本文目录一览:
- 1、Rootkit病毒 是怎么回事?
- 2、我的电脑中了rootkit病毒该怎么办
- 3、Rootkit级病毒木马清理 *** ?【手工清理】
- 4、电脑中了rootkit病毒该怎么办?
- 5、内核级木马是什么?
Rootkit病毒 是怎么回事?
你好:
简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和 *** 链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。
这种病毒,一般都很难清除,你可以访问腾讯电脑管家官网,下载安装一个电脑管家
使用电脑管家工具箱中的顽固木马克星来查杀一下
它专门为普通杀软检测不到,或者检测到无法清除的顽固威胁而设计
采用特别强力的查杀引擎,可以清除各种顽固的木马病毒
如果以后有什么问题,欢迎再来电脑管家企业平台询问,我们会尽心为您解答
我的电脑中了rootkit病毒该怎么办
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。 首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。 一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。 这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。 在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。 端口分析也是一种常用的 *** ,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。 在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。 进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。 手工清除病毒 1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。 2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。 3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。 4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices HKEY_LOCAL_MACHINESYSTEMControlSet001Services HKEY_LOCAL_MACHINESYSTEMControlSet002Services 三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。 5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。 这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。 因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。
希望采纳
Rootkit级病毒木马清理 *** ?【手工清理】
您好
木马是举报潜伏性和寄宿性的,手动杀毒非常容易误杀系统文件
建议您可以直接重启电脑按F8进入带 *** 连接的安全模式
然后到腾讯电脑管家官网下载电脑管家
打开电脑管家——杀毒——全盘查杀即可,电脑管家拥有基于CPU虚拟执行技术,可以帮您彻底根除电脑中的木马病毒,解决电脑中毒难题。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:
电脑中了rootkit病毒该怎么办?
中了Rootkit木马
看看你的系统盘的windowssystem32drivers文件夹下是否有类似sukfhu94.sys这种文件。
这个木马的病毒文件名称在每台电脑中基本上是不同的,但它的命名是有规律的,由6个英文字母和2个 *** 数字组成,如sukfhu94这个样子,另一个特征是,在windowssystem32drivers和windowssystem32下都有一个同名称不同扩展名的文件,如本例的在windowssystem32下就有个sukfhu94.dll文件。
有些杀毒软件说它是“Rootkit.startpage.a”后门病毒,有的杀毒软件则说是“Trojan-Downloader.Win32. *** Helper.mo”盗号木马,个人认为木马隐藏这么深,这么难清除, *** 者本意并非是盗 *** 号这么简单。偶是2006年10月2日发现这个木马的,到10月中旬各大杀毒软件才陆续发现它,但至今都不能杀掉,要用下面介绍的手工 *** 清除。
现已证实:安装“FlashGet1.73build128简体中文版”是感染此木马的途径之一。查看一下你的FlashGet安装文件的“属性”,如果“大小”这一项是“3.95MB(3,099,772字节)”的话,那么你就在受害者之列了。中了这个木马,好像对系统的速度等性能没有什么影响,只是有些人反映:“鼠标自己会乱动”。
解决 *** :1、先运行regsvr32-usukfhu94.dll来反注册sukfhu94.dll;
2、然后到windowssystem32下找到sukfhu94.dll用Unlocker解锁(事先得装Unlocker这个软件),之后删掉它;
3、再到windowssystem32drivers下删除sukfhu94.sys文件;
4、打开注册表,搜索sukfhu94,在
HKEY_LOCAL_MACHINESYSTEMControlSet001
HKEY_LOCAL_MACHINESYSTEMControlSet002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
下会找到有关sukfhu94的“项”,全部删除它们。(删除时会提示出错,此时应提升“权限”,之后就可以删了)
5、重启进安全模式,再搜索一次上述“项”,然后删除它们。
内核级木马是什么?
内核级木马是使用内核Rootkit技术来隐藏自身的木马病毒。
1、内核级木马病毒产生的原因:
传统用户级木马,由于一些主动防御软件、杀毒软件的 *** ,以及这些工具对其所用伎俩了如指掌、狠杀猛截,危害性已呈逐年下降的趋势。
这就促使了一些木马研究者去探究木马在内核中的隐藏技术,以期达到更好的隐藏效果,逃避传统工具的检测。在这种趋势下,内核级木马病毒也应运而生。
2、内核级木马病毒的作用原理:
内核级木马主要使用内核Rootkit技术来实现对其自身的隐藏。传统的主从型内核级木马的木马功能是在应用层实现的,内核只是起到一个协助隐藏的作用;而应用层的程序具有诸多的特性。
扩展资料:
一、木马病毒传播迅速,主要归因于其传播方式的多样性。内核木马及其他木马病毒的传播方式主要有以下几种:
1、利用下载进行传播,在下载的过程中进入程序,当下载完毕打开文件就将病毒植入到电脑中.
2、利用系统漏洞进行传播,当计算机存在漏洞,就成为木马病毒攻击的对象。
3、利用邮件进行传播,很多陌生邮件里面就掺杂了病毒种子,一旦邮件被打开,病毒就被激活。
4、利用远程连接进行传播。
5、利用网页进行传播,在浏览网页时会经常出现很多跳出来的页面,这种页面就是病毒驻扎的地方。
6、利用蠕虫病毒进行传播等。
二、木马病毒对用户计算机造成的危害很严重,具体如下:
木马病毒对计算机的直接破坏方式是改写磁盘,对计算机数据库进行破坏,给用户带来不便。当木马破坏程序后,使得程序无法运行,给计算机的整体运行带来严重的影响。
另外,一些木马可以通过磁盘的引导区进行,病毒具有强烈的复制功能,把用户程序传递给外部链接者。还可以更改磁盘引导区,造成数据形成通道破坏。病毒也通过大量复制抢占系统资源,对系统运行环境进行干扰,影响计算机系统运行速度。
参考资料来源:百度学术-内核级木马隐藏技术研究
参考资料来源:百度百科-木马病毒