手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

添加马甲

请在下面输入您的马甲帐号信息, 然后点击 "添加" 按钮. 马甲信息添加后不能修改, 如果您修改了马甲的密码或安全提问, 请删除这个马甲并重新添加.
注意，每添加一个马甲收取工本费 200 金钱

用户名
密码

安全提问
回答

附加设置	将正在使用的帐号添加为正在添加的马甲账号的马甲

会师楼 » 『青春校园』 » 手动清除病毒集锦

‹‹ 上一主题 | 下一主题 ››

153 11/16 |‹‹‹7 8 9 10 11 12 13 14 15 16 ››

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第101楼

大中小

使用道具

发表于 2008-10-19 11:41 资料短消息加为好友

分享到：

QQ病毒NTdhcp.exe（Trojan-PSW.Win32.QQRob.15）清除

文件名称：NTdhcp.exe
文件大小：21117 字节
AV命名：Trojan-PSW.Win32.QQRob.15
加壳方式：UPX
病毒类型：盗Q木马
1、释放文件：
C:\WINDOWS\system32\NTdhcp.exe 21117 字节
2、添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NTdhcp = REG_SZ, "C:\WINDOWS\system32\NTdhcp.exe"
3、尝试关闭一些安全进程还有一些窗口：
00007F30 00407F30 0 PasswordGuard.exe
00007F4C 00407F4C 0 PasswordGuard.e
00008154 00408154 0 KVXP.KXP
00008168 00408168 0 KVFW.EXE
0000817C 0040817C 0 KVMonXP.KXP
4、在后台记录键盘操作，从而窃取QQ帐户密码，并发送至指定邮箱。
5、C盘释放Deleteme.bat，删除旧载体。
解决方法：
1、下载SREng，后进入安全模式。
2、删除启动项：NTdhcp。
3、重启计算机，删除文件：C:\WINDOWS\system32\NTdhcp.exe

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第102楼

大中小

使用道具

发表于 2008-10-21 09:00 资料短消息加为好友

修改IE首页为“http://www.3929.cn/?tn=”的病毒分析与修复方法

文件大小：35840字节
MD5 校验：ecebfb14005544cc4014d0fbf601f7a0

加壳名称：UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
开发工具：Microsoft Visual C++ 6.0
壳结尾处：004194EB  - E9 1CA9FEFF JMP l9.00403E0C
入口地址：00003E0C

解密函数(所有用到的字符串都是加密存放的)：
00403869 E8 12F5FFFF CALL l9.00402D80

解密后的所有字符串如下：
0012FE58  0040BFD4  ASCII "{701407A4-B171-4E8A-AD7C-F594B07B2800}"
0012FE78  0040BFFC  ASCII "%s\%s.dll"
0040C008=l9.0040C008 (ASCII "%s\drivers\%s.sys")
0040C020=l9.0040C020 (ASCII "rundll32.exe")
0040C030=l9.0040C030 (ASCII "DllRegisterServer")
0040C044=l9.0040C044 (ASCII "%s\%s %s\%s.dll,%s")
0040C058=l9.0040C058 (ASCII "NotePad")
0040C060=l9.0040C060 (ASCII "WinWord")
0040C068=l9.0040C068 (ASCII "\msvcrt.dll")
0040C074=l9.0040C074 (ASCII "\\.\Global\rkdoor")
0040C088=l9.0040C088 (ASCII "\\.\Global\LocalSystemX")
0040C0A8=l9.0040C0A8 (ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\")
0040C0D4=l9.0040C0D4 (ASCII "ping -n 3 127.0.0.1>nul")
0040C0EC=l9.0040C0EC (ASCII ":Repeat")
0012FE48  0040C0F4  ASCII "del "%s""
0040C100=l9.0040C100 (ASCII "if exist "%s" goto Repeat")
0040C11C=l9.0040C11C (ASCII "cd %c:\")
0040C124=l9.0040C124 (ASCII "del %0")
0040C12C=l9.0040C12C (ASCII "%s\%s.bat")

运行函数：
004038F2 E8 29E3FFFF CALL l9.00401C20

创建窗口：
00401C66 FF15 C8404000  CALL DWORD PTR DS:             ; USER32.CreateWindowExA

程序会在创建窗口的过程中，运行如下代码(只摘录了函数入口地址)：
004020F0 55             PUSH EBP

病毒执行的功能函数(放的地方很隐蔽，一般很难动态跟踪定位到这

※本文所有权属于钱車和会师楼共同所有，未经同意，禁止转载!※