看來有些中國特色啊,剛剛狗狗咬來的:

Winxp.dll,psapi.dll,Win32.Troj.KillAVT.ah.119784
2008-09-23 來源:金山

Win32.Troj.KillAVT.ah.119784是個廣告木馬程序。病毒作者在對抗安全軟件方麵，參考AV終結者的一些行為。如成功入侵係統，它就會彈出許多的廣告窗口，嚴重幹擾用戶的正常使用。

病毒運行後先釋放下列兩個文件：
C:\WINDOWS\Winxp.dll
C:\WINDOWS\system32\drivers\winsawids.sys

然後Winxp.dll再釋放下麵的文件：
C:\WINDOWS\system32\psapi.dll

psapi.dll還會生成一個profile.out的文件。

創建係統服務啟動sys文件:

Key: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management"
ImagePath: "\??\C:\WINDOWS\system32\drivers\winsawids.sys"
DisplayName: "Windows Management Instrumentations"
ObjectName: "LocalSystem"

由Winxp.dll再啟動psapi.dll

Winxp.dll會遍曆係統進程信息查找下列殺毒軟件，找到的話調用TerminateProcess結束掉：
ravmond.exe
ravmon.exe
ravstub.exe
ravtask.exe
rsagent.exe
rstray.exe
ras.exe
ccenter.exe
kwatch.exe
kpfwsvc.exe
kpfw32.exe
kmailmon.exe
kissvc.exe
kavstart.exe
然後，再使用TaskKill加上下麵的字串的方式結束殺軟
/f /im kmailmon.exe
/f /im kpfwsvc.exe
/f /im ccenter.exe
/f /im ravmond.exe
/f /im ravstub.exe

winsawids.sys的功能為恢複SSDT過殺毒軟件，另外提供了2個IoControlCode：2220C0h和22E14Bh供dll文件使用，來HookSSDT中的函數，隱藏自身文件。

psapi.dll的會創建名為profile.out的配置文件，修改用戶係統設置

推薦安裝金山毒霸正版的殺毒軟件進行全麵監控，防範Winxp.dll,psapi.dll,Win32.Troj.KillAVT.ah.119784病毒

• 很合理了,不上或少上國內的爛網,Windows自帶的防火牆足以抵擋一切 -吹笛牧童- ♂ (0 bytes) () 09/29/2008 postreply 21:22:54