超级中强 - 2008-5-23 18:29:00
星检查出C:\WINNT\system32\rav.exe>>fsg2.0是病毒,可杀毒失败,一个是再杀,可还是失败,一个是删了被感染的文件,可我怕删了重要的文件,三是忽略,显然不可能,还请大家帮忙
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)附件:
rav.rar 附件:
rav.rar
轩辕小聪 - 2008-5-23 19:26:00
该文件是VB所写,脱壳后没有很仔细地调试。但是瑞星报的名称的确是没错的。
从文件中包含的脚本看,程序通过生成进程快照,查找系统中有无ravmond.exe进程,有则TerminateProcess试图结束该进程。这已经是典型的对付瑞星的病毒手段(姑且不论成不成功)。
该文件有两个资源,ID号0x65的,被释放为RESSDT.sys,另有ID号为0x66的,是exe文件。
后者创建驱动服务,加载前者(RESSDT.sys),之后通过对系统首个内核模块的映像文件的重定位表的遍历,找到原始的SSDT表,然后使用DeviceIoControl与驱动通信,通过驱动还原SSDT表,以达到破坏杀毒软件的目的。注:磁碟机也使用这套方法。
因此,被报毒丝毫不冤枉。
超级中强 - 2008-5-23 19:28:00
可是瑞星杀不掉啊,请问怎么办?直接把C:\WINNT\system32\rav.exe删掉可以吗?
轩辕小聪 - 2008-5-23 19:30:00
可直接删除文件。
© 2000 - 2024 Rising Corp. Ltd.