以xt来恢复钩子后。。。

显示全部楼层 · 发表于 2010-8-18 10:31:43

本帖最后由 liulangzhecgr 于 2010.8.18 10:37 编辑

以xt来恢复钩子后刷新又死而复原啊？！为什么？！
注：本工具配置全部打上勾

显示全部楼层 · 发表于 2010-8-18 13:39:33

在内核模块标签下面，选中你的那个frkeu.sys驱动，点击删除驱动（文件和注册表）

然后重启就行了，前提是你确定这个驱动有问题

显示全部楼层 · 发表于 2010-8-18 14:20:19

本帖最后由 liulangzhecgr 于 2010.8.18 14:38 编辑

回复 2楼 smilediy 的帖子

是的！100%病毒驱动！

内核模块删除前为：文件已不存在。。。！

点击鼠标右键：删除文件及注册表信息 --->结果：删除失败！

重启电脑。。。？！查看删除前后都一样！

其实这个驱动也与内核钩子挂钩！系统回调中也有！

恢复钩子，删除回调后刷新又显示出来！。。。我不知道是我用xt的不当？！
（我学的是暂停病毒进程---恢复钩子|删除系统回调---再删除病毒进程。。。）
我的能力现在没有办法用xt来删除此驱动文件！

其实别的论坛上有位版主级的人也测试xt来删除此驱动！结果没成！
pe下或火流星能删除此驱动！。。。不过人家要求不能用pe!...

显示全部楼层 · 发表于 2010-8-18 14:52:39

没有驱动文件，
火流星是如何删除此驱动的？

显示全部楼层 · 发表于 2010-8-18 14:56:52

本帖最后由 liulangzhecgr 于 2010.8.18 15:02 编辑

回复 4楼 ithurricane 的帖子

用xp自带的资源管理器按路径寻找的话可以看到病毒驱动文件啊！

只是进程模块中我没有发现可疑进程与此驱动关联！。。。
小不点的病毒进程是轻而易举的结束进程及删除文件来处理！

显示全部楼层 · 发表于 2010-8-18 14:57:35

回复 3楼 liulangzhecgr 的帖子

文件不存在是应为驱动dump到内存中了，
如果开机还有驱动加载的话，你可以先清理对应的驱动启动项，在注册表里面搜索“frkeu”清除掉

还有可能就是有其他随机启动的程序，启动后在加载这个驱动，还要看看有没有其它可疑的启动项

显示全部楼层 · 发表于 2010-8-18 15:03:02

回复

用xp自带的资源管理器按路径寻找的话可以看到病毒驱动文件啊！

只是进程模块中我没有发现可疑进 ...
liulangzhecgr 发表于 2010.8.18 14:56

就要求只用xuetr删除？把驱动发上来看下

显示全部楼层 · 发表于 2010-8-18 15:20:10

回复 7楼 smilediy 的帖子

不是！不能用杀软和pe!
ark工具可以任选吧！
我只是用xt来不能处理而烦恼。。。！

---刚才你的留言板里说明情况。。。！

显示全部楼层 · 发表于 2010-8-18 15:25:48

本帖最后由 liulangzhecgr 于 2010.8.18 15:30 编辑

回复 6楼 smilediy 的帖子

除了那个驱动之外都好说！
进程，启动项，服务项中的病毒都好解决啊！最后一关驱动文件删除问题...xt不给我做！

与好多钩子挂钩，系统回调的关系吧？！

能处理的处理后重启。。。没有找到可疑进程，启动项，服务。。。就差一个驱动文件的删除。。。！

显示全部楼层 · 发表于 2010-8-18 17:17:00

试过卸载驱动没有？

[求助] 以xt来恢复钩子后。。。