瑞星卡卡安全论坛

谁能帮我分析分析软件被感染的这个病毒要怎么杀？换了好多杀毒软件都不行

些软件是我用Au3编写的小东西，不要把毒放它身上，要放到被感染的毒上！！！

附感染和没感染的同一软件做对比。。

忘了说了症状了：软件运行后，收先从

http://dydns175.3322.org:800/jax.exe下载病毒，还有一个~198.exe

并会在开始菜单的启动项里建立快捷方式。指向regsvr32.exe

而且修改rpcss.dll

杀毒软件已经换过:Norton360、小红伞、卡巴、360杀毒、都检查不出来。





下边是监控日志：
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut1.tmp
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ
新建 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe



修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf
修改 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
修改 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZTR367VJ\jax[1].exe
新建 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2fa83~.tmp
修改 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2fa83~.tmp
新建 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
修改 C:\WINDOWS\Prefetch\~198.EXE-18164D2A.pf
删除 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~198.exe
删除 C:\WINDOWS\system32\dllcache\rpcss.dll
新建 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
修改 C:\WINDOWS\system32\apa.dll
改名 C:\WINDOWS\system32\rpcss.dll [...]
[...] into C:\WINDOWS\system32\arpcss.dll
修改 C:\WINDOWS\system32\arpcss.dll
新建 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\system32\rpcss.dll
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf
修改 C:\WINDOWS\system32\apa.dll
新建 C:\WINDOWS\system32\rpcss.dll~197937
修改 C:\WINDOWS\system32\rpcss.dll~197937
修改 C:\WINDOWS\system32\rpcss.dll~197937

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; icafe8)

附件: 病毒.rar

已经上报，等分析结果，定期去网站病毒上报查下：
===========================
  上报文件成功！
查询编号：RS20100306182241687990
为查询文件分析结果，请记录此编号。谢谢您的参与！
===========================

反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.50 2010.03.06 -
AhnLab-V3 5.0.0.2 2010.03.05 -
AntiVir 8.2.1.180 2010.03.05 SPR/AutoIt.Gen
Antiy-AVL 2.0.3.7 2010.03.05 -
Authentium 5.2.0.5 2010.03.06 -
Avast 4.8.1351.0 2010.03.05 -
Avast5 5.0.332.0 2010.03.05 -
AVG 9.0.0.787 2010.03.06 Packed.AutoIt
BitDefender 7.2 2010.03.06 -
CAT-QuickHeal 10.00 2010.03.06 -
ClamAV 0.96.0.0-git 2010.03.06 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.06 -
eSafe 7.0.17.0 2010.03.04 -
eTrust-Vet 35.2.7342 2010.03.05 -
F-Prot 4.5.1.85 2010.03.05 -
F-Secure 9.0.15370.0 2010.03.06 -
Fortinet 4.0.14.0 2010.03.06 -
GData 19 2010.03.06 -
Ikarus T3.1.1.80.0 2010.03.06 -
Jiangmin 13.0.900 2010.03.06 -
K7AntiVirus 7.10.990 2010.03.04 -
Kaspersky 7.0.0.125 2010.03.06 -
McAfee 5911 2010.03.05 -
McAfee+Artemis 5911 2010.03.05 -
McAfee-GW-Edition 6.8.5 2010.03.06 Riskware.AutoIt.Gen
Microsoft 1.5502 2010.03.06 -
NOD32 4919 2010.03.05 -
Norman 6.04.08 2010.03.06 W32/Obfuscated.F!genr
nProtect 2009.1.8.0 2010.03.06 -
Panda 10.0.2.2 2010.03.06 -
PCTools 7.0.3.5 2010.03.04 -
Rising 22.37.05.03 2010.03.06 -
Sophos 4.51.0 2010.03.06 -
Sunbelt 5767 2010.03.06 -
Symantec 20091.2.0.41 2010.03.06 Suspicious.Insight
TheHacker 6.5.1.9.222 2010.03.06 -
TrendMicro 9.120.0.1004 2010.03.06 -
VBA32 3.12.12.2 2010.03.05 -
ViRobot 2010.3.5.2214 2010.03.05 -
VirusBuster 5.0.27.0 2010.03.05 -

不管用。。。。这个软件是我用Au3编写的。。。:kaka9: 不知道怎么染毒的！

我的意思是麦咖啡能查出，不知能不能清除病毒，你可以试一下。当然也可以静等瑞星升级

文件已经下载研究，看看病毒能不能被清除吧。

OEP 00416310

008D9683    FFE0            jmp    eax

这句跟过去以后dump修复就行了

这个代码咱看不懂，就是想知道有没有这类的专杀，不知道我硬盘上有多少个文件感染了这个了。。。

你先把下载的相关程序删除，再注册表里相关的键值搜索删除，然后删除system32底下的rpcss.dll把同文件夹下的arpcss.dll文件改名为rpcss.dll 试试

http://bbs.ikaka.com/showtopic-8698828.aspx

查杀不掉啊，瑞星相关技术人员会研究的，瑞星病毒库升级后，就可以查杀掉了。