话说前两天经理扛来一机,我定睛一看,那不是已经挨我修理过两回的PIII700嘛,不用说肯定又是中毒了.得到肯定回答后,二话不说掠起袖子干活.
MD,还真多啊,什么都有,IceSword,Unlocker轮番上阵一阵狂删总算世界清净了,重启电脑看看,不错,没有什么可疑进程.顺便上网瞧瞧.不是吧,还跳些不明窗口啊,难道那里还有漏网之鱼?下个周鸿纬的360安全卫士,一通扫,再装咔吧再扫,期间频频出现系统文件被替换的窗口,不过当时没有在意,因为之前我也有自己替换怀疑被感染的explorer.exe。最后咔吧提示win32.parite.a病毒,扫出几百个来,我才意识到麻烦了,上网一搜,果然2004年的十大病毒给我遇上了,没办法,只能格式c盘重装咯,还好能安装海地3d,不然就郁闷完去。下次碰到类似情况记住先装杀毒软件,不能再大意了。还好这个东东只感染exe和scr,如果是感染doc的话......装完系统后再下专杀工具扫描其它盘,不过杀完后的文件也都不能用了。
碰到一个让我头痛的病毒了.查了下,发现是2004年十大病毒之parite(帕日特) ,感染电脑中EXE,SCR文件.清除后EXE文件也被破坏,下面搜集一些资料.
|
Win32.Parite.a某PE感染型病毒清除修复
|
|
文章来源:Terminator Lab 文章类型:本站原创 加入时间:2006-7-17
|
|
现象: 在一些进程如 Explorer.exe 、 conime.exe 进程中总含有一个类似D:/Documents and Settings/IceFire/Local Settings/Temp/sqeB.tmp 的随机生成的文件。“去之不尽,去之又来”。。。 烦烦烦。。。 反复检查终得结果: 原来系统中的大部分 PE 文件都已经感染了病毒名称为“ Win32.Parite.a ”的 PE 感染型病毒,以为是哪种厉害的后门程序。 >> 分析 从 PEiD 中探测可知:如图所示 EP Section : .spm- (这是一个随机值,每次感染都不相同); Entry Point : 0004C 000
省略了一些啰嗦的过程,直接进入主题,跟踪该区段的代码,反汇编代码如下 0044C 000 > BB 9F 5E1600 MOV EBX,165E 9F 0044C 005 68 1CC04400 PUSH Dbgview .0044C 01C 0044C 00A 5A POP EDX 0044C 00B 68 C 4060000 PUSH 6C 4 0044C 010 5F POP EDI 0044C 011 FF 343A PUSH DWORD PTR DS:[EDX+EDI] 0044C 014 311C 24 XOR DWORD PTR SS:[ESP],EBX 0044C 017 8F 043A POP DWORD PTR DS:[EDX+EDI] 0044C 01A 83EF 03 SUB EDI,3 0044C 01D 4F DEC EDI 0044C 01E ^ 75 F 1 JNZ SHORT Dbgview .0044C 011 0044C 020 77 23 JA SHORT Dbgview .0044C 045 // 用 F4 使其跑到这里。。。
// 自解压后会还原出子模块, F7 跟进去。。。 0044C 020 E8 7D010000 CALL Dbgview .0044C 1A 2 0044C 025 0000 ADD BYTE PTR DS:[EAX],AL 0044C 027 0000 ADD BYTE PTR DS:[EAX],AL 0044C 029 0040 00 ADD BYTE PTR DS:[EAX], AL
0044C 1A 2 55 PUSH EBP 0044C 1A 3 8BEC MOV EBP,ESP 0044C 1A 5 81C 4 B4FEFFFF ADD ESP, -14C 0044C 1AB C 645 F 7 00 MOV BYTE PTR SS:[EBP-9],0 0044C 1AF 8BC5 MOV EAX,EBP 0044C 1B1 83C 0 04 ADD EAX,4 0044C 1B4 8B10 MOV EDX,DWORD PTR DS:[EAX] 0044C 1B6 83EA 05 SUB EDX,5 0044C 1B9 8955 FC MOV DWORD PTR SS:[EBP-4],EDX 0044C 1BC 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 0044C 1BF 81C 1 84000000 ADD ECX,84 0044C 1C 5 894D F8 MOV DWORD PTR SS:[EBP-8],ECX 0044C 1C 8 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 0044C 1CB 8B50 0C MOV EDX,DWORD PTR DS:[EAX+C] 0044C 1CE 8B4D FC MOV ECX,DWORD PTR SS:[EBP-4] 0044C 1D1 0351 08 ADD EDX,DWORD PTR DS:[ECX+8] 0044C 1D4 8BC5 MOV EAX,EBP 0044C 1D6 83C 0 04 ADD EAX,4 0044C 1D9 8910 MOV DWORD PTR DS:[EAX],EDX 0044C 1DB FF 75 F 8 PUSH DWORD PTR SS:[EBP-8] 0044C 1DE FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044C 1E1 8D55 BC LEA EDX,DWORD PTR SS:[EBP-44] // // ; 存放着原程序的入口值: 0041161C // 0044C 1E4 52 PUSH EDX 0044C 1E5 E8 78000000 CALL Dbgview .0044C 262 0044C 1EA 84C 0 TEST AL , AL 0044C 1EC 74 6D JE SHORT Dbgview .0044C 25B 0044C 1EE FF 75 F 8 PUSH DWORD PTR SS:[EBP-8] 0044C 1F 1 8D4D BC LEA ECX,DWORD PTR SS:[EBP-44] 0044C 1F 4 51 PUSH ECX 0044C 1F 5 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP -14C ] 0044C 1FB 50 PUSH EAX 0044C 1FC E8 05020000 CALL Dbgview .0044C 406 0044C 201 84C 0 TEST AL , AL 0044C 203 74 23 JE SHORT Dbgview .0044C 228 0044C 205 66:83BD B4FEFFFF>CMP WORD PTR SS:[EBP -14C ],6 0044C 20D 72 19 JB SHORT Dbgview .0044C 228 0044C 20F FF 75 F 8 PUSH DWORD PTR SS:[EBP-8] 0044C 212 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044C 215 8D55 BC LEA EDX,DWORD PTR SS:[EBP-44] 0044C 218 52 PUSH EDX 0044C 219 8D8D B6FEFFFF LEA ECX,DWORD PTR SS:[EBP -14A ]
// // Stack address=0012FE72, (ASCII "D:/DOCUME~1/IceFire/LOCALS~1/Temp/sqeB.tmp") // ECX=0012FE 2C //
0044C 21F 51 PUSH ECX 0044C 220 E8 51020000 CALL Dbgview .0044C 476 // // 将 TEMP 下生成的文件注入到一些进程中。。。 // 0044C 225 8845 F 7 MOV BYTE PTR SS:[EBP-9], AL 0044C 228 807D F7 00 CMP BYTE PTR SS:[EBP-9],0 0044C 22C 75 2D JNZ SHORT Dbgview .0044C 25B 0044C 22E FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044C 231 8D45 BC LEA EAX,DWORD PTR SS:[EBP-44] 0044C 234 50 PUSH EAX 0044C 235 8D95 B6FEFFFF LEA EDX,DWORD PTR SS:[EBP -14A ] 0044C 23B 52 PUSH EDX 0044C 23C E8 81020000 CALL Dbgview .0044C 4C 2 0044C 241 84C 0 TEST AL , AL 0044C 243 74 16 JE SHORT Dbgview .0044C 25B 0044C 245 FF 75 F 8 PUSH DWORD PTR SS:[EBP-8] 0044C 248 FF75 FC PUSH DWORD PTR SS:[EBP-4] 0044C 24B 8D4D BC LEA ECX,DWORD PTR SS:[EBP-44] 0044C 24E 51 PUSH ECX 0044C 24F 8D85 B6FEFFFF LEA EAX,DWORD PTR SS:[EBP -14A ] 0044C 255 50 PUSH EAX 0044C 256 E8 1B020000 CALL Dbgview .0044C 476 0044C 25B 8BE5 MOV ESP,EBP 0044C 25D 5D POP EBP 0044C 25E C3 RETN // 让他跑完这段。。。 返回 0041161C // Return to 0041161C (Dbgview .0041161C )
// // 比较熟悉的 VC++ 初始化代码。。。 // 0041161C /. 55 PUSH EBP 0041161D |. 8BEC MOV EBP,ESP 0041161F |. 6A FF PUSH -1 00411621 |. 68 78A 54100 PUSH Dbgview .0041A 578 00411626 |. 68 D0034100 PUSH Dbgview.004103D0 ; SE handler installation 0041162B |. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 00411631 |. 50 PUSH EAX 00411632 |. 64:8925 000000>MOV DWORD PTR FS:[0],ESP 00411639 |. 83EC 58 SUB ESP,58 0041163C |. 53 PUSH EBX 0041163D |. 56 PUSH ESI 0041163E |. 57 PUSH EDI 0041163F |. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP 00411642 |. FF15 E 4A 14100 CALL DWORD PTR DS:[<&KERNEL32.GetVersion>
>> 清除 & 修复• 删除病毒的区段: .spm- ;
• 用 LordPE 修改 PE 头,使其恢复正常的属性。
EntryPoint : 0004C 000 => 0001161C SizeOfImage: 0004D000 => 0004C 000 NumberOfSections: 0005 => 0004
最后点击“ Save “ => “ OK ”保存修改即可。
|
|
安全专家提醒您:
|
| 不管是普通文件型病毒还是PE感染型病毒,它感染初期,都会是单独文件的形式存在,它都需要激活并在内存中运行 |
| 才能完成感染过程。 因此,安装《终截者入侵阻止》,开启“安全预警”(默认状态下已经开启),可以很好的预警已知 |
| 与未知的病毒与木马,达到较好的事前预防效果! 并可结合“安全回归”功能,在系统重启过程中,瞬间还你一个无毒、 |
| 无干扰、无病毒木马加载的安全环境! |
|
Win32.Parite.a专杀工具
 点击下载
|
 |  ] | |
| 妈的。。今天不知道什么时候中了个win32.parite的毒。。。杀的我累死了。。。同时在网上找了篇杀这个毒 的方法。。顺便把贴出来。。。嘿嘿。。。希望你用不着。。。 1、下载win32.parite.a-c专杀工具 (http://www.onlinedown.net/soft/20838.htm) 2、将下载下来的专杀工具直接放到桌面即可 3、将此工具分别复制到各个硬盘分区c:/ d:/ ……等等,并将各个硬盘上将其扩展名改为.com。 因为此病毒感染.exe文件,一旦专杀工具执行,即会被病毒感染,因此要复制出来留作二次追杀病毒使用。 4、重新启动计算机 5、启动初始,连续按F8,进入系统主菜单,选择"安全模式"启动计算机 6、在"安全模式"下,执行桌面上的专杀工具 7、它会先自扫描内存,结束后,手动选择开始即可 8、杀毒结束,会提示重启计算机 特别提示: 1)重启之前,最好打开C盘,清空C:/WINNT/TEMP目录下的所有文件,并将/TEMP目录设为"只读"属性 2)按住SHIFT键,再删除桌面上的专杀工具,因其此时已是带毒文件(按SHIFT的目的是彻底删除它) 9、重启后进入正常模式 10、将C:/下的专杀工具的扩展名由.com改回.exe,然后执行它,进行二遍杀毒 11、若仍能查出病毒,那么杀毒结束后,先用特别提示中的方法删除C盘上的专杀工具,再重启 12、以防万一,重启后,再将D盘上的工具改回扩展名.exe,执行,杀毒 13、若无毒,则杀毒成功,删除所有专杀工具即可 14、若还能查到病毒,则仿照9——11的步骤,利用D、E……等盘上的工具依次杀毒,直到彻底查杀干净为止。 病毒名称:Win32.Pinfi.A,也就是parite 危害程度:低 受影响的系统: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP 1. 生成病毒文件 2. 篡改系统注册表 3. 通过网络共享传播 感染形式:Win32.Pinfi是一种具有多个变种的病毒,它感染本地及共享网络上的Windows可执行文件。 第一次运行时,病毒会创建一个临时文件,而文件名则是随机的,比如: C:/WINDOWS/TEMP/pgt91F0.TMP 这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件贮存在注册表中: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF 运行时,病毒会附加在Explorer.exe文件上以便驻留内存。病毒会感染本地及它可以访问的网络驱动器上 的*.EXE 和 *.SCR文件。 | |
| ||||
|
|
病毒别名: 处理时间: 威胁级别:★★ 中文名称: 病毒类型:Win32病毒 影响系统:Win9x / WinNT 病毒行为: 这是一个 Win32 环境下的变形感染型病毒,感染本地硬盘和局域网内被映射盘中的扩展名为 .exe 和 .scr 的PE文件,与a变种相比,其变形更加复杂。 1、在注册表该位置 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer 添加键值 PINF 2、在临时目录中释放一个dll文件,但是其文件名是随机的,扩展名为 .tmp |
|
与win32.parite.a病毒面对面
| |
|
与win32.parite.a面对面 谁知道没多久,杀毒软件自己启动了,老是提示有win32.parite.a这个毒,杀也杀不掉. 搞的我直郁闷啊.上群里求助.得到的答案有两个:1.format所有的盘.2.fdisk.重新对硬盘分区. 后来老哥上来了,给他说,答案也是fdisk.以为真的没办法了.就把重要的文件准备传ftp里去,正传着.突然断电.FT~~~~没电了.真倒霉.... 不行,不能放弃.跑到网吧搜索win32.parite.a的相关资料.后来在一站点找到了一前辈查杀的过程.在这里谢谢他了. 他的方法我就不多说了.下面我的操作和他一样,只是比他要多了一步. 从网上下载了流行病毒查杀工具spant.然后一个盘复制一个spant.我是四个盘. 因为win32.parite.a这种病毒是感染EXE文件,下载后没毒的文件,只要你运行了,在去查就会提示有毒.我们执行了spant后,关闭了,就算杀了毒,这个文件在没杀之前已经感染.
杀了四次后,重新启动.发现IE不正常.打不开网页. 又拿出KV2005对系统盘狂扫.结果报告显示一病毒 C://WINNT//Temp//~10A.tmp ****163.Net Hacktool/EmailCrack 晕那~这什么毒.win32.parite.a是全搞定了,又出来一个Email病毒,名字还真是可笑 ****163.Net 不知道什么毒,连我最新的KV2005病毒库都没办法杀掉 看来又要去安全模式下走一次了.但安全模式下找到C://WINNT//Temp//~10A.tmp.然后彻底把他删除.启动后去看下,哈哈~~这个文件终于小时了. 在扫下C盘正常了. 就是这个毒,我折腾了大半夜.还好没fdisk.要不我可要哭死了~~~~~~~~55555555555555 全是那丫的在软件里做手脚害的偶这个下场.找到他不日死他啊~ |
扫一扫
3687
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
