能力值:
( LV3,RANK:20 )
|
-
-
2 楼
有了样本了!!!! 去玩玩
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
看裡附件兩個執行檔都vbpcode0.0。
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
CPU Stack
Address Value Comments
0033E9A8 /0033E9B4 ; |Arg1 = 33E9B4
0033E9AC |0013AFC4 ; \Arg2 = UNICODE "C:\\windows/win.ini"
看到windows的元老文件出現
CPU Stack
Address Value Comments
0033E9B8 |0013C314 ; ASCII "C:\\windows\\inf\\Other.exe"
似乎是病毒位置。
真的是病毒位置,我再linux的wine找到一模一樣的檔案。
他的建裡檔案位置再vbpcode都有,= =。不過很散,
CPU Stack
Address Value Comments
0033E99C [660FD3B9 ; /RETURN to MSVBVM60.660FD3B9
0033E9A0 0013A9E4 ; |Section = "windows"
0033E9A4 0013C11C ; |Key = "load"
0033E9A8 0013C314 ; |String = "C:\\windows\\inf\\Other.exe"
0033E9AC 0013C15C ; \FileName = "C:\\windows/win.ini"
開機自動啟動,寫再win.ini,真難得的病毒。
=生成的檔案有
以下前面的資料夾都是C:\windows開頭
SVIQ.exe
system\Fun.exe
dc.exe
VBit.ini
system32\XPen.dat
system32\PEnx.dat
inf\Other.exe
system32\WinSit.exe
system32\config\Win.exe
help\Other.exe
還有網址
hxxp://dungcoivb.googlepages.com/Fun.exe
hxxp://dungcoivb.googlepages.com/DN.txt
hxxp://dungcoivb.googlepages.com/DNC.txt
hxxp://dungcoivb.googlepages.com/NWB.txt
Software\Microsoft\Windows\CurrentVersion\Run自動啟動區域
裏面還有似乎是vbs的東西。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
5 楼
有没有什么方法,恢复被损坏的文件夹???
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
6 楼
再补充一点,由于被损坏的文件夹和OFFICE文件无法用16进制软件打开编辑,各种文件修复软件都无法修复,各位有没有遇到过这种情况?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
你先把病毒程序去掉。
|
能力值:
( LV3,RANK:20 )
|
-
-
8 楼
0033E9A8 0013C314 ; |String = "C:\\windows\\inf\\Other.exe"
0033E9AC 0013C15C ; \FileName = "C:\\windows/win.ini"
干掉这那个地址的文件
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
来看看大家说的办法!
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
10 楼
这样只能让病毒暂时不能运行而已
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
11 楼
病毒是去掉了,可是我的文件却没了  ,可能是我支行我附件那个杀毒程序后引起文件不能访问
|
能力值:
( LV3,RANK:20 )
|
-
-
12 楼
因为你的文件已经被杀软干掉了!! 
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
13 楼
问题已经找到了,是这台电脑是HP的原装机,里面装有HP的 HP BACKUP & RECOVERY软件,如果文件夹被病毒感染或者第三方软件修改过,该文件夹就不可读、不可写、不写复制
|
|
|
|
