[求助]病毒相关信息求助，谢谢！！！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

0

[求助]病毒相关信息求助，谢谢！！！

发表于: 2013-5-13 16:34 6660

[求助]病毒相关信息求助，谢谢！！！

双尾蝎

活跃值

2013-5-13 16:34

6660

病毒相关信息求助，谢谢！！！

单位电脑感染病毒，用XueTr v0.45检查发现：
1、“进程”中有类似"C:\WINDOWS\Temp\1a834209.tmp"进程存在(1a834209字符随机产生)；
2、“驱动模块”中检查到异常模块"C:\WINDOWS\system32\drivers\04AD4B22.sys"(04AD4B22字符随机产生)；
3、“网络”中“Tcpip”处有一处异常，信息为：
[*]15 IRP_MJ_INTERNAL_DEVICE_CONTROL 0xF79DF2CD tcpip hook 0xAF935718 C:\WINDOWS\system32\drivers\04AD4B22.sys

用XueTr把相关病毒文件删除卸载后，重启机器还会生成。。。
现上传病毒文件，麻烦路过的高手帮忙分析一下，怎么样才能彻底搞定这个病毒。。。谢谢！！！

1a834209.rar

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1a834209.rar （151.73kb，27次下载）

收藏・0

免费

支持

分享

最新回复 (3)
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 2 楼既然重启后还在，说明它肯定还有能启动的东西留在那里。看看MBR、系统服务、启动项啥的。另外XT0.45有点老了，推荐去下个新的……现在改名叫PC Hunter 2013-5-13 18:17 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 3 楼在virscan.org上说是Rootkit.Win32.Agent.bhoh 当然不是一定bhoh，或许有变种通用的杀毒方法: 1.断网，查看可疑启动项与服务，和记录可疑进程；至于这种先把驱动删除和相关系统线程，回调恢复，甚至用Xt的强行卸载。 2.在PE下，把常见系统目录(包括administrator和temp)的临时文件及可疑文件清除 3.最后可以离线运行杀毒，△而我认为最重要的一步是把样本收集用于化验等。 2013-5-13 20:03 0
小覃雪币： 615 活跃值： (212) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 4 楼看帖子内容跟我12年3月份分析的一病毒样本文件KB890923-x86-CHS.exe很像，我当时分析的那个木马是利用分层协议spi实现开机自启动，无进程。不知道你这个是不是哦？自己OD调试分析下吧、、 2013-5-14 01:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

双尾蝎

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区