论坛: 病毒专区 标题: 请问r_server.exe是什么类型的病毒? 复制本贴地址    
作者: tiandayu [tiandayu]    论坛用户   登录
它会大量占用CPU资源,在注表启动项中存在,system32下面也找到,请知晓的人士介绍一下它的情况。谢谢!

地主 发表时间: 05-02-02 11:49

回复: X-NewBie [xnewbie]   论坛用户   登录
Radmin Server

先这样做 单击开始,运行 cmd.exe

输入 r_server /uninstall 回车
然后del r_server 回车
    del admdll.dll
    del raddrv.dll

最后单击开始,运行regedit.exe
    展开HKEY_LOCAL_MACHINE\SYSTEM\ 删除Radmin

B1层 发表时间: 05-02-02 13:13

回复: tiandayu [tiandayu]   论坛用户   登录
你说的是清除方法?
我知道它也是属于有进程木马,不过正常情况下无法结束,需要在安全模式下才能结束,删除其在注册表中的启动项,删除在SYSTME32下的源程序也可以搞定。
谢谢你!

B2层 发表时间: 05-02-02 17:09

回复: Nameless [nameless]   论坛用户   登录
Remote Administrator Service
软件定位是一款远程控制软件,好像跟杀毒公司约定,大部分杀毒软件会PASS它
所有数据,包括连接密码都加密过,好像是DES,默认文件名r_server.exe 需要连接库admdll.dll raddrv.dll ,默认服务名r_server
默认文件名的,估计是自动工具安装的
net stop r_server
sc delete r_server
if exist %systemroot%\r_server.exe del %systemroot%\r_server.exe
if exist %systemroot%\raddrv.dll del %systemroot%\raddrv.dll
if exist %systemroot%\admdll.dll del %systemroot%\admdll.dll
if exist %systemroot%\system32\r_server.exe del %systemroot%\system32\r_server.exe
if exist %systemroot%\system32\admdll.dll del %systemroot%\system32\admdll.dll
if exist %systemroot%\system32\raddrv.dll del %systemroot%\system32\raddrv.dll


B3层 发表时间: 05-02-02 20:35

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号