把NTBrain这个工具放上来呀 2012-3-27 08:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复