大家来看看，这个妖驱动是怎么回事。。。

显示全部楼层 · 发表于 2007-8-18 11:44:25

昨天用icesword查看内核模块，在其中看到了一个名字稀奇古怪的系统驱动。但是在冰刃提示的路径中却找不到这个驱动sys文件。于是我以为大概是安装什么软件后临时用过的驱动文件，但是在重启以后又在冰刃里看到了这种怪里怪气的驱动文件，虽然名字不同，但是其他特征都相同。（同样的名字怪里怪气，同样的也找不到文件。。。）求各位帮我看看到底是什么东西，会不会是什么病毒，恶意软件之类的。。。

显示全部楼层 · 发表于 2007-8-18 13:37:51

用syscheck或者sreng查看该.sys文件的数字签名及相关信息。

显示全部楼层 · 发表于 2007-8-18 19:24:32

问题是找不到这个sys文件啊。

显示全部楼层 · 发表于 2007-8-18 21:21:32

用syscheck或者sreng可以枚举出那个驱动文件，并非需要真的物理找到。
看看它的文件内容，并且观察一下启动项和关键项目中有否异常加载项。

显示全部楼层 · 发表于 2007-8-18 22:35:12

用process explorer找到于这个驱动关联的进程
用syscheck可以停用那个有问题的驱动
最多重启系统后，可以有针对性的删除有问题的文件。

显示全部楼层 · 发表于 2007-8-19 15:02:08

大哥们，在相应的system32文件夹里找不到此文件。怎么办？

显示全部楼层 · 发表于 2007-8-19 15:52:28

打开系统隐藏文件了没

显示全部楼层 · 发表于 2007-8-19 23:45:00

是动态驱动，成功加载之后就删除掉了

要治本，找找看是谁在搞这个动态驱动

显示全部楼层 · 发表于 2007-8-22 11:41:28

大哥怎么查啊？

[讨论] 大家来看看，这个妖驱动是怎么回事。。。

回复 #3 weisili 的帖子