10年电脑功力,居然载倒在一个病毒上.提供病毒体,大家帮我分析下.

xuhaitao12

应该是还有别的同党,建议你在PE系统下删除看看!!!
这个病毒会自动效对文件的容量,重而来确认是否重新生成新的文件.
祝你好运....

xuhaitao12

当然,新病毒当然查不出.需要PE系统么?
才20多M   
你可以启动到PE系统下看看!!
删除后,  "WIN+R"   输入"MSCONFIG"
看看有没有多余的启动项目.....
进了系统不要随便点盘.右键"我的电脑"   "资源管理器"
看看有没有什么隐藏文件

xuhaitao12

瑞星?  楼主怎么装了这么多的杀软?

cisco2003

提供一个办法，LZ进入DOS，找到qhbpri.dll，删之，再建一个名为“qhbpri.dll”的目录，看他还做不做乱！

HOOP

可以试用web上传杀毒的网站分析一下。哪个能查出下载哪个杀毒。

所以我常常跟人们说，装杀软有个P用？除了消耗系统资源还有什么用？

歹徒都把枪顶到头上了，你的保镖还视而不见，因为这个歹徒不在你保镖的“歹徒库”里面。。。。。

haoran05110511

qhbpri.dll,利用NTFS权限控制，先把所有访问权限去掉（最好在安全模式下面）
去掉，确定之后，然后再看下，是否又自动加载权限了？

没有的话，重启下，yy已经不会注入到所有进程里面了，然后用sreng把那键值清空，把文件用unlock删掉

如果重新加了权限，那应该还有其他进程，比如DLL或者驱动，把相关联的或者异常的，权限都kill掉

用sreng应该很容易看出来的，服务和驱动项

最好再看下系统目录和临时环境变量下的都清理下，基本所有病毒就在哪几个目录下

老鸟，俺也不好意思都说了，呵呵(个人意见，仅供参考)

haoran05110511

或者LZ把SRENG的详细扫描日志打包传上来看看

xiaorourou

下载不了,刚一点保存窗口刚出来kv就报警了
然后就不能下了

aznarble

QUOTE:

原帖由 美国总捅 于 2007-7-9 21:58 发表



非常感谢HOOP的提醒.
我是从不装杀毒软件的
现在是中毒了无奈装杀毒的扫下
觉得真的病毒么杀不掉
就算杀,也只能杀,注册表还是不能自动修复
现在IBM的一键恢复没啥用了
现在的病毒都是全盘感染
恢复 ...

有条件最好不要本地硬盘备份，我的做法是将恢复镜像刻录在可引导的DVD-R上，而且是双份，恢复时直接对整个硬盘进行覆盖操作。

gwb1

先在注册表里头RUN里面删去相应的项，再杀

xiaorourou

用kv2007制作u盘病毒库功能做一个u盘,然后用光盘启动,插入U盘,杀毒,搞定

pippo

HIPS可以轻松搞掂的。

haoran05110511

LZ没有理解我的意思吧

注册表数据先删肯定删不掉的

先通过权限控制，把qhbpri.dll的所有读写权限都删除，然后......

_1234

用IDA反了一下：

；DWORD __stdcall Thread_3(LPVOID)

CODE:00402E2C Thread_3        proc near               ; DATA XREF: sub_4033D0+91o

CODE:00402E2C

CODE:00402E2C dwData2         = dword ptr -8

CODE:00402E2C dwData1         = dword ptr -4

CODE:00402E2C

CODE:00402E2C                 push    ebp

CODE:00402E2D                 mov     ebp, esp

CODE:00402E2F                 add     esp, 0FFFFFFF8h

CODE:00402E32                 push    ebx

CODE:00402E33                 push    esi

CODE:00402E34                 push    edi

CODE:00402E35                 mov     edi, offset dword_4056F0

CODE:00402E3A

CODE:00402E3A loc_402E3A:                             ; CODE XREF: Thread_3+6Aj

CODE:00402E3A                 push    offset aQqlogin_exe ; lpModuleName

CODE:00402E3F                 call    GetModuleHandleA

CODE:00402E44                 mov     ebx, eax

CODE:00402E46                 add     ebx, 5F31h

CODE:00402E4C                 push    offset aQqlogin_exe ; lpModuleName

CODE:00402E51                 call    GetModuleHandleA

CODE:00402E56                 mov     esi, eax

CODE:00402E58                 add     esi, 5F3Ah

CODE:00402E5E                 push    4               ; nSize

CODE:00402E60                 lea     ecx, [ebp+dwData1] ; nSize

CODE:00402E63                 mov     edx, ebx

CODE:00402E65                 mov     eax, [edi]

CODE:00402E67                 call    fReadProcessMemory

CODE:00402E6C                 push    4               ; nSize

CODE:00402E6E                 lea     ecx, [ebp+dwData2] ; nSize

CODE:00402E71                 mov     edx, esi

CODE:00402E73                 mov     eax, [edi]

CODE:00402E75                 call    fReadProcessMemory

CODE:00402E7A                 cmp     [ebp+dwData1], 1357931913

CODE:00402E81                 jnz     short loc_402E8C

CODE:00402E83                 cmp     [ebp+dwData2], 4294724995

CODE:00402E8A                 jz      short loc_402E98

CODE:00402E8C

CODE:00402E8C loc_402E8C:                             ; CODE XREF: Thread_3+55j

CODE:00402E8C                 push    500             ; dwMilliseconds

CODE:00402E91                 call    Sleep

CODE:00402E96                 jmp     short loc_402E3A

CODE:00402E98 ; ---------------------------------------------------------------------------

CODE:00402E98

CODE:00402E98 loc_402E98:                             ; CODE XREF: Thread_3+5Ej

CODE:00402E98                 push    offset aQqlogin_exe ; lpModuleName

CODE:00402E9D                 call    GetModuleHandleA

CODE:00402EA2                 add     eax, 5F3Ah

CODE:00402EA7                 mov     ds:dword_405F20, eax

CODE:00402EAC                 push    offset aQqlogin_exe ; lpModuleName

CODE:00402EB1                 call    GetModuleHandleA

CODE:00402EB6                 add     eax, 5F44h

CODE:00402EBB                 mov     ds:dword_405F24, eax

CODE:00402EC0                 mov     ecx, offset sub_402A24

CODE:00402EC5                 mov     edx, ds:dword_405F20

CODE:00402ECB                 mov     eax, [edi]

CODE:00402ECD                 call    sub_4025F8

CODE:00402ED2                 call    sub_402A88

CODE:00402ED7                 xor     eax, eax

CODE:00402ED9                 pop     edi

CODE:00402EDA                 pop     esi

CODE:00402EDB                 pop     ebx

CODE:00402EDC                 pop     ecx

CODE:00402EDD                 pop     ecx

CODE:00402EDE                 pop     ebp

CODE:00402EDF                 retn    4

CODE:00402EDF Thread_3        endp

这段代码每半秒在qqlogin.exe进程的内存中读取两个数据，和红色的数据比较，
直到找到为止，然后xxx（还没看完） 那两个数字，第一个好像是手机号哦，
查了一下，新疆喀什的，移动全球通。。。另一个以为是QQ号，但是没查到。。。

[ 本帖最后由 _1234 于 2007-7-10 00:57 编辑 ]

aznarble

QUOTE:

原帖由 美国总捅 于 2007-7-10 08:51 发表



反正这个是我清理最痛苦的一个病毒
先通过权限控制这个思路我知道了,但是这个病毒因为发作了,权限虽然已经取得了.删除的时候提示被占用,不能删除.
我已经把扫描结果贴了一部分,这个程序和系统的大部分关 ...

使用注册表编辑器对所有可能的启动项，将“写入”和“更改”的权限全部赋予“拒绝”看看呢（最好在安全模式下）？之后再来查毒。

ccie9999

卡吧 6.0 报 Trojan-Downloader.Win32.Small.ewc