10年电脑功力,居然载倒在一个病毒上.提供病毒体,大家帮我分析下.

zhq76

是不是explorer之类的被注入了，可以用冰刃解除，杀掉隐藏进程。然后再删除文件

zhq76

QUOTE:

原帖由 美国总捅 于 2007-7-10 11:32 发表




不只有explorer之类的被注入

系统的关键程序全部被注入**\

完了！
这样搞法太累了。还不如全盘格式化重装

tangjianbin1979

汗,原来我认为的垃圾瑞星,这次居然在我想下载该附件的时候把附件给删除了

tangjianbin1979

关于这个病毒,摆渡上还是有些介绍的

hbqjljl

这么强的毒，没听说过啊，在那个上面中地，

黄药片

偶的没反应，压缩包还能看到dll文件，解压缩之后变空文件夹。用大蜘蛛和nod32都没有反应，ssm也没有报警。用icesword也没有看到进程。于是就把下的包和解压缩文件删掉了。
用icesword——设置——禁止创建进程之后再删吧，要不用antispy砍一下。

[ 本帖最后由 黄药片 于 2007-7-10 22:28 编辑 ]

_1234

我把那个idb文件发给你吧。重新下载，刚才的文件没传完。。。[local]1[/local]

[ 本帖最后由 _1234 于 2007-7-10 23:56 编辑 ]

_1234

重新传了一下。学反汇编的话，先学汇编吧，找一本80x86的汇编语言教程或者直接找Intel的CPU指令手册（可以在Intel下载）看看，然后自己写几个程序，自己反汇编一下，对照对照就差不多了哈哈。。。

T23-4MU

看来又是个映象劫持类型的病毒，清除是比较麻烦

seikagaku

winpatrol plus，可以报告程序自动加载，病毒在后台搞鬼，它会报告，并提示，如果杀毒软件不报，它可以出提示，凡是自动搞鬼的程序都回被报告，很快就知道那些搞鬼的程序，曾经靠他帮助识别出“千橡的垃圾”，有近10个关联文件，隐藏的很好，甚至连文件属性都变成“windows international”的产品，真够无耻，安全模式，手工删除，可以装一个试一下。

enav

这种病毒 现在也是有的，碰上过好几次，要注册表，PE，文件日期，和进程一起查。

lensan

顶一下楼主的签名

_1234

http://www.intel.com/products/processor/manuals/index.htm

这个是intel CPU的技术文档，可能对楼主太专业了？
可以先看看清华出的那本80x86汇编的书吧。

52lucy

能打开隐藏文件吗?LZ
感觉你那个文件,想AV终结者的一个进程
你可以试试专杀

kerchi

病毒越来越狡猾了。真的防不胜防。

tpbb_fan

卡巴斯基反病毒6.0
The requested URL http://www.ibmnb.com/attachment.php?aid=407971 is infected with Trojan-Downloader.Win32.Small.ewc virus

LZ 干嘛不用卡巴斯基？

[ 本帖最后由 tpbb_fan 于 2007-7-12 14:11 编辑 ]