电脑中了WIN32.TROJ.ROOTKIT.CN.3784病毒...
我的电脑有病毒了,开机一段时间自动死机.而且每次重启系统说NORTON.SYS文件感染病毒WIN32.TROJ.ROOTKIT.CN.3784,然后金山就把病毒杀了.但之...
我的电脑有病毒了,开机一段时间自动死机.而且每次重启系统说NORTON.SYS文件感染病毒WIN32.TROJ.ROOTKIT.CN.3784,然后金山就把病毒杀了.但之后还是很快死机,开机后还有病毒出现并消灭提示...谁能救救我啊...
展开
3个回答
展开全部
这是一个内核木马,它会把自己的进程,在注册表中的键值,创建的文件,创建的服务隐藏起来,尽最大可能不让受害者发现木马,以使木马长久驻留在受害者计算机中执行外界发来的特定命令。
1.该病毒会把自身复制为%System32%\rtkit.exe并以服务的形式随计算机启动而运行.
2.在%System32%\创建文件夹RtKit,该文件夹用来存放该内核木马得驱动程序npf.sys,记录文件rtkit.log,以及动态链接库globalc.dll。
3.加载木马释放的驱动程序npf.sys,HOOK了关键的内核API,释放的动态链接库globalc.dll作为木马与驱动程序通信的接口,木马根据配置文件ntrootkit.ini来隐藏进程,文件,注册表,服务等。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\KeyName
"0"="HKLM\SYSTEM\*NPF"
"1"="HKLM\SOFTWARE\RTKIT"
"2"="HKLM\SYSTEM\*RTKIT"
来通知驱动程序隐藏指定的注册表键值,以在注册表中隐藏自己。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\FileDirName
"0"="*SYSTEM32\RTKIT"
来通知驱动程序隐藏指定的文件或者文件夹,以隐藏自己的文件。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
它还会隐藏自己的进程。
木马是否加载驱动程序标志:
HKEY_LOCAL_MACHINE\software\rtkit\IsUseDriver
加载服务:
NPF,该服务用来加载驱动程序。
RtKit,将自己注册为服务。将自己描述为"Window system rpc service"。
IpFilterDriver, 开设后门服务,隐藏TCP/UDP端口。
开放远程访问注册表服务(Remote Registry),以远程操作受害者计算机系统中的注册表,远程加载木马服务。
设置木马版本信息,为以后升级木马做准备:
HKEY_LOCAL_MACHINE\software\rtkit
"MajorVersion"=0x1
"MinorVersion"=0x16
配置文件ntrootkit.ini中:
[HIDDEN PROCNAME]
保存要隐藏的进程名
[HIDDEN REGKEY]
保存要隐藏的注册表主键
[HIDDEN REGVALUE]
保存要隐藏的注册表键值
[HIDDEN FILEDIR]
保存要隐藏的文件夹
[HIDDEN SERVICE]
保存要隐藏的服务
[HIDDEN USER]
保存要隐藏的用户
[HIDDEN TCPPORT]
保存要隐藏的TCP端口
[HIDDEN UDPPORT]
保存要隐藏的UDP端口
使用Sniffer模式收发数据包以和外界通信。
4.窃取用户的系统资料,个人资料等。
5.记录用户的键盘输入,保存在文件rt_passfile.txt中,并会通过该木马泄露出去。
6.外界可以发送预定义的指令,如上传下载文件,运行程序,更新木马和配置文件,设置访问密码,对指定网址发动DDOS攻击等,
7.一旦中了该木马就很难清除,危害很大。
你先去下个下载HijackThis.exe
扫个log看看你的启动项里有没有
O4 - HKLM\..\Run: [FireFox Startup Drivers] wuaclt.exe
O4 - HKLM\..\RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - HKCU\..\Run: [FireFox Startup Drivers] wuaclt.exe
O4 - HKCU\..\RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - HKLM\..\Run: [hxadsec] C:\WINDOWS\system32\hxadsec.exe
有的话去安全模式下修复,然后在硬盘和注册表搜索wuaclt.exe删除.
还有打好各种安全补丁
1.该病毒会把自身复制为%System32%\rtkit.exe并以服务的形式随计算机启动而运行.
2.在%System32%\创建文件夹RtKit,该文件夹用来存放该内核木马得驱动程序npf.sys,记录文件rtkit.log,以及动态链接库globalc.dll。
3.加载木马释放的驱动程序npf.sys,HOOK了关键的内核API,释放的动态链接库globalc.dll作为木马与驱动程序通信的接口,木马根据配置文件ntrootkit.ini来隐藏进程,文件,注册表,服务等。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\KeyName
"0"="HKLM\SYSTEM\*NPF"
"1"="HKLM\SOFTWARE\RTKIT"
"2"="HKLM\SYSTEM\*RTKIT"
来通知驱动程序隐藏指定的注册表键值,以在注册表中隐藏自己。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\FileDirName
"0"="*SYSTEM32\RTKIT"
来通知驱动程序隐藏指定的文件或者文件夹,以隐藏自己的文件。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
通过注册表的键值
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit\ServName
"0"="RTKIT"
来通知驱动程序隐藏指定的服务,以隐藏自己的服务。
它还会隐藏自己的进程。
木马是否加载驱动程序标志:
HKEY_LOCAL_MACHINE\software\rtkit\IsUseDriver
加载服务:
NPF,该服务用来加载驱动程序。
RtKit,将自己注册为服务。将自己描述为"Window system rpc service"。
IpFilterDriver, 开设后门服务,隐藏TCP/UDP端口。
开放远程访问注册表服务(Remote Registry),以远程操作受害者计算机系统中的注册表,远程加载木马服务。
设置木马版本信息,为以后升级木马做准备:
HKEY_LOCAL_MACHINE\software\rtkit
"MajorVersion"=0x1
"MinorVersion"=0x16
配置文件ntrootkit.ini中:
[HIDDEN PROCNAME]
保存要隐藏的进程名
[HIDDEN REGKEY]
保存要隐藏的注册表主键
[HIDDEN REGVALUE]
保存要隐藏的注册表键值
[HIDDEN FILEDIR]
保存要隐藏的文件夹
[HIDDEN SERVICE]
保存要隐藏的服务
[HIDDEN USER]
保存要隐藏的用户
[HIDDEN TCPPORT]
保存要隐藏的TCP端口
[HIDDEN UDPPORT]
保存要隐藏的UDP端口
使用Sniffer模式收发数据包以和外界通信。
4.窃取用户的系统资料,个人资料等。
5.记录用户的键盘输入,保存在文件rt_passfile.txt中,并会通过该木马泄露出去。
6.外界可以发送预定义的指令,如上传下载文件,运行程序,更新木马和配置文件,设置访问密码,对指定网址发动DDOS攻击等,
7.一旦中了该木马就很难清除,危害很大。
你先去下个下载HijackThis.exe
扫个log看看你的启动项里有没有
O4 - HKLM\..\Run: [FireFox Startup Drivers] wuaclt.exe
O4 - HKLM\..\RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - HKCU\..\Run: [FireFox Startup Drivers] wuaclt.exe
O4 - HKCU\..\RunServices: [FireFox Startup Drivers] wuaclt.exe
O4 - HKLM\..\Run: [hxadsec] C:\WINDOWS\system32\hxadsec.exe
有的话去安全模式下修复,然后在硬盘和注册表搜索wuaclt.exe删除.
还有打好各种安全补丁
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
名片
2024-10-28 广告
优菁科技(上海)有限公司作为Altair公司HyperWorks软件的正版授权合作伙伴,我们确保为客户提供合法、有效的软件授权服务。HyperWorks作为一款功能强大的企业级CAE平台,集成了多种设计与分析工具,广泛应用于汽车、航空航天、...
点击进入详情页
本回答由名片提供
2013-06-08
北京瑞星信息技术股份有限公司
瑞星公司主营业务为信息安全整体解决方案的研发、销售及相关增值服务。公司自成立以来一直专注于信息安全领域,以优质的产品和专业的“安全+”服务,向政府、企业及个人提供各类安全服务,帮助所有用户。
向TA提问
关注
![]()
展开全部
建议您安装瑞星杀毒软件V16版本升级到最新病毒库后,重启计算机按F8键选择安全模式,进行全盘病毒扫描查杀,之后使用瑞星安全助手进行电脑修复,下载地址:http://pc.rising.com.cn/
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你先把病毒给删除,然后到注册表里去吧那病毒有关的东西删除就行啦
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
