今天用XT扫了下，发现如下

显示全部楼层 · 发表于 2009-5-8 10:59:08

fsd文件系统驱动，未知的最好恢复一下，极有可能就是这个导致你找不到那个病毒驱动文件
总之，可疑hook一概恢复，找到病毒为止

显示全部楼层 · 发表于 2009-5-8 11:02:21

shadow ssdt里面倒没发现什么异常。
可是在ssdt还是找到了被hook过的痕迹——

显示全部楼层 · 发表于 2009-5-8 11:05:22

那个spbt去百度也没找到任何结果。。。

显示全部楼层 · 发表于 2009-5-8 11:07:08

能找到么？校验一下，打开属性看下，发到在线扫描看下，搞不懂的话就恢复

显示全部楼层 · 发表于 2009-5-8 11:08:18

具体杀毒请参照http://bbs.kafan.cn/thread-470919-1-1.html
内容太多我就偷个懒，你自己看吧

显示全部楼层 · 发表于 2009-5-8 11:10:25

最后建议下，手动杀毒经验不足极易复发，最好有多款查杀率高的杀软辅助，断网查杀，杀完后修复是关键，否则不如ghost。
谨记谨记！

显示全部楼层 · 发表于 2009-5-8 11:15:44

再次感谢楼上的关注和帮助！！
在内核模块处找到了该文件，对文件进行校验数字签名，通过。
可是，还有疑问就是我想定位文件进行查看的时候为何提示“不存在，或者是无效目录”？？

显示全部楼层 · 发表于 2009-5-8 11:22:38

一种是被病毒驱动隐藏掉了，还有一种可能是真的没有该文件存在，病毒驱动启动时进入内存时把自身删除了，这个时候可以找到并干掉他的启动方式和病毒驱动的备份，通过reset键硬启动就可以把他干掉了，一般病毒会留下很多花招来触发运行。
这样的病毒不好惹，一般人很难清除，建议勾选禁止文件注册表等创建，一一搜索启动项和可能会被触发的启动条件，最后建议使用杀软进行扫描，实在不行就ghost。

显示全部楼层 · 发表于 2009-5-8 11:25:19

提示一下，数字签名校验也不是100%的，有的病毒会hook掉他，恢复他的钩子后，他就无法通过校验了。

显示全部楼层 · 发表于 2009-5-8 11:27:43

关于spbt.sys看下这个
http://hi.baidu.com/alexblair/bl ... 8f7921bc3109d8.html

[求助] 今天用XT扫了下，发现如下