红伞新手求教

显示全部楼层 · 发表于 2008-7-19 10:56:03

刚装了小红伞，初次扫描没有病毒。
过了一会就有提示，c:\windows\system32\drivers\protector.sys is the trojan horse TR/rootki.Gen
选择deny access后下次开机又提示，有高手解释下吗

显示全部楼层 · 发表于 2008-7-19 10:58:48

发现木马
你选的deny access只是拒绝访问
如果确信是木马而非误报
建议删除delete

显示全部楼层 · 发表于 2008-7-19 11:03:20

或者rename也可以啊

显示全部楼层 · 发表于 2008-7-19 11:03:45

请楼主关闭Guard…然后进入c:\windows\system32\drivers，把被报的protector.sys复制出来，再将其压缩成rar上传上来。
然后再按照本版置顶帖“红伞常见问题答疑”里的办法将其排除

显示全部楼层 · 发表于 2008-7-19 11:19:27

c:\windows\system32\drivers\ 里的文件要谨慎对待，先找到这个文件，查看属性是哪家的，以免麻烦。如果不能确定哪家的可隔离它。

有 protector.sys 驱动可能会有服务，有些驱动级的木马还不止一个进程，会互相保护。不光要杀掉驱动，还要到注册表中找到服务，引导一并删除。如果protector.sys 在运行中可能会禁止访问，可进入安全模式删除。

光靠杀软难免有疏漏，最好用带FD 的HIPS ，未经许可禁止在system32\ 等敏感处创建文件，禁止在临时文件夹内创建可执行文件，会安全得多。

显示全部楼层 · 发表于 2008-7-19 18:06:15

具体问题具体对待，但小心为上，楼上说的没错

[求助] 红伞新手求教

回复 1楼 kimez12 的帖子

浏览过的版块