| 囧's profile囧PhotosBlogLists |  Tools  Help |
|
November 26 看看你的系统是否中了Rootkit木马这篇文章是在太平洋上无意中发现的,把它留下来也许以后有用
看看你的系统盘的windows\system32\drivers文件夹下是否有类似sukfhu94.sys这种文件。
这个木马的病毒文件名称在每台电脑中基本上是不同的,但它的命名是有规律的,由6个英文字母和2个阿拉伯数字组成,如sukfhu94这个样子,另一个特征是,在windows\system32\drivers和windows\system32下都有一个同名称不同扩展名的文件,如本例的在windows\system32下就有个sukfhu94.dll文件。 有些杀毒软件说它是“Rootkit.startpage.a”后门病毒,有的杀毒软件则说是“Trojan-Downloader.Win32.QQHelper.mo”盗号木马,个人认为木马隐藏这么深,这么难清除,制作者本意并非是盗QQ号这么简单。偶是2006年10月2日发现这个木马的,到10月中旬各大杀毒软件才陆续发现它,但至今都不能杀掉,要用下面介绍的手工方法清除。 现已证实:安装“FlashGet 1.73 build 128 简体中文版”是感染此木马的途径之一。查看一下你的FlashGet安装文件的“属性”,如果“大小”这一项是“3.95MB(3,099,772字节)”的话,那么你就在受害者之列了。中了这个木马,好像对系统的速度等性能没有什么影响,只是有些人反映:“鼠标自己会乱动”。 解决方法: 1、先运行regsvr32 -u sukfhu94.dll来反注册sukfhu94.dll; 2、然后到windows\system32下找到sukfhu94.dll用Unlocker解锁(事先得装Unlocker这个软件),之后删掉它; 3、再到windows\system32\drivers下删除sukfhu94.sys文件; 4、打开注册表,搜索sukfhu94,在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ 下会找到有关sukfhu94的“项”,全部删除它们。(删除时会提示出错,此时应提升“权限”,之后就可以删了) 5、重启进安全模式,再搜索一次上述“项”,然后删除它们。 8楼、16楼、19楼里有详细介绍。 补充: 1、有网友反映说提示:“找不到指定的模块”。原因是照搬了“regsvr32 -u sukfhu94.dll”,因为你的病毒名称不是sukfhu94,当然就找不到sukfhu94.dll了。假定你找到的病毒名称是imrdxa24.dll ,那么运行的应该是:regsvr32 -u imrdxa24.dll 2、有人反映说用Unlocker解锁后仍无法删除。这时可以停止杀毒软件的实时监控,再解锁后删除;或者在“任务管理器”中结束explorer.exe进程,然后再新建一个explorer.exe任务,之后再用Unlocker解锁。 3、有网友说点了Unlocker后,没有弹出解锁框,这是系统还有其它病毒的缘故。可以进dos下删除这两个病毒文件,然后进安全模式删除注册表中的病毒的“项”。 4、“门口”大侠46楼重新分析了该木马,也介绍了处理方法。感觉他的方法很好,现在推荐给大家: ①右击“我的电脑”→属性→硬件→设备管理器→查看→显示隐藏的设备,再点“非即插即用驱动程序”前面的“+”; ②右击“sukfhu94”(这是对本例而言,要根据你电脑中的木马名称而改)→选“停用”→选“是”→再选“是”重启你的电脑; ③系统启动完成后,重复①的步骤,右击“sukfhu94”(这是对本例而言,要根据你电脑中的木马名称而改)→选“卸载”→选“确定”,如果提示要重启,则再选“是”; ④打开注册表,查找“sukfhu94”(这是对本例而言,要根据你电脑中的木马名称而改),把找到的“项”,全部删除。 再次感谢“门口”大侠所作的努力! 本文转自pconline论坛 TrackbacksThe trackback URL for this entry is: http://nahaoa.spaces.live.com/blog/cns!3D4EE05F9BADC57B!320.trak Weblogs that reference this entry
|
|
|
