我中了超级强悍内核驱动级 Rookit 木马，无法清除，救命！！！（附图）

lblzms

呵呵，我也是个半瓶水，还有很多不懂的  ，wsyscheck不知道是不是水土不服在我机子上启动会报错，虽然还可以运行，不过连a8xx57xg.sys都没查出来

lblzms

呵呵，我现在确实很神经过敏，看什么都可疑，每次小红伞报了无论是否误报一律delete
，越注重安全越觉得不安全

jpzy

呵呵，其实病毒没那么恐怖的！
Roolkit也不是随随便便就能绕过你的防线的！
过分的神经过敏很有可能会造成不必要的损失~！（比如删除了不该删除的文件）

lblzms

说的也是，罢了罢了，不管它了，大不了以后用网上银行，支付宝之类的用虚拟机上[:1:]在这费半天劲干嘛

jpzy

呵呵，如果是个木马，或者黑客工具，必然要进行外联，不然它什么用都没有！你用防火墙控制住网络的外联就可以避免任何损失了~！

你现在完全没有安全感啊，为什么这么恐慌呢？我来了卡饭以后，有一阵子索性什么都卸载了，裸奔了好几天！居然也没事~~~~

ALEXBLAIR

嘿嘿。。。
安全模式下，简单的rk基本都可以露脸。
看看这个下面有没有不熟悉的东西
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
rk第一步是一般挂驱动或者注入程序（sfc.exe /scannow可以检测出），然后删除自身，这样才可以做到3无。

motnahp

我也是缺乏安全感的男人，监控用着avast+za+eq还不够，天天搞个rt unhooker，wsyscheck什么的看来看去

ALEXBLAIR

换头像了cc?

motnahp

是啊是啊，原来也是cc啊

迷糊

原帖由 lblzms 于 2007-9-15 20:28 发表
现在关键是这两个驱动查的出来，可在目录下用冰刃都看不见，甚至我用PE启动都看不见，没法删除哦

有些安全软件的驱动会采用随机文件名，并且释放完了就会删除，好像360安全卫士就是这样

当然也不排除病毒也用这种技术

楼主可以使用冰刃的监视并重启，重启完后再检测一遍试试