首页
社区
课程
招聘
[旧帖] [求助]电脑中病毒,一开冰刃就重起 0.00雪花
发表于: 2009-5-28 10:42 4708

[旧帖] [求助]电脑中病毒,一开冰刃就重起 0.00雪花

2009-5-28 10:42
4708
开机的时候杀软已经不能实时监控,用Rootkit Unhooker 会出现
Rooket Unhooker has detected parasite inside itself!
It is recommended to remove parasite .okay?
Parasite type :Unknown remote thread
Thread ID:3764
Priority:8
Thread start address:0x77DB4CE3
Module:advapi32.dll

如果你打开冰刃1。22的话会直接重起计算机,就像你按下重起键一样迅速。
我不知道怎么才能定位那病毒,按照Rootkit的提示Thread ID为3764,但是在任务管理器找不到那PID,如果用山塞版的冰刃KsBinSword反病毒,一双击就会直接删除应用程序文件;如果是打开OD系列也会删除其应用程序文件。郁闷ing,现在我不知道怎么办,希望各位大大能给点思路。我会一直想办法和这个病毒耗!有什么想法我都会写上来供各位分析!!!!!!!!!!!!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 1753
活跃值: (865)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
还有``SnipeSword工具可以试试~!
2009-5-28 15:39
0
雪    币: 97697
活跃值: (200759)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
狙剑snipesword 好像没更新了.

http://www.skycn.com/soft/42583.html

http://www.jinshandubaxiazai.com/mumafanghu/20090506/146.html
2009-5-28 15:45
0
雪    币: 224
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
sreng能运行么?能的话扫个日志分析下。然后用xdelbox来个重启删除试试。。
PS:楼主能发个样本上来看看么。。。
2009-5-28 18:43
0
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
XueTr用了么
2009-5-28 21:56
0
雪    币: 254
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
那个是线程ID???
2009-5-29 00:27
0
雪    币: 220
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
可以下载免费的东方微点主动防御软件试试,能不能清除病毒。
2009-5-29 09:27
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
终于拿到样本了,大家一起研究下吧!我已经上传了!
2009-5-29 10:27
0
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
可以尝试下wsyscheck
2009-5-29 14:35
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
不会驱动边查资料边找用IDA静态看它初始化的例程代码,今天就到这里
INIT:000163A0
INIT:000163A0                 public start
INIT:000163A0 start           proc near
INIT:000163A0
INIT:000163A0 var_14          = dword ptr -14h
INIT:000163A0 DestinationString= UNICODE_STRING ptr -0Ch
INIT:000163A0 var_4           = dword ptr -4
INIT:000163A0 arg_0           = dword ptr  8
INIT:000163A0 arg_4           = dword ptr  0Ch
INIT:000163A0
INIT:000163A0                 push    ebp
INIT:000163A1                 mov     ebp, esp
INIT:000163A3                 sub     esp, 14h
INIT:000163A6                 and     [ebp+var_4], 0
INIT:000163AA                 push    ebx
INIT:000163AB                 push    esi
INIT:000163AC                 push    edi
INIT:000163AD                 push    ecx
INIT:000163AE                 push    edx
INIT:000163AF                 push    edi
INIT:000163B0                 test    cx, cx
INIT:000163B3                 xor     dl, 57h
INIT:000163B6                 inc     edi
INIT:000163B7                 or      ch, 6Fh
INIT:000163BA                 pop     edi
INIT:000163BB                 pop     edx
INIT:000163BC                 pop     ecx
INIT:000163BD                 push    cx
INIT:000163BF                 push    eax
INIT:000163C0                 add     ah, 3Fh
INIT:000163C3                 cmp     eax, edi
INIT:000163C5                 cmp     cl, 0Fh
INIT:000163C8                 and     ah, cl
INIT:000163CA                 and     ah, al
INIT:000163CC                 dec     ax
INIT:000163CE                 inc     ah
INIT:000163D0                 pop     eax
INIT:000163D1                 pop     cx
INIT:000163D3                 push    [ebp+arg_4]
INIT:000163D6                 call    Funtion3
INIT:000163D6
INIT:000163DB                 mov     esi, eax
INIT:000163DD                 push    ecx
INIT:000163DE                 push    edx
INIT:000163DF                 test    ch, 75h
INIT:000163E2                 inc     cl
INIT:000163E4                 test    ecx, 7D92h
INIT:000163EA                 add     ch, 63h
INIT:000163ED                 or      ecx, 136Eh
INIT:000163F3                 and     cl, bl
INIT:000163F5                 test    cx, 36A3h
INIT:000163FA                 inc     ecx
INIT:000163FB                 test    cx, cx
INIT:000163FE                 pop     edx
INIT:000163FF                 pop     ecx
INIT:00016400                 test    esi, esi
INIT:00016402                 jge     short loc_16424
INIT:00016402
INIT:00016404                 push    eax
INIT:00016405                 push    ecx
INIT:00016406                 push    edi
INIT:00016407                 test    edi, 4C6Ah
INIT:0001640D                 dec     ax
INIT:0001640F                 cmp     ax, cx
INIT:00016412                 cmp     ecx, edx
INIT:00016414                 or      ecx, 2266h
INIT:0001641A                 pop     edi
INIT:0001641B                 pop     ecx
INIT:0001641C                 pop     eax
INIT:0001641D                 mov     eax, esi
INIT:0001641F                 jmp     loc_1650D
INIT:0001641F
INIT:00016424 ; ---------------------------------------------------------------------------
INIT:00016424
INIT:00016424 loc_16424:                              ; CODE XREF: start+62j
INIT:00016424                 push    eax
INIT:00016425                 push    edx
INIT:00016426                 push    di
INIT:00016428                 sub     eax, 0DCCh
INIT:0001642D                 pop     di
INIT:0001642F                 pop     edx
INIT:00016430                 pop     eax
INIT:00016431                 lea     eax, [ebp+DestinationString]
INIT:00016434                 push    offset DeviceName ; \\Device\\UtilityClub
INIT:00016439                 push    eax             ; DestinationString
INIT:0001643A                 call    ds:RtlInitUnicodeString
INIT:00016440                 pusha
INIT:00016441                 inc     al
INIT:00016443                 and     dl, bl
INIT:00016445                 or      dx, ax
INIT:00016448                 and     dx, 463Eh
INIT:0001644D                 test    dl, 63h
INIT:00016450                 xor     ax, cx
INIT:00016453                 inc     dl
INIT:00016455                 popa
INIT:00016456                 lea     eax, [ebp+var_4]
INIT:00016459                 xor     esi, esi
INIT:0001645B                 push    eax
INIT:0001645C                 push    esi
INIT:0001645D                 push    esi
INIT:0001645E                 lea     eax, [ebp+DestinationString]
INIT:00016461                 push    8000h
INIT:00016466                 push    eax
INIT:00016467                 push    esi
INIT:00016468                 push    [ebp+arg_0]
INIT:0001646B                 call    IoCreateDevice  ; IocreatDrivice
INIT:00016471                 cmp     eax, esi
INIT:00016473                 jl      loc_1650D
INIT:00016473
INIT:00016479                 lea     eax, [ebp+var_14]
INIT:0001647C                 push    offset LinkName ; ; 连接名\\DosDevices\\UtilityClub
INIT:00016481                 push    eax             ; DestinationString
INIT:00016482                 call    ds:RtlInitUnicodeString
INIT:00016488                 push    ax
INIT:0001648A                 push    bx
INIT:0001648C                 push    edi
INIT:0001648D                 inc     bl
INIT:0001648F                 test    ah, 57h
INIT:00016492                 pop     edi
INIT:00016493                 pop     bx
INIT:00016495                 pop     ax
INIT:00016497                 lea     eax, [ebp+DestinationString]
INIT:0001649A                 push    eax
INIT:0001649B                 lea     eax, [ebp+var_14]
INIT:0001649E                 push    eax
INIT:0001649F                 call    IoCreateSymbolicLink
INIT:000164A5                 cmp     eax, esi
INIT:000164A7                 mov     [ebp+arg_4], eax
INIT:000164AA                 jge     short loc_164B7
INIT:000164AA
INIT:000164AC                 push    [ebp+var_4]
INIT:000164AF                 call    dword_162D0
INIT:000164B5                 jmp     short loc_1650A
INIT:000164B5
INIT:000164B7 ; ---------------------------------------------------------------------------
INIT:000164B7
INIT:000164B7 loc_164B7:                              ; CODE XREF: start+10Aj
INIT:000164B7                 mov     eax, [ebp+arg_0]
INIT:000164BA                 mov     dword ptr [eax+38h], offset UnloadDevice
INIT:000164C1                 push    edx
INIT:000164C2                 inc     dl
INIT:000164C4                 or      dh, dl
INIT:000164C6                 and     edx, ebx
INIT:000164C8                 test    dh, ah
INIT:000164CA                 and     dh, 5Eh
INIT:000164CD                 pop     edx
INIT:000164CE                 call    loc_13E24
INIT:000164CE
INIT:000164D3                 test    eax, eax
INIT:000164D5                 jl      short loc_164DE
INIT:000164D5
INIT:000164D7                 call    loc_12FD8
INIT:000164D7
INIT:000164DC                 jmp     short loc_164FD
INIT:000164DC
INIT:000164DE ; ---------------------------------------------------------------------------
INIT:000164DE
INIT:000164DE loc_164DE:                              ; CODE XREF: start+135j
INIT:000164DE                 pusha
INIT:000164DF                 xor     ah, 71h
INIT:000164E2                 sub     eax, 494Ch
INIT:000164E7                 test    ax, 393Eh
INIT:000164EB                 sub     ebx, 40C2h
INIT:000164F1                 test    ch, 6Dh
INIT:000164F4                 popa
INIT:000164F5                 push    [ebp+arg_0]
INIT:000164F8                 call    sub_12F66
INIT:000164F8
INIT:000164FD
INIT:000164FD loc_164FD:                              ; CODE XREF: start+13Cj
INIT:000164FD                 push    ebx
INIT:000164FE                 push    edx
INIT:000164FF                 mov     bh, 64h
INIT:00016501                 pop     edx
INIT:00016502                 pop     ebx
INIT:00016503                 mov     eax, [ebp+var_4]
INIT:00016506                 and     byte ptr [eax+1Ch], 7Fh
INIT:00016506
INIT:0001650A
INIT:0001650A loc_1650A:                              ; CODE XREF: start+115j
INIT:0001650A                 mov     eax, [ebp+arg_4]
INIT:0001650A
INIT:0001650D
INIT:0001650D loc_1650D:                              ; CODE XREF: start+7Fj
INIT:0001650D                                         ; start+D3j
INIT:0001650D                 pop     edi
INIT:0001650E                 pop     esi
INIT:0001650F                 pop     ebx
INIT:00016510                 leave
INIT:00016511                 retn    8
INIT:00016511
INIT:00016511 start           endp
2009-5-30 00:05
0
游客
登录 | 注册 方可回帖
返回
//