这个文件是在毒霸社区获得的,修复只需要1秒,使用OD载入:
00401030 > $  60            pushad  ;停在这儿
00401031   .  E8 00000000   call    00401036
00401036   $  8BD6          mov     edx, esi
00401038   .  0FC8          bswap   eax
0040103A   .  F7D6          not     esi
0040103C   .  84F1          test    cl, dh
0040103E   .  6A 00         push    0                                ; /FileName = NULL
00401040   .  FF15 18404000 call    dword ptr [<&KERNEL32.LoadLibrar>; \LoadLibraryA

同样的我们按下F4。(Sality会返回一次正常文件代码,所以抓住这次机会就清理掉了),下面的文件DUMP出去就可以了!

00401030 > $  55            push    ebp
00401031   .  8BEC          mov     ebp, esp
00401033   ?  6A FF         push    -1
00401035   ?  68 A0404000   push    004040A0
0040103A   .  68 641B4000   push    00401B64                         ;  Entry address
0040103F   ?  64:A1 0000000>mov     eax, dword ptr fs:[0]
00401045   ?  50            push    eax
00401046   .  64:8925 00000>mov     dword ptr fs:[0], esp