瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Rootkit.RegProt.a如何清除?
ymcj - 2006-5-9 3:53:00
状态:重新启动
不能直接删除
不言放弃 - 2006-5-9 7:52:00
【回复“ymcj”的帖子】
病毒文件名称与路径?
都市野鬼 - 2006-5-9 12:19:00
我的也有啊,高手快说说怎么弄啊!!!
ymcj - 2006-5-10 7:57:00
文件名          路径                          病毒名                状态
Anfad.sys      C:\WINDOWS\system32\drivers    Rootkit.RegProt.a      重新启动
fad.sys        C:\WINDOWS\system32\drivers    Rootkit.FileProt.a    重新启动

病毒说明:http://viruslist.rising.com.cn/viruslist.asp?id=207957
ymcj - 2006-5-10 8:02:00
http://viruslist.rising.com.cn/viruslist.asp?id=207957
不言放弃 - 2006-5-10 8:27:00
【回复“ymcj”的帖子】
楼主的机器被强行安装了中搜流氓软件

操作参考:
具体操作参考:

1、重启进入安全模式

2、在注册表中删除如下注册表项目:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

SearchNet_Up --> ["C:\Program Files\SearchNet\ServeUp.exe"]

CdnCtr --> ["C:\Program Files\SearchNet\ServeUp.exe"]

3、重启到安全模式下运行searchnet目录中的uninstall,输入其验证码,则删除

了该目录中的文件(除UNINSTALL外)

4、再删除uninstall,接着删SEARCHNET目录

5、删除如下文件:
C:\WINDOWS\system32\ServeHost.exe
C:\WINDOWS\system32\SeedServ.exe
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys

6、重启回到正常模式,使用防毒软件对系统进行全盘扫描

【提示】:
C:\WINDOWS\system32\drivers\Fad.sys
C:\WINDOWS\system32\drivers\Anfad.sys
C:\WINDOWS\system32\drivers\hProcess.sys
这三个文件是中搜流氓的驱动文件
一般是很难删除的
删除操作参考如下:
开机时按住F8
选择“带命令行提示的安全模式”进入系统
attrib -s -h -r C:\WINDOWS\system32\drivers\Anfad.sys
del C:\WINDOWS\system32\drivers\Anfad.sys

attrib -s -h -r C:\WINDOWS\system32\drivers\fad.sys
del C:\WINDOWS\system32\drivers\fad.sys

attrib -s -h -r C:\WINDOWS\system32\drivers\hProcess.sys
del C:\WINDOWS\system32\drivers\hProcess.sys
ymcj - 2006-5-10 11:49:00
【回复“ymcj”的帖子】
SearchNet_Up --> ["C:\Program Files\SearchNet\ServeUp.exe"]

CdnCtr --> ["C:\Program Files\SearchNet\ServeUp.exe"]
在注册表里怎么查找?我没找到。
我把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 删除了之后瑞星需手动启动。
轩辕小聪 - 2006-5-10 12:40:00
引用:
【ymcj的贴子】【回复“ymcj”的帖子】
SearchNet_Up --> ["C:\Program Files\SearchNet\ServeUp.exe"]

CdnCtr --> ["C:\Program Files\SearchNet\ServeUp.exe"]
在注册表里怎么查找?我没找到。
我把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 删除了之后瑞星需手动启动。
...........................

晕倒……
没叫你把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run这个全删了呀,只叫你把其中的两个键删了而已……你把这个全删了,那些开机启动的项目当然就没了……
zq77 - 2006-5-10 12:43:00
引用:
【ymcj的贴子】【回复“ymcj”的帖子】

我把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 删除了之后瑞星需手动启动。
...........................


1
查看完整版本: Rootkit.RegProt.a如何清除?
© 2000 - 2026 Rising Corp. Ltd.