急! 机器中毒 衍生文件rdriv.sys无法删除 怀疑是Trojan.Cachecachekit...
发布网友
发布时间:2024-10-15 12:04
共4个回答
热心网友
时间:2024-10-15 12:24
清除病毒rdriv.sys
这是目前碰到最难杀的病毒,我用最传统而相对有效的杀毒方法:首先用杀毒软件,只要使用最新版本的杀毒软件,都可以查杀大部分的病毒,少数无法删除的,也都将被隔离。无法删除的病毒文件,再进入安全模式中将其删除,为了确保病毒的再次复发,在注册表中查找病毒文件的注册信息,而这次在工作中,这个病毒无法删除。而且即使删除了注册信息,也一样会再出现。
我首先在客户的计算机上,安装塞门铁克,然后升级到最新的版本,进入安全模式,使用全盘杀毒,找到病毒文件名为rdriv.sys ,执行操作,删除失败,隔离成功。
路径是:C:\WINNT\SYSTEM32\rdriv.sys
关闭开机时启动的所有可疑文件,在重起之后,塞门铁克实施防护提示发现病为rdriv.sys,执行操作,删除失败,隔离成功。
再次进入安全模式。手动删除该文件,在进入注册表编辑器,查找rdriv所有的相关信息,都将其删除,有一个rdriv项无法删除,右键打开注册表项的菜单,选择权限,把完全控制的钩选上,并删除。直到注册表中无法查找到rdriv信息。
重新启动后,依然出现该病毒文件。最后应客户要求,重新安装系统。才得解决。
在网上查找到资料
backdoor/sdbot.atp.rootkit 病毒
应该执行以下操作1.请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,
可以把“删除所有脱机内容”选上)。
2.普通模式不行的话,在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
如果还不行,试试看,启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面,把能删除都删掉。
3.System Volume Information目录(文件夹)下(WinXP),请关闭系统还原。
System Volume Information目录(文件夹)(WinXP)都是系统还原用到的目录,要是病毒藏身在那里,需要关闭系统还原。
关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”,然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”,然后单击“确定”。
如前面指出的,这会将之前所有的还原点清除。单击“是”。
单击“确定”。
4.在注册表里搜”backdoor”把搜到的全部删除
删除失败可能是因为没有关闭系统还原造成的
热心网友
时间:2024-10-15 12:17
按杀毒软件提供的路径,记下来
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
如果杀软报的是一个DLL文件,点击:进程 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象)。
如果不行,请先运行regsvr32 /u 这个dll文件,将它从系统中反注册。
2.如果是别的文件,在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下)
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
4.在这个软件的界面里直接搜索注册表里这个文件的键值,删除搜索到的。
5.重启电脑,这个东西应该清除干净了。
热心网友
时间:2024-10-15 12:19
热心网友
时间:2024-10-15 12:23
实在不行只能进入安模了或重作系统!
