1   1  /  1  页   跳转

帮忙看看这个DLL文件

收藏
19860128jj
头像
初生襁褓狮
  • 帖子:22
  • 注册: 2009-01-12
  • 来自:
发表于: 2009-01-12 20:31 | 只看楼主 短消息 资料
字号: 1楼

帮忙看看这个DLL文件


 附件: 您所在的用户组无法下载或查看附件是不是木马群啊

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 2.0.50727)
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-01-12 20:37 | 短消息 资料
字号: 2楼

回复:帮忙看看这个DLL文件

不是木马群
目前来看
木马的群dll不是这么命名的

目前瑞星已经可以查杀该文件
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-01-13 11:25 | 短消息 资料
字号: 3楼

回复:帮忙看看这个DLL文件

下载者 会下病毒 并且对其他病毒进行”免疫“ 黑吃黑
gototop
 
tjcum210210
头像
卡卡反病毒小组
  • 帖子:1071
  • 注册: 2006-01-16
  • 来自:清新阳光家附近
发表于: 2009-01-13 11:28 | 短消息 资料
字号: 4楼

回复:帮忙看看这个DLL文件

汗,看见病毒名了是不是。。。。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2009-01-13 11:51 | 短消息 资料
字号: 5楼

回复: 帮忙看看这个DLL文件



引用:
原帖由 tjcum210210 于 2009-1-13 11:28:00 发表
汗,看见病毒名了是不是。。。。



.text:10002903                lea    eax, [ebp+FileName]
.text:10002909                push    eax            ; lpFileName
.text:1000290A                call    ds:GetFileAttributesA ; 查找那些文件名的文件并获得他们的属性
.text:10002910                test    al, FILE_ATTRIBUTE_DIRECTORY ; 如果是文件夹
.text:10002912                jnz    short loc_10002926
.text:10002914                cmp    eax, 0FFFFFFFFh ; 如果文件不存在
.text:10002917                jz      short loc_10002926
.text:10002919                lea    eax, [ebp+FileName]
.text:1000291F                push    eax            ; lpExistingFileName
.text:10002920                call    MoveFile
.text:10002925                pop    ecx
.text:10002926
.text:10002926 loc_10002926:                          ; CODE XREF: oleadp_4+4Dj
.text:10002926                                        ; oleadp_4+52j
.text:10002926                push    0              ; lpSecurityAttributes
.text:10002928                lea    eax, [ebp+FileName]
.text:1000292E                push    eax            ; lpPathName
.text:1000292F                call    ds:CreateDirectoryA ; 创建一个同名文件夹
.text:10002935                test    eax, eax
.text:10002937                jz      short loc_10002948
.text:10002939                push    FILE_ATTRIBUTE_READONLY or FILE_ATTRIBUTE_HIDDEN or FILE_ATTRIBUTE_SYSTEM ; dwFileAttributes
.text:1000293B                lea    eax, [ebp+FileName]
.text:10002941                push    eax            ; lpFileName
.text:10002942                call    ds:SetFileAttributesA ; 设置文件夹属性为只读隐藏系统
gototop
 
揍黑客
头像
强壮不惑狮
  • 帖子:1445
  • 注册: 2009-01-01
  • 来自:大洋路学校
论坛8周年活动礼物
发表于: 2009-01-13 16:09 | 短消息 资料
字号: 6楼

回复: 帮忙看看这个DLL文件



引用:
原帖由 aaccbbdd 于 2009-1-12 20:37:00 发表
不是木马群
目前来看
木马的群dll不是这么命名的

目前瑞星已经可以查杀该文件
木马的qq群!!!!!!!!!哈哈...
gototop
 
tjcum210210
头像
卡卡反病毒小组
  • 帖子:1071
  • 注册: 2006-01-16
  • 来自:清新阳光家附近
发表于: 2009-01-13 20:56 | 短消息 资料
字号: 7楼

回复 5F newcenturymoon 的帖子

额,我还没完全会看呢……
如果是文件夹应该是免疫文件夹
如果是文件怎么办了?
它创建同名属性隐藏的文件夹,也就是说如果没中过其它毒也不会再中了?
gototop
 
tjcum210210
头像
卡卡反病毒小组
  • 帖子:1071
  • 注册: 2006-01-16
  • 来自:清新阳光家附近
发表于: 2009-01-13 21:39 | 短消息 资料
字号: 8楼

回复:帮忙看看这个DLL文件

有其他病毒的情况
.text:10002869 sub_10002869    proc near              ; CODE XREF: oleadp_4+5Bp
.text:10002869
.text:10002869 ExistingFileName= byte ptr -104h
.text:10002869 lpExistingFileName= dword ptr  8
.text:10002869
.text:10002869                push    ebp
.text:1000286A                mov    ebp, esp
.text:1000286C                sub    esp, 104h
.text:10002872                push    esi
.text:10002873                lea    eax, [ebp+ExistingFileName]
.text:10002879                push    eax            ; lpBuffer
.text:1000287A                push    104h            ; nBufferLength
.text:1000287F                call    ds:GetTempPathA临时文件路径
.text:10002885                lea    eax, [ebp+ExistingFileName]
.text:1000288B                push    eax            ; lpTempFileName
.text:1000288C                push    0              ; uUnique
.text:1000288E                push    0              ; lpPrefixString
.text:10002890                push    eax            ; lpPathName
.text:10002891                call    ds:GetTempFileNameA临时文件名
.text:10002897                mov    esi, ds:MoveFileExA
.text:1000289D                push    1              ; dwFlags
.text:1000289F                lea    eax, [ebp+ExistingFileName]
.text:100028A5                push    eax            ; lpNewFileName
.text:100028A6                push    [ebp+lpExistingFileName] ; lpExistingFileName
.text:100028A9                call    esi ; MoveFileExA
.text:100028AB                test    eax, eax
.text:100028AD                jz      short loc_100028C2
.text:100028AD
.text:100028AF                push    4              ; dwFlags
.text:100028B1                push    0              ; lpNewFileName
.text:100028B3                lea    eax, [ebp+ExistingFileName]
.text:100028B9                push    eax            ; lpExistingFileName
.text:100028BA                call    esi ; MoveFileExA
.text:100028BC                neg    eax
.text:100028BE                sbb    eax, eax
.text:100028C0                neg    eax
最后编辑tjcum210210 最后编辑于 2009-01-13 21:49:26
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT