[求助]电脑中病毒，一开冰刃就重起-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
cmdxhz 雪币： 1753 活跃值： (860) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 2 楼还有``SnipeSword工具可以试试~! 2009-5-28 15:39 0
linhanshi 雪币： 97697 活跃值： (200744) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 451 关注私信	linhanshi 3 楼狙剑snipesword 好像没更新了. http://www.skycn.com/soft/42583.html http://www.jinshandubaxiazai.com/mumafanghu/20090506/146.html 2009-5-28 15:45 0
长江小七雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	长江小七 4 楼 sreng能运行么？能的话扫个日志分析下。然后用xdelbox来个重启删除试试。。 PS：楼主能发个样本上来看看么。。。 2009-5-28 18:43 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 5 楼 XueTr用了么 2009-5-28 21:56 0
evilcode 雪币： 254 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 45 回帖 398 粉丝 0 关注私信	evilcode 6 楼那个是线程ID？？？ 2009-5-29 00:27 0
yzldll 雪币： 220 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	yzldll 7 楼可以下载免费的东方微点主动防御软件试试，能不能清除病毒。 2009-5-29 09:27 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 8 楼终于拿到样本了，大家一起研究下吧！我已经上传了！ 2009-5-29 10:27 0
xiaoxyz 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 182 粉丝 0 关注私信	xiaoxyz 9 楼可以尝试下wsyscheck 2009-5-29 14:35 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 10 楼不会驱动边查资料边找用IDA静态看它初始化的例程代码，今天就到这里 INIT:000163A0 INIT:000163A0 public start INIT:000163A0 start proc near INIT:000163A0 INIT:000163A0 var_14 = dword ptr -14h INIT:000163A0 DestinationString= UNICODE_STRING ptr -0Ch INIT:000163A0 var_4 = dword ptr -4 INIT:000163A0 arg_0 = dword ptr 8 INIT:000163A0 arg_4 = dword ptr 0Ch INIT:000163A0 INIT:000163A0 push ebp INIT:000163A1 mov ebp, esp INIT:000163A3 sub esp, 14h INIT:000163A6 and [ebp+var_4], 0 INIT:000163AA push ebx INIT:000163AB push esi INIT:000163AC push edi INIT:000163AD push ecx INIT:000163AE push edx INIT:000163AF push edi INIT:000163B0 test cx, cx INIT:000163B3 xor dl, 57h INIT:000163B6 inc edi INIT:000163B7 or ch, 6Fh INIT:000163BA pop edi INIT:000163BB pop edx INIT:000163BC pop ecx INIT:000163BD push cx INIT:000163BF push eax INIT:000163C0 add ah, 3Fh INIT:000163C3 cmp eax, edi INIT:000163C5 cmp cl, 0Fh INIT:000163C8 and ah, cl INIT:000163CA and ah, al INIT:000163CC dec ax INIT:000163CE inc ah INIT:000163D0 pop eax INIT:000163D1 pop cx INIT:000163D3 push [ebp+arg_4] INIT:000163D6 call Funtion3 INIT:000163D6 INIT:000163DB mov esi, eax INIT:000163DD push ecx INIT:000163DE push edx INIT:000163DF test ch, 75h INIT:000163E2 inc cl INIT:000163E4 test ecx, 7D92h INIT:000163EA add ch, 63h INIT:000163ED or ecx, 136Eh INIT:000163F3 and cl, bl INIT:000163F5 test cx, 36A3h INIT:000163FA inc ecx INIT:000163FB test cx, cx INIT:000163FE pop edx INIT:000163FF pop ecx INIT:00016400 test esi, esi INIT:00016402 jge short loc_16424 INIT:00016402 INIT:00016404 push eax INIT:00016405 push ecx INIT:00016406 push edi INIT:00016407 test edi, 4C6Ah INIT:0001640D dec ax INIT:0001640F cmp ax, cx INIT:00016412 cmp ecx, edx INIT:00016414 or ecx, 2266h INIT:0001641A pop edi INIT:0001641B pop ecx INIT:0001641C pop eax INIT:0001641D mov eax, esi INIT:0001641F jmp loc_1650D INIT:0001641F INIT:00016424 ; --------------------------------------------------------------------------- INIT:00016424 INIT:00016424 loc_16424: ; CODE XREF: start+62j INIT:00016424 push eax INIT:00016425 push edx INIT:00016426 push di INIT:00016428 sub eax, 0DCCh INIT:0001642D pop di INIT:0001642F pop edx INIT:00016430 pop eax INIT:00016431 lea eax, [ebp+DestinationString] INIT:00016434 push offset DeviceName ; \\Device\\UtilityClub INIT:00016439 push eax ; DestinationString INIT:0001643A call ds:RtlInitUnicodeString INIT:00016440 pusha INIT:00016441 inc al INIT:00016443 and dl, bl INIT:00016445 or dx, ax INIT:00016448 and dx, 463Eh INIT:0001644D test dl, 63h INIT:00016450 xor ax, cx INIT:00016453 inc dl INIT:00016455 popa INIT:00016456 lea eax, [ebp+var_4] INIT:00016459 xor esi, esi INIT:0001645B push eax INIT:0001645C push esi INIT:0001645D push esi INIT:0001645E lea eax, [ebp+DestinationString] INIT:00016461 push 8000h INIT:00016466 push eax INIT:00016467 push esi INIT:00016468 push [ebp+arg_0] INIT:0001646B call IoCreateDevice ; IocreatDrivice INIT:00016471 cmp eax, esi INIT:00016473 jl loc_1650D INIT:00016473 INIT:00016479 lea eax, [ebp+var_14] INIT:0001647C push offset LinkName ; ; 连接名\\DosDevices\\UtilityClub INIT:00016481 push eax ; DestinationString INIT:00016482 call ds:RtlInitUnicodeString INIT:00016488 push ax INIT:0001648A push bx INIT:0001648C push edi INIT:0001648D inc bl INIT:0001648F test ah, 57h INIT:00016492 pop edi INIT:00016493 pop bx INIT:00016495 pop ax INIT:00016497 lea eax, [ebp+DestinationString] INIT:0001649A push eax INIT:0001649B lea eax, [ebp+var_14] INIT:0001649E push eax INIT:0001649F call IoCreateSymbolicLink INIT:000164A5 cmp eax, esi INIT:000164A7 mov [ebp+arg_4], eax INIT:000164AA jge short loc_164B7 INIT:000164AA INIT:000164AC push [ebp+var_4] INIT:000164AF call dword_162D0 INIT:000164B5 jmp short loc_1650A INIT:000164B5 INIT:000164B7 ; --------------------------------------------------------------------------- INIT:000164B7 INIT:000164B7 loc_164B7: ; CODE XREF: start+10Aj INIT:000164B7 mov eax, [ebp+arg_0] INIT:000164BA mov dword ptr [eax+38h], offset UnloadDevice INIT:000164C1 push edx INIT:000164C2 inc dl INIT:000164C4 or dh, dl INIT:000164C6 and edx, ebx INIT:000164C8 test dh, ah INIT:000164CA and dh, 5Eh INIT:000164CD pop edx INIT:000164CE call loc_13E24 INIT:000164CE INIT:000164D3 test eax, eax INIT:000164D5 jl short loc_164DE INIT:000164D5 INIT:000164D7 call loc_12FD8 INIT:000164D7 INIT:000164DC jmp short loc_164FD INIT:000164DC INIT:000164DE ; --------------------------------------------------------------------------- INIT:000164DE INIT:000164DE loc_164DE: ; CODE XREF: start+135j INIT:000164DE pusha INIT:000164DF xor ah, 71h INIT:000164E2 sub eax, 494Ch INIT:000164E7 test ax, 393Eh INIT:000164EB sub ebx, 40C2h INIT:000164F1 test ch, 6Dh INIT:000164F4 popa INIT:000164F5 push [ebp+arg_0] INIT:000164F8 call sub_12F66 INIT:000164F8 INIT:000164FD INIT:000164FD loc_164FD: ; CODE XREF: start+13Cj INIT:000164FD push ebx INIT:000164FE push edx INIT:000164FF mov bh, 64h INIT:00016501 pop edx INIT:00016502 pop ebx INIT:00016503 mov eax, [ebp+var_4] INIT:00016506 and byte ptr [eax+1Ch], 7Fh INIT:00016506 INIT:0001650A INIT:0001650A loc_1650A: ; CODE XREF: start+115j INIT:0001650A mov eax, [ebp+arg_4] INIT:0001650A INIT:0001650D INIT:0001650D loc_1650D: ; CODE XREF: start+7Fj INIT:0001650D ; start+D3j INIT:0001650D pop edi INIT:0001650E pop esi INIT:0001650F pop ebx INIT:00016510 leave INIT:00016511 retn 8 INIT:00016511 INIT:00016511 start endp 2009-5-30 00:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cmdxhz

雪币： 1753

活跃值： (860)

能力值：

( LV8，RANK：120 )

在线值：

发帖

30

回帖

291

粉丝

3

关注

私信

cmdxhz 1: 2 楼

还有``SnipeSword工具可以试试~!

2009-5-28 15:39

0

linhanshi

雪币： 97697

活跃值： (200744)

能力值：

(RANK：10 )

在线值：

发帖

9245

回帖

27942

粉丝

451

关注

私信

linhanshi: 3 楼

狙剑snipesword 好像没更新了.

http://www.skycn.com/soft/42583.html

http://www.jinshandubaxiazai.com/mumafanghu/20090506/146.html

2009-5-28 15:45

0

长江小七

雪币： 224

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

4

粉丝

0

关注

私信

长江小七: 4 楼

sreng能运行么？能的话扫个日志分析下。然后用xdelbox来个重启删除试试。。
PS：楼主能发个样本上来看看么。。。

2009-5-28 18:43

0

ucantseeme

雪币： 442

活跃值： (43)

能力值：

( LV2，RANK：10 )

在线值：

发帖

46

回帖

990

粉丝

1

关注

私信

ucantseeme: 5 楼

XueTr用了么

2009-5-28 21:56

0

evilcode

雪币： 254

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

45

回帖

398

粉丝

0

关注

私信

evilcode: 6 楼

那个是线程ID？？？

2009-5-29 00:27

0

yzldll

雪币： 220

活跃值： (36)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

50

粉丝

0

关注

私信

yzldll: 7 楼

可以下载免费的东方微点主动防御软件试试，能不能清除病毒。

2009-5-29 09:27

0

hangweapon

雪币： 2

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

29

粉丝

0

关注

私信

hangweapon: 8 楼

终于拿到样本了，大家一起研究下吧！我已经上传了！

2009-5-29 10:27

0

xiaoxyz

雪币： 71

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

8

回帖

182

粉丝

0

关注

私信

xiaoxyz: 9 楼

可以尝试下wsyscheck

2009-5-29 14:35

0

hangweapon

雪币： 2

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

29

粉丝

0

关注

私信

hangweapon: 10 楼

不会驱动边查资料边找用IDA静态看它初始化的例程代码，今天就到这里
INIT:000163A0
INIT:000163A0                public start
INIT:000163A0 start          proc near
INIT:000163A0
INIT:000163A0 var_14       = dword ptr -14h
INIT:000163A0 DestinationString= UNICODE_STRING ptr -0Ch
INIT:000163A0 var_4          = dword ptr -4
INIT:000163A0 arg_0          = dword ptr  8
INIT:000163A0 arg_4          = dword ptr  0Ch
INIT:000163A0
INIT:000163A0                push ebp
INIT:000163A1                mov    ebp, esp
INIT:000163A3                sub    esp, 14h
INIT:000163A6                and    [ebp+var_4], 0
INIT:000163AA                push ebx
INIT:000163AB                push esi
INIT:000163AC                push edi
INIT:000163AD                push ecx
INIT:000163AE                push edx
INIT:000163AF                push edi
INIT:000163B0                test cx, cx
INIT:000163B3                xor    dl, 57h
INIT:000163B6                inc    edi
INIT:000163B7                or    ch, 6Fh
INIT:000163BA                pop    edi
INIT:000163BB                pop    edx
INIT:000163BC                pop    ecx
INIT:000163BD                push cx
INIT:000163BF                push eax
INIT:000163C0                add    ah, 3Fh
INIT:000163C3                cmp    eax, edi
INIT:000163C5                cmp    cl, 0Fh
INIT:000163C8                and    ah, cl
INIT:000163CA                and    ah, al
INIT:000163CC                dec    ax
INIT:000163CE                inc    ah
INIT:000163D0                pop    eax
INIT:000163D1                pop    cx
INIT:000163D3                push [ebp+arg_4]
INIT:000163D6                call Funtion3
INIT:000163D6
INIT:000163DB                mov    esi, eax
INIT:000163DD                push ecx
INIT:000163DE                push edx
INIT:000163DF                test ch, 75h
INIT:000163E2                inc    cl
INIT:000163E4                test ecx, 7D92h
INIT:000163EA                add    ch, 63h
INIT:000163ED                or    ecx, 136Eh
INIT:000163F3                and    cl, bl
INIT:000163F5                test cx, 36A3h
INIT:000163FA                inc    ecx
INIT:000163FB                test cx, cx
INIT:000163FE                pop    edx
INIT:000163FF                pop    ecx
INIT:00016400                test esi, esi
INIT:00016402                jge    short loc_16424
INIT:00016402
INIT:00016404                push eax
INIT:00016405                push ecx
INIT:00016406                push edi
INIT:00016407                test edi, 4C6Ah
INIT:0001640D                dec    ax
INIT:0001640F                cmp    ax, cx
INIT:00016412                cmp    ecx, edx
INIT:00016414                or    ecx, 2266h
INIT:0001641A                pop    edi
INIT:0001641B                pop    ecx
INIT:0001641C                pop    eax
INIT:0001641D                mov    eax, esi
INIT:0001641F                jmp    loc_1650D
INIT:0001641F
INIT:00016424 ; ---------------------------------------------------------------------------
INIT:00016424
INIT:00016424 loc_16424:                            ; CODE XREF: start+62j
INIT:00016424                push eax
INIT:00016425                push edx
INIT:00016426                push di
INIT:00016428                sub    eax, 0DCCh
INIT:0001642D                pop    di
INIT:0001642F                pop    edx
INIT:00016430                pop    eax
INIT:00016431                lea    eax, [ebp+DestinationString]
INIT:00016434                push offset DeviceName ; \\Device\\UtilityClub
INIT:00016439                push eax          ; DestinationString
INIT:0001643A                call ds:RtlInitUnicodeString
INIT:00016440                pusha
INIT:00016441                inc    al
INIT:00016443                and    dl, bl
INIT:00016445                or    dx, ax
INIT:00016448                and    dx, 463Eh
INIT:0001644D                test dl, 63h
INIT:00016450                xor    ax, cx
INIT:00016453                inc    dl
INIT:00016455                popa
INIT:00016456                lea    eax, [ebp+var_4]
INIT:00016459                xor    esi, esi
INIT:0001645B                push eax
INIT:0001645C                push esi
INIT:0001645D                push esi
INIT:0001645E                lea    eax, [ebp+DestinationString]
INIT:00016461                push 8000h
INIT:00016466                push eax
INIT:00016467                push esi
INIT:00016468                push [ebp+arg_0]
INIT:0001646B                call IoCreateDevice  ; IocreatDrivice
INIT:00016471                cmp    eax, esi
INIT:00016473                jl    loc_1650D
INIT:00016473
INIT:00016479                lea    eax, [ebp+var_14]
INIT:0001647C                push offset LinkName ; ; 连接名\\DosDevices\\UtilityClub
INIT:00016481                push eax          ; DestinationString
INIT:00016482                call ds:RtlInitUnicodeString
INIT:00016488                push ax
INIT:0001648A                push bx
INIT:0001648C                push edi
INIT:0001648D                inc    bl
INIT:0001648F                test ah, 57h
INIT:00016492                pop    edi
INIT:00016493                pop    bx
INIT:00016495                pop    ax
INIT:00016497                lea    eax, [ebp+DestinationString]
INIT:0001649A                push eax
INIT:0001649B                lea    eax, [ebp+var_14]
INIT:0001649E                push eax
INIT:0001649F                call IoCreateSymbolicLink
INIT:000164A5                cmp    eax, esi
INIT:000164A7                mov    [ebp+arg_4], eax
INIT:000164AA                jge    short loc_164B7
INIT:000164AA
INIT:000164AC                push [ebp+var_4]
INIT:000164AF                call dword_162D0
INIT:000164B5                jmp    short loc_1650A
INIT:000164B5
INIT:000164B7 ; ---------------------------------------------------------------------------
INIT:000164B7
INIT:000164B7 loc_164B7:                            ; CODE XREF: start+10Aj
INIT:000164B7                mov    eax, [ebp+arg_0]
INIT:000164BA                mov    dword ptr [eax+38h], offset UnloadDevice
INIT:000164C1                push edx
INIT:000164C2                inc    dl
INIT:000164C4                or    dh, dl
INIT:000164C6                and    edx, ebx
INIT:000164C8                test dh, ah
INIT:000164CA                and    dh, 5Eh
INIT:000164CD                pop    edx
INIT:000164CE                call loc_13E24
INIT:000164CE
INIT:000164D3                test eax, eax
INIT:000164D5                jl    short loc_164DE
INIT:000164D5
INIT:000164D7                call loc_12FD8
INIT:000164D7
INIT:000164DC                jmp    short loc_164FD
INIT:000164DC
INIT:000164DE ; ---------------------------------------------------------------------------
INIT:000164DE
INIT:000164DE loc_164DE:                            ; CODE XREF: start+135j
INIT:000164DE                pusha
INIT:000164DF                xor    ah, 71h
INIT:000164E2                sub    eax, 494Ch
INIT:000164E7                test ax, 393Eh
INIT:000164EB                sub    ebx, 40C2h
INIT:000164F1                test ch, 6Dh
INIT:000164F4                popa
INIT:000164F5                push [ebp+arg_0]
INIT:000164F8                call sub_12F66
INIT:000164F8
INIT:000164FD
INIT:000164FD loc_164FD:                            ; CODE XREF: start+13Cj
INIT:000164FD                push ebx
INIT:000164FE                push edx
INIT:000164FF                mov    bh, 64h
INIT:00016501                pop    edx
INIT:00016502                pop    ebx
INIT:00016503                mov    eax, [ebp+var_4]
INIT:00016506                and    byte ptr [eax+1Ch], 7Fh
INIT:00016506
INIT:0001650A
INIT:0001650A loc_1650A:                            ; CODE XREF: start+115j
INIT:0001650A                mov    eax, [ebp+arg_4]
INIT:0001650A
INIT:0001650D
INIT:0001650D loc_1650D:                            ; CODE XREF: start+7Fj
INIT:0001650D                                        ; start+D3j
INIT:0001650D                pop    edi
INIT:0001650E                pop    esi
INIT:0001650F                pop    ebx
INIT:00016510                leave
INIT:00016511                retn 8
INIT:00016511
INIT:00016511 start          endp

2009-5-30 00:05

0

[旧帖] [求助]电脑中病毒，一开冰刃就重起 0.00雪花