前天解压一病毒,在影子系统下做的,老久没见解开.
当时还开着微点,然后就是蓝屏,死机.
重启后,BIOS还能认出硬盘,但是所有分区都不见了,郁闷.
只好重新分区重新装系统.
还好,2月9号刚刚备份的.数据没丢,只是浪费时间.

55555他连我备份都一起删了 郁闷

这样的人做的也太过分了。

对付你这样的人，刚刚好！

你想分析些什么？
样本都没有，怎么分析

备份最好放移动硬盘啊，呵呵。不过我连备份也没有。

我还以为是要问资料被删了怎么恢复呢，要是资料被误删了或者被恶意删除了，可以试试Ontrack出的EasyRecovery Professional，蛮好用的。毕竟所谓删除，一般就是删除文件描述表，文件的内容还是在磁盘上，只要你没有大规模的文件写入，或者磁盘整理。NTFS的文件描述表索引和FAT32的文件分配表（FAT表）那么重要，万一无意被破坏――包括软件上的和硬件上的――怎么办？所以嘛，windows会有至少一份备份。所以放心好啦，当然，如果文件被删除后没有关机，那恢复起来就更完美了，呵呵，怎么搞得我像是做广告亚

好惨啊  可怜的孩子

我初步找出了一点线索 通过IP的连接 可以知道木马反向连接的是湖北武汉的IP
分析DLL得到敏感的信息 具体如下
  TCP    220.173.42.127:2941    219.133.63.142:443     CLOSE_WAIT      2740
  TCP    220.173.42.127:3201    219.133.60.243:8000    CLOSE_WAIT      2740
  TCP    220.173.42.127:3373    58.59.146.85:3280      CLOSE_WAIT      2740
  TCP    220.173.42.127:4639    121.62.160.37:9000     SYN_SENT        836
TCP    220.173.42.127:2941    219.133.63.142:443     CLOSE_WAIT      2740
TCP    220.173.42.127:3201    219.133.60.243:8000    CLOSE_WAIT      2740
TCP    220.173.42.127:3373    58.59.146.85:3280      CLOSE_WAIT      2740
TCP    220.173.42.127:4679    61.183.83.147:9000     SYN_SENT        836
本机IP请求连接121.62.160.37 以及61.183.83.147操作标志为SYN_SENT(同步发送)
分析SystenDLL得到敏感信息如下:

003E7624    BA 68773E00     mov     edx, 003E7768                    ; ASCII "feaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4%4P5U0t1H3x3o6k6Q4x3X3g2@1L8#2)9J5k6e0R3^5y4U0k6Q4x3X3g2G2M7X3M7`."
003E7629    E8 22B0FEFF     call    003D2650
003E762E    B8 44FC3E00     mov     eax, 003EFC44
003E7633    BA 8C773E00     mov     edx, 003E778C                    ; ASCII "TrkWks"
003E7638    E8 13B0FEFF     call    003D2650
003E763D    B8 34FC3E00     mov     eax, 003EFC34
003E7642    BA 9C773E00     mov     edx, 003E779C
003E7647    E8 04B0FEFF     call    003D2650
003E764C    C705 4CFC3E00 0>mov     dword ptr [3EFC4C], 1
003E7656    33C0            xor     eax, eax
003E7658    A3 48FC3E00     mov     dword ptr [3EFC48], eax
003E765D    8D45 B0         lea     eax, dword ptr [ebp-50]
003E7660    E8 1BD6FEFF     call    003D4C80
003E7665    8B55 B0         mov     edx, dword ptr [ebp-50]
003E7668    B8 5CFC3E00     mov     eax, 003EFC5C
003E766D    B9 B4773E00     mov     ecx, 003E77B4                    ; ASCII "TrkWkswz.dll"
003E7672    E8 75B1FEFF     call    003D27EC

SWZ2006这个名字我在GOOGLE搜索了一下 发现又几个人叫这个名字的 目前正在缩小范围 d78K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4%4P5U0t1H3x3o6k6Q4x3X3g2@1L8#2)9J5k6e0R3^5y4U0k6Q4x3X3g2G2M7X3N6Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0g2Q4z5f1y4Q4b7U0m8Q4c8e0g2Q4z5f1c8Q4z5o6m8Q4c8e0S2Q4b7V1c8Q4b7f1y4Q4c8e0g2Q4z5e0m8Q4z5e0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6%4k6h3u0Z5L8%4m8Q4x3X3f1K6x3K6t1J5i4K6u0W2L8%4u0Y4 我正在不断的收集敏感信息 总之我一定要把他抓出来 就在我发现被种马的时候 准备开始清除 这个禽兽把我机子重启了 还在我各个盘符放了熊猫烧香病毒以及金猪病毒 还把我的备份都删了 里面有学校教给我的任务 我辛苦了很久才做出来的 哎...我比电脑还伤啊!! 希望各位高手能帮我多提供些信息 小弟感激不尽!
另附带熊猫和金猪的病毒 提供大家研究分析

7a1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0f1^5i4K6u0W2y4U0m8Q4x3X3f1&6i4K6u0W2x3e0b7I4i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3k6r3I4Q4x3@1j5H3y4e0j5J5c8f1g2o6b7e0u0q4b7U0x3^5z5p5x3@1y4f1c8m8y4U0R3&6x3V1t1^5y4f1j5%4b7U0f1@1c8o6m8p5x3U0x3J5b7V1c8o6z5o6R3^5c8e0k6n7x3V1p5%4y4o6N6m8z5p5b7%4y4U0g2q4x3U0b7%4b7V1x3@1z5e0M7$3x3p5b7@1y4@1j5^5y4p5x3K6x3@1x3I4b7f1c8m8x3f1b7&6b7K6m8o6c8p5f1K6z5o6M7$3y4K6l9K6c8p5u0n7c8V1b7$3b7f1g2r3x3e0p5#2c8e0j5&6x3o6N6o6b7f1q4r3c8e0M7&6b7U0f1@1y4U0g2o6x3U0l9%4b7K6M7$3y4f1p5I4c8f1b7I4b7V1b7&6x3K6k6n7b7K6x3&6b7e0M7@1b7V1y4q4z5o6q4n7c8o6c8o6c8e0S2q4y4e0l9%4y4V1t1^5b7K6f1#2x3@1p5@1c8V1k6q4c8U0k6m8i4K6u0r3i4@1f1%4i4K6V1%4i4K6R3#2i4@1f1$3i4@1q4r3i4K6V1J5i4K6u0W2M7X3q4J5

这个systen.dll是灰鸽子变种“守望者”的
这本来只是个远程控制的病毒
估计那个放木马的人还另外在你电脑上装了“熊猫烧香”之类的病毒
把你所有.gho文件都删了
守望者是可以清除的
不过你丢失的60g文件就没办法了...

你有没有把硬盘的分区全格一次呀?要是没有的话,我能帮你找会数据!
请会话,谢谢

数据我自己回复了不少 可是损失毕竟还是有的。。。我的 QQ密码是 插入试输入的 还是被 偷了 QB也没了 这些都是无法恢复的 不过还是非常感谢楼上的兄弟 我要开学了 也没那么多时间去弄这些了 谢谢大家一直以来对我的关心 谢谢了！！

高手对决?闪远点 别喷到血了 呵呵