我中了超级强悍内核驱动级 Rookit 木马，无法清除，救命！！！（附图）

lblzms

原帖由 ALEXBLAIR 于 2007-9-15 22:35 发表
嘿嘿。。。
安全模式下，简单的rk基本都可以露脸。
看看这个下面有没有不熟悉的东西
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
rk第一步是一般挂驱动或者注入程序（sfc.exe /scannow可以检测出）， ...

A大都来了 ，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下发现了那个随机驱动，我想可能是像迷糊兄所说的是某些安全软件的驱动，我电脑上就装了小红伞P版，OP，绿色Dr.Web，VBA32命令行，卡卡
，你们谁用过这些软件是否有这个随机名驱动啊，IceSword的重启监视只能监视进程创建不能监视驱动的加载

ALEXBLAIR

对付这类东西，比较郁闷
安全软件一般都会把驱动固定下来，方便做规则
看看他的地址，如果不是/??/这样开头的，一般就是有文件存在，找到后看看属性，不是微软的，先备份后咔嚓掉
当然，也可以先导出这个键的注册表，然后再安全模式下咔嚓。
记得要同时找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
这个下面的相同项一块处理。

a136236157

jpzy

原帖由 a136236157 于 2007-9-18 14:53 发表

请不要纯表情回复，版区的良好交流氛围需要大家共同维护，下不为例！

jpzy

记得咖啡好像开机的时候会临时加载一个sys～～～文件名是由字母和数字组成的，字母不变，数字由001～100，每次都不同～！

siman.yu

用微点吧

aa11qq26

搞得大家跟着瞎紧张了，哈

GBUser

微点能清除Rootkit的话我让花盆砸死去
还有个Darkspy可以试试，有人说比RKU还狠
有些安全软件是可能用随机名驱动的
另外如果是动态加载驱动，加载后你是找不到文件的（已经删了）