Question

Access violation at address 7C9696D0 in module 'ntdll,dll''. Read of address 6C647482.

当电脑遇见Access violation at address 7C9696D0 in module 'ntdll,dll''. Read of address 6C647482. 时该怎么做呀

Answer 1

病毒分类 WINDOWS下的PE病毒 病毒名称 Worm.Viking.eu
别 名 病毒长度 57089字节
危害程度 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作 瑞 星 版 本 号
18.53.10

这是一个由Delphi语言编写的感染型蠕虫病毒。用main007加壳。
该病毒主要通过枚举局域网磁盘进行传播。
该病毒只感染可执行文件。把宿主文件包在病毒的尾部，并把自己的图标替换为从宿主文件资源中提取的图标。
被感染的文件运行时，先执行病毒代码，然后释放并运行正常文件。
1、 病毒运行后会把自己复制到C:\windows\uninstall中，并释放一个动态库Richdll.dll。
把动态库注入到Explorer..exe中。
2、修改以下注册表项：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
添加键值"Load",达到自启动的.
3、病毒运行后会感染盘符从Z到C的所有“本地磁盘”（DRIVE_FIXED）的EXE文件，
被感染的文件夹里会有一个名为“_desktop.ini”的文件，里面的内容为当前时间。
4、病毒会搜索并使用"TerminateProcess"结束以下进程
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
Ravmond.EXE
regsvc.exe
RavMon.exe
mcshield.exe
5、病毒会向窗口名为RavMon.exe且窗口类名为RavMonClass的窗口发送WM_CLOSE消息结束该窗口。
6、该病毒对“卡巴斯基”的监控有专门的处理。
病毒会通过waveOutGetVolume关闭操作系统声音，
然后每100毫秒搜索一次“主动防御 警报”和“文件保护 警报”窗口。搜索“允许”按钮，模拟鼠标点击。并向卡巴斯基的通知窗口(ClassName:AVP.Product_Notification)发送WM_CLOSE消息结束该窗口.