澳森织标 - 2007-5-3 15:20:00
这个病毒,真让人头痛,我在安全模式下用360SAFE和卡巴斯基全盘杀毒还是清不干净!
最后重装系统!谁来研究一下这个病毒到底该如何对付?
文件:
http://files.myopera.com/kowloons/files/fnuis.rar解压密码:0
孤独更可靠 - 2007-5-3 15:39:00
打不开
baohe - 2007-5-3 15:40:00
缺少MSVCR71.DLL,该样本无法运行。
孤独更可靠 - 2007-5-3 15:45:00
哈,可以了
等下帮你看看
澳森织标 - 2007-5-3 16:04:00
楼主的那位大哥,打开了什么情况,给大家说一下!
还有,提示缺少文件的去这里下载:
http://download.zol.com.cn/link/14/130185.shtml
孤独更可靠 - 2007-5-3 17:03:00
哈,分析完了
作者思路不错
Autorun.inf
[C:\]
[AutoRun]
OPEN=RECYCLER\gidfh.exe
shellexecute=RECYCLER\gidfh.exe
shell\Auto\command=RECYCLER\gidfh.exe
[system]
ver=1.1
zid=vist
每个分区都有一个
藏在RECYCLER里,这个可不是回收站
这点比较重要,等下你还要再清理下每个分区的
Autorun.inf和RECYCLER\gidfh.exe
释放C:\winnt\system32\open11.dll
插入Explorer.EXE
增加服务
[Wserver / Wserver][Stopped/Auto Start]
<C:\winnt\system32\Wservers.exe><N/A>
好像还生成个C:\program files\Internet Explorer\DW15.EXE
一起都删除就可以了
问题不是很大哈
看汇编好像还会用IE连接h**p://3w.39100.net/ 下载木马
测试中无法验证..
算了,系统都重做了,懒的详细说了
自己清理下Autorun.inf和RECYCLER\gidfh.exe就可以了
...
澳森织标 - 2007-5-3 18:58:00
楼上的,你真行 看来还是你技高一筹,用反汇编观察病毒!有才!!
藏在RECYCLER里的文件是我靠直觉发现的,我发这里的EXE就是从这里提取的!
我刚刚也在影子模式下,用SSM在对它进行观察!找到了
插入Explorer.EXE和iexplorer.exe这2个程序!
孤独更可靠 - 2007-5-3 19:01:00
哈
那样
晓得了
没认真去看
© 2000 - 2026 Rising Corp. Ltd.