关于驱动级病毒的清理

peter1123

1，DOS
如果你的系统分区是FAT
可以直接进DOS 在c:\windows\system32\drivers下找到对应的文件 删除之就可以了
例如 c:\windows\system32\drivers\peter.sys  且peter.sys是隐藏的系统文件
进DOS后
attrib -s -h c:\windows\system32\drivers\peter.sys
del c:\windows\system32\drivers\peter.sys

这样就可以删除该文件了。进系统后应该会有错误提示，找不到c:\windows\system32\drivers\peter.sys
你在注册表搜索 peter.sys  把找到的项全部删除即可

2，WINPE
如果你的系统分区是FAT，进去之后直接删除c:\windows\system32\drivers\peter.sys 即可
如果你的系统分区是NTFS，先将c:\windows\system32\drivers\peter.sys 的权限修改下（病毒一般都会将自己的权限设置为不可删除，包括admin）
具体办法：1 打开的我电脑-工具-文件夹选项-“使用简单文件共享”勾去掉
                  2 右点peter.sys- 属性-安全-高级-“从父项继承那些……”勾去掉，弹出对话框中点“复制”-确定
再将自己的用户权限设置为 “完全控制-允许”

3，注册表
通过注册表搜索peter.sys，你会在下面几项找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_peter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\peter
用icesword的注册表工具删除对应项即可

PS：1)peter.sys是我虚构的，具体情况请具体分析，名字一般是和文件名差不多的
        2）搜索可以用regedit，但删除注册表项时，强烈建议使用icesword的
            理由2点：1，regedit删除的时候要修改权限；右点，权限……
                            2，木马一般都会监视着 regedit，甚至用regedit.com来顶替regedit.exe（com优先级比exe高）

小结：清理病毒的思路其实很简单，让病毒文件不运行，或者不被调用；且拥有足够的权限；再删除之
          具体完成方法很多很多了，不用拘泥与在下的拙见，其实这思路不局限于驱动级病毒的。

驱动级的恶意软件现在是越来越多了
当初还是3721的制胜法宝，如今已经是恶意软件必备武器，杀软常常只能见之，不能删之。
故提供一些办法，以供参考。

小生不才，些许错误或BUG还望大侠指点。


PS：论坛可以弄个发帖的时候自动将帖子内容复制到剪贴板吗？

[ 本帖最后由 peter1123 于 2007-2-22 07:04 编辑 ]

peter1123

是不是这个没什么用？

九棒歪打

原帖由 peter1123 于 2007-2-22 11:03 发表
坛可以弄个发帖的时候自动将帖子内容复制到剪贴板吗？

discz程序貌似没有这功能撒

stevenji2000

用ICESWORD可以解决驱动级病毒

peter1123

原帖由 九棒歪打 于 2007-2-25 13:29 发表


discz程序貌似没有这功能撒

我见过别的论坛有这功能

QQ空间也有这功能


主要是因为我之前打了同样篇幅的文章 ，但发表的时候出错    哭死我
又得重新打  就少写了一些东西

peter1123

原帖由 stevenji2000 于 2007-2-25 19:02 发表
用ICESWORD可以解决驱动级病毒

条条大路通罗马
icesword是我比较喜欢的一个工具

aaaaqw

sreng也可以

peter1123

SYSCHECK最近比较喜欢用这个

又叫 安全盾之反黑辅助  功能比较强大  有希望超越 icesword

nxplwlg

谢谢楼主分享