查看: 6448|回复: 14
收起左侧

[病毒样本] 一个卡巴斯基杀不了的病毒

[复制链接]
coopergubo
发表于 2007-1-10 18:35:26 | 显示全部楼层 |阅读模式
最近同学用他的U盘插了我的电脑,结果直接查出来有一个叫RavMon.exe的病毒但是杀不掉,而且我的U盘和移动硬盘里也被感染了这个病毒,只能用winrar来查看,普通的点击显示隐藏文件内容根本就不行,不管怎么删除都会再生,注册表也被修改了,我的移动硬盘不管用双击还是资源管理器都打不开。大虾们请教一下要怎么删除。
密码是:virus

[ 本帖最后由 coopergubo 于 2007-1-10 18:38 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
coopergubo
 楼主| 发表于 2007-1-10 18:44:52 | 显示全部楼层
而且好像是变种,因为我用百度上搜到的办法也没有将其手动杀出,连显示都没有
Nblock
发表于 2007-1-10 18:49:09 | 显示全部楼层
微点的回答

[ 本帖最后由 Nblock 于 2007-1-10 18:51 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +1 收起 理由
ALEXBLAIR + 1 感谢解答: )

查看全部评分

ALEXBLAIR
发表于 2007-1-10 18:58:49 | 显示全部楼层
deleted: Trojan program Trojan.Win32.Agent.abt        File: D:\temp\Rar$DR00.265\RavMon.exe//NPack
卡巴已经可以了
coopergubo
 楼主| 发表于 2007-1-10 19:17:31 | 显示全部楼层
可是我拿更新后的卡巴斯基杀了以后就出现打不开的现象,这是怎么搞得??

[ 本帖最后由 coopergubo 于 2007-1-10 19:24 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
coopergubo
 楼主| 发表于 2007-1-10 19:29:12 | 显示全部楼层
格式化也不行

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ggw2006
发表于 2007-1-10 23:33:55 | 显示全部楼层
AntiVir 不报
AVG 不报
NOD32 报
小邪邪
发表于 2007-1-11 00:06:08 | 显示全部楼层
这个文件比较“离谱”,设置显示所有隐藏文件也“看”不到它,“只读”属性,只好使用非常规手段

[ 本帖最后由 小邪邪 于 2007-1-11 00:07 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ttdown
发表于 2007-1-11 02:39:06 | 显示全部楼层
原帖由 小邪邪 于 2007-1-11 00:06 发表
这个文件比较“离谱”,设置显示所有隐藏文件也“看”不到它,“只读”属性,只好使用非常规手段



呵呵,去掉“隐藏受保护的操作系统文件(推荐)”这个勾就可看见啦。
ttdown
发表于 2007-1-11 06:08:20 | 显示全部楼层
这个木马除了自动创建3楼的朋友用微点监测出的文件外,还会自动修改注册表,使得你无法在文件夹选项中再打开“显示所有文件和文件夹”选项。
所修改的注册表项有2处:
1、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
修改前:REG_DWORD, 4 bytes, 1
修改后:REG_DWORD, 4 bytes, 2

2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
修改前:REG_DWORD, 4 bytes, 1
修改后:REG_SZ, 8 bytes, "0  "

要先恢复以上2项注册表项,再打开“显示所有文件和文件夹”和去掉“隐藏受保护的操作系统文件(推荐)”这个勾,再手动查找它自动创建的文件并删除。(360安全卫士也可杀出此恶意软件)

BTW:在运行这个木马时我开着SSM(2.2.0.604),SSM会报c:\windows\svchost.exe(正常的svchost.exe在c:\windows\system32\),但如果一不留神允许了这个svchost.exe,它就会立即修改上面提到的2个注册表项,但此时SSM却并未监控着上述两个注册表项的键值和子键!不得不说这是个SSM的漏洞(当然,现在知道了可以自己在SSM中添加对此2个键值的保护)。
后来我又开着Cyberhawk测试了一下,此木马新增和自动复制文件以及注册表项全都报了!不得不说Cyberhawk还是很强悍呀!

[ 本帖最后由 ttdown 于 2007-1-11 06:52 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 00:33 , Processed in 0.120734 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表