rstray.exe_电脑开机后如何关闭自动启动rs
编辑: admin 2017-01-01
-
4
本软件教程是逆火下载站编辑收集并精选的关于rstray.exe的教程知识,包括a1.css反汇编的相关软件教程,希望通过对本教程的学习能够对您关于rstray.exe方面的相关知识能够有所帮助。
很多朋友在打开计算机后,系统会弹出提示,rstray.exe遇到问题关闭,这种情况怎么解决呢?rstray.exe其实是瑞星的托盘图标程序,并不影响其他功能,在瑞星设置里面取消rstray.exe自启动项就可以了。
首先,打开开始菜单,点击运行,在弹出的文本框中键入msconfig 。
然后,点击启动标签,把除了CTFMON外的其他启动项全部取消打钩。
最后,点击服务标签里的隐藏windows系统服务项,把剩下的服务项也取消即可。
与“rstray.exe”的相关教程
a1.css反汇编
简单反编了一下a1.css其加了usp2.5的小壳,EIP定律直接脱掉;00403991 /. 55 PUSH EBP ;EIP首先加载图标iso和名字D;004039BD |. FF15 0C114000 CALL DWORD PTR DS:[<&USER32.GetInputState>] ; [GetInputState应该是输入的监控记录,不管它,继续;创建互斥体名“abcf”;00403A03 |. E8 3F0A0000 CALL 00.0040444700403A08 |. E8 4F050000 CALL 00.00403F5C00403A0D |. E8 E6050000 CALL 00.00403FF800403A12 |. E8 D2FEFFFF CALL 00.004038E9四个主要的call;第一个:00403A03 |. E8 3F0A0000 CALL 00.00404447关闭“监视系统安全设置和配置”服务;第二个:00403A08 |. E8 4F050000 CALL 00.00403F5C获取进程快照,通过字符串变化和解密,遍历System Process于变化后的传比较,目的查找金山、瑞星(rstray.exe、ccenter.exe、ras.exe、、、kavstart.exe、kwatch.exe、、)并关闭;查找TEMP路径;00A1FD30 7E 38 36 62 65 34 36 2E 74 ~86be46.t释放一个随即命名的文件在TEMP下,pe查看为Microsoft Visual C++ 6.0 DLL文件;遍历System Process于变化后的传比较,查找avp.exe、safeboxtray.exe、360tray.exe并关闭。第三个:00403A0D |. E8 E6050000 CALL 00.00403FF8查找ekrn.exe,查看“监视系统安全设置和配置”服务,并关闭;利用命令行“taskkill /f /im ekrn.exe”“taskkill /f /im egui.exe”强制删除nod32服务;不知为什么结尾处有2个call会引起错误,我jmp跳过了-。-!!!第四个:00403A12 |. E8 D2FEFFFF CALL 00.004038E9再次找到temp文件夹;004045DC 7E 63 63 61 39 62 33 2E 74 6D 70 ~cca9b3.tmp释放随即命名的文件在temp下,stud查看为驱动文件:| 名称 | VSize | VOffset | RSize | ROffset | Charact. | 01 | .text | 000016E8 | 00000300 | 00001700 | 00000300 | 68000020 | 02 | .rdata | 0000033A | 00001A00 | 00000380 | 00001A00 | 48000040 | 03 | .data | 00000266 | 00001D80 | 00000280 | 00001D80 | C8000040 | 04 | INIT | 000003E8 | 00002000 | 00000400 | 00002000 | E2000020 | 05 | .rsrc | 000003F8 | 00002400 | 00000400 | 00002400 | 42000040 | 06 | .reloc | 000001C0 | 00002800 | 00000200 | 00002800 | 42000040 | 释放随即命名的文件在temp下,004044BC 7E 64 32 35 33 30 39 2E 74 6D 70 ~d25309.tmpDIE查看为Microsoft Visual C++ [ver: x.x] | C/C++ 的exe文件00403A17 |. 68 B80B0000 PUSH 0BB8 ; /Timeout = 3000. ms00403A1C |. FF15 A8104000 CALL DWORD PTR DS:[<&kernel32.Sleep>] ; \\Sleep让俺休息三秒-。-~004036F8 |. 68 A8DE0000 PUSH 0DEA8 ; /Timeout = 57000. ms004036FD |. FF15 A8104000 CALL DWORD PTR DS:[<&kernel32.Sleep>] ; \\Sleep俺要说shit了~~57s,不过偶直接跳过了~提升权限为SeDebugPrivilege,加载驱动然后自杀;一直检测病毒程序运行,保持进程状态;最后好像还有一个设置注册表隐藏文件的操作,vm挂了~到此为止吧。
原作者:世语