瑞星卡卡安全论坛技术交流区可疑文件交流 瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

1   1  /  1  页   跳转

瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

星检查出C:\WINNT\system32\rav.exe>>fsg2.0是病毒,可杀毒失败,一个是再杀,可还是失败,一个是删了被感染的文件,可我怕删了重要的文件,三是忽略,显然不可能,还请大家帮忙

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 

回复:瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

该文件是VB所写,脱壳后没有很仔细地调试。但是瑞星报的名称的确是没错的。
从文件中包含的脚本看,程序通过生成进程快照,查找系统中有无ravmond.exe进程,有则TerminateProcess试图结束该进程。这已经是典型的对付瑞星的病毒手段(姑且不论成不成功)。
该文件有两个资源,ID号0x65的,被释放为RESSDT.sys,另有ID号为0x66的,是exe文件。
后者创建驱动服务,加载前者(RESSDT.sys),之后通过对系统首个内核模块的映像文件的重定位表的遍历,找到原始的SSDT表,然后使用DeviceIoControl与驱动通信,通过驱动还原SSDT表,以达到破坏杀毒软件的目的。注:磁碟机也使用这套方法。

因此,被报毒丝毫不冤枉。
gototop
 

回复:瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

可是瑞星杀不掉啊,请问怎么办?直接把C:\WINNT\system32\rav.exe删掉可以吗?
gototop
 

回复:瑞星杀毒失败C:\WINNT\system32\rav.exe>>fsg2.0

可直接删除文件。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT