我的电脑中了rootkit病毒该怎么办

我是用金山肉鸡检测才检测出来的。可清除后再检测还有!... 我是用金山肉鸡检测才检测出来的。可清除后再检测还有! 展开
 我来答
牢良pf
推荐于2017-11-26 · TA获得超过247个赞
知道答主
回答量:118
采纳率:0%
帮助的人:140万
展开全部
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。 首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。 一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。 这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。 在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。 端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。 在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。 进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。 手工清除病毒 1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。 2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。 3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。 4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices HKEY_LOCAL_MACHINESYSTEMControlSet001Services HKEY_LOCAL_MACHINESYSTEMControlSet002Services 三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。 5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。 这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。 因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。

希望采纳
活宝逗比先生
2018-03-30 · TA获得超过4781个赞
知道小有建树答主
回答量:35
采纳率:0%
帮助的人:4496
展开全部

Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。 

首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。 

一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。 

这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。 

在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。 

端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。 

在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。 

进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。 

手工清除病毒 

1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。 

2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。 

3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。 

4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在 

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 

HKEY_LOCAL_MACHINESYSTEMControlSet001Services 

HKEY_LOCAL_MACHINESYSTEMControlSet002Services 

三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。 

5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。 

这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。 

因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。Window PE和360系统急救箱杀毒原理说明

Windows预安装环境,它包括运行安装程序、磁盘文件操作、连接网络共享以及执行硬件验证所需的最小Windows 功能集。WinPE就是一个超级迷你版的 Windows。WinPE系统由于超级迷你,可以非常方便地安装在U盘中,或者刻录到光盘,从而可以通过U盘或光盘启动电脑。

通常情况下,当电脑中招后,在系统的启动序列上,杀毒软件位于木马病毒运行之后。这点导致杀毒软件在处理已感染病毒的电脑时存在技术劣势。因为木马优先运行的驱动可以造成杀毒软件加载失败,木马还会使用各种Rootkit技术隐藏自身的文件、进程、模块甚至使用ShellCode方式攻击系统和杀毒软件信任区、阻扰杀毒软件联网、修改杀软的云端查询结果,让杀软处于被动。而WinPE系统则为这种情况下彻底清除恶性木马病毒提供了崭新的思路。用带有WinPE系统的U盘或光盘引导电脑后,新的格局出现了:无论多么顽固的木马也是死马、废马,它的各种花招没有机会使用,现出原形,俨然成了杀毒软件的刀下鱼肉。

360系统急救箱依靠强大的研发实力解决了种种难题,首创了WinPE版的急救箱,既充分发挥了WinPE系统带来的优势,又妥善处置了系统中的各类高端木马,例如MBR病毒、驱动木马、网络劫持类木马、替换系统文件的木马以及白利用木马等等。

2/5

U盘安装WinPE系统

1.下载U盘启动工具

百度搜索 "u盘启动系统" 或者 "u盘pe系统" 找到相应工具后安装。

2.制作启动U盘

运行安装好的U盘启动工具,将准备好的U盘插入电脑USB接口。以老毛桃pe工具为例说明,一键制作USB启动盘

展开长图

3/5

电脑启动设置

将360系统急救箱WinPE版拷贝到制作好的启动U盘中。设置中了病毒的电脑BIOS引导序列,将启动项设为U盘优先。然后重新启动电脑,引导进入WinPE系统。

4/5

运行系统急救箱

进入PE系统后,找到并运行U盘内的360系统急救箱。开始杀毒。

查看剩余2张图

5/5

重启电脑

拔掉插在电脑上的U盘,重启电脑到正常系统,再用安全软件查杀,确保电脑没有病毒。

本回答被网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
可可无敌丶
2018-08-20 · TA获得超过3163个赞
知道大有可为答主
回答量:8755
采纳率:84%
帮助的人:856万
展开全部
可以用腾讯电脑管家,占用内存小。而且电脑管家有自己的杀毒引擎叫做TAV自主杀毒引擎,先后满分通过了西海岸,VB100两大权威评测,算是国际领先水平了,可以跟小红伞这种国际知名引擎并肩,其实现在中国自主研发的杀毒引擎并不是很多的。查杀病毒很给力。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
百度网友b86f4c1
2018-08-13
知道答主
回答量:34
采纳率:0%
帮助的人:3.3万
展开全部
我电脑也中了此病毒,不升级qq电脑管家,多次杀毒怎么也清除不了。升级到最新版qq电脑管家后,再杀彻底没了此病毒。要记得:不只是升级最新病毒库,是最新版本的qq电脑管家。要设置随开机启动管家。本人亲历啊
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
瑞星249
2015-05-04 · TA获得超过704个赞
知道大有可为答主
回答量:4492
采纳率:0%
帮助的人:323万
展开全部
安装带有监控功能的杀毒软件查杀病毒,杀毒软件可以查杀掉大部分病毒的。另外,如果发现可疑文件可以通过瑞星官网上传给瑞星工程师分析,上传地址http://mailcenter.rising.com.cn/FileCheck/,上传后可以得到rs开头的查询编码,楼主可以通过此编码查询处理进度及结果
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 2条折叠回答
收起 更多回答(4)
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式