神马文学网驱动级Rookit木马清除方法
来源:百度文库 编辑:神马文学网 时间:2024/05/23 10:38:21
先说下中了驱动Rookit的症状:
1、杀毒软件不断报警,但无法清除或清除后又生成;
2、Icesword的SSDT项有大量红色显示的驱动(后缀名为sys)...........
为什么驱动Rookit难以清除呢?
答:在系统底层,采用了多种方式来保护自身;启动顺序前,杀毒软件无法清除.....
正文>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1、找出Rookit:
方法参考(如果杀软已经报了就不用找了):釜底抽薪:用autoruns揪出流氓软件的驱动保护
2、删除Rookit:
安装Unlocker,找到Rookit按右键用Unlocker删除:
在弹出的框的右下角选择“删除”,再按“全部解锁”。
有时Unlock会出现这种窗口,你应该按“是”。
有遇到Unlock删除不掉的情况,可用Icesword强制删除。(选中该毒后按右键“强制删除”,再在弹出的询问框中按“是”)
2、删除病毒的启动项:
打开System Rapair Engineer,按窗口左侧的启动项目,再到服务选项卡,然后按驱动程序。
接着选中“隐藏已认证的微软项目”。接着找到毒的驱动,选中“删除服务”,然后按设置,在弹出的窗口中按“否”。
重启后,如果Rookit并没有清除,则可重复刚才的操作,只是不要选中删除服务,而是把启动类型该为“Disabled”。
3、对付插入进程的Rookit:
打开Syscheck,查看下红色和紫色的的进程,找出可疑的DLL,按右键“全局卸载指定模块”。然后再删除即可。
4、对付不断恢复自身文件/服务的Rookit:
先打开Process Explorer,初次打开会出现一个窗口,按“Agree”即可。
在System按右键,按“Properties”。
进入“Threads”选项卡,在Start Address中寻找所有有关该驱动的线程,按“Suspend”。
为防止该驱动自身恢复,你可在该驱动所在的文件夹创建一个名字与那驱动相同的文件夹。
5、最后最后必杀:Autodel(通过BOOT.INI加载)
如图操作后重启,重启后回弹出一个黑底白字的菜单,用方向键选择“删除顽固文件”就OK了。
涉及到的文章:禁用任意EXE
禁用任意病毒的方法
写在最后:
Rookit不仅上面一种方法可以搞定的,要结合以上多种方法才能把它“喀”。
此文的查殺方法不錯,大部分新技術都應用到了 。基於我在學校的時候知道的技術,
1、杀毒软件不断报警,但无法清除或清除后又生成;
2、Icesword的SSDT项有大量红色显示的驱动(后缀名为sys)...........
为什么驱动Rookit难以清除呢?
答:在系统底层,采用了多种方式来保护自身;启动顺序前,杀毒软件无法清除.....
正文>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1、找出Rookit:
方法参考(如果杀软已经报了就不用找了):釜底抽薪:用autoruns揪出流氓软件的驱动保护
2、删除Rookit:
安装Unlocker,找到Rookit按右键用Unlocker删除:
在弹出的框的右下角选择“删除”,再按“全部解锁”。
有时Unlock会出现这种窗口,你应该按“是”。
有遇到Unlock删除不掉的情况,可用Icesword强制删除。(选中该毒后按右键“强制删除”,再在弹出的询问框中按“是”)
2、删除病毒的启动项:
打开System Rapair Engineer,按窗口左侧的启动项目,再到服务选项卡,然后按驱动程序。
接着选中“隐藏已认证的微软项目”。接着找到毒的驱动,选中“删除服务”,然后按设置,在弹出的窗口中按“否”。
重启后,如果Rookit并没有清除,则可重复刚才的操作,只是不要选中删除服务,而是把启动类型该为“Disabled”。
3、对付插入进程的Rookit:
打开Syscheck,查看下红色和紫色的的进程,找出可疑的DLL,按右键“全局卸载指定模块”。然后再删除即可。
4、对付不断恢复自身文件/服务的Rookit:
先打开Process Explorer,初次打开会出现一个窗口,按“Agree”即可。
在System按右键,按“Properties”。
进入“Threads”选项卡,在Start Address中寻找所有有关该驱动的线程,按“Suspend”。
为防止该驱动自身恢复,你可在该驱动所在的文件夹创建一个名字与那驱动相同的文件夹。5、最后最后必杀:Autodel(通过BOOT.INI加载)
如图操作后重启,重启后回弹出一个黑底白字的菜单,用方向键选择“删除顽固文件”就OK了。
涉及到的文章:禁用任意EXE
禁用任意病毒的方法
写在最后:
Rookit不仅上面一种方法可以搞定的,要结合以上多种方法才能把它“喀”。
此文的查殺方法不錯,大部分新技術都應用到了 。基於我在學校的時候知道的技術,
驱动级Rookit木马清除方法
104种木马清除方法
100多种木马清除方法
31种清除木马方法
木马清除百种方法
木马清除的十种方法
100种木马的手工清除方法
手动清除木马的一般方法
104种木马的手工清除方法
104种木马清除方法 - 教程、文章
104种木马清除方法1
常见104种木马清除方法
手动清除木马的一般方法
手动清除木马的一般方法y
清除木马
新手也能对付病毒:通用清除木马方法
pagefile.pif病毒(落雪木马)完美清除方法
pagefile.pif病毒(落雪木马)清除方法
系统中木马的隐藏伎俩及清除方法
系统中木马的隐藏伎俩及清除方法
张子林书法 收藏 木马清除百种方法
清除ASP木马
流行木马大清除
清除ASP木马