rootkit.win32.apent.awk是什么木马

来源:百度知道 编辑:UC知道 时间:2024/06/05 07:39:10
卡巴查出来的,但没法杀,请高手帮帮如何才能删除它?它在C:\WINDOWS\system32\drivers\regti.sys里,删了以后一刷新就回来,用冰刃也没法删,360查不出,超级巡警也查不出,没试过到注册表里删(因为不懂),请高手帮帮忙,看如何把它删去,不胜感激!!!!!!!!!!!!
都不行啊用什么都杀不掉啊.删了又回来,是不是只有重装才行啊!因为我什么都不懂,有谁能告诉我一些可行的办法吗.小的在这里先谢啦

此病毒是一个Rootkit病毒,由C语言编写的驱动程序,提供破坏杀毒软件的功能。

1、禁止反病毒软件的运行:
病毒调用PsSetLoadImageNotifyRoutine函数注册镜像加载的通知例程,在通知例程中,病毒首先比较加载的镜像的名称是否包含下名称:
vsdatant.sys,watchdog.sys,zclient.exe,bcfilter.sys,bcftdi.sys,bc_hassh_f.sys,
bc_ip_f.sys,bc_ngn.sys,bc_pat_f.sys,bc_prt_f.sys,bc_tdi_f.sys,filtnt.sys,
sandbox.sys,mpfirewall.sys,msssrv.exe,mcshield.exe,fsbl.exe,avz.exe,
avp.exe,avpm.exe,kav.exe,kavss.exe,kavsvc.exe,klswd.exe,ccapp.exe,
ccevtmgr.exe,ccpxysvc.exe,iao.exe,issvc.exe,rtvscan.exe,savscan.exe,bdss.exe,
bdmcon.exe,livesrv.exe,cclaw.exe,fsav32.exe,fsm32.exe,gcasserv.exe,icmon.exe,
inetupd.exe,nod32krn.exe,nod32ra.exe,pavfnsvr.exe,Windows-KB890830-V1.32.exe

对于包含上名称的镜像,病毒检查其是否是有效的PE文件,如是则调用ZwOpenProcess、ZwTerminateProcess函数禁止其运行,以此来禁止反病毒软件、防火墙等安全软件的运行。

2、挂接API:
病毒通过修改cr0寄存器标志位的方法关闭写保护,然后替换KeServiceDescriptorTable中的函数地址来Hook API,并记下原函数的地址。病毒挂接了如下两个API:
ZwQueryDirectoryFile
ZwEnumerateValueKe