无皮下血 - 2006-5-10 20:40:00
我电脑中了Rootkit.RegProt.a
删也删不去,杀也没用请问怎么解决啊~
谢谢
请速回答!
ceo800 - 2006-5-10 20:46:00
去病毒区把
bettertiger - 2006-5-10 21:20:00
先在运行里输入msconfig回车,打开后点击启动,找到有没有这个病毒的启动项,有的话取消前面的勾选。然后使用icesword查看进程,结束该病毒的进程,然后找到该病毒删除即可。重启。
bettertiger - 2006-5-10 21:21:00
这是一个内核模式驱动程序。
该驱动程序的代码是通过修改SysInternals的RegMon.sys得来。并且,该驱动程序还冒充SysInternals的版本信息来欺骗用户。
该驱动程序加载后,会创建一个名为\Device\Anfad的设备和一个名为\DosDevices\Anfad的符号链接。然后该驱动程序初始化一些同步对象,并挂钩以下Kernel API:
ZwOpenFile, ZwDeleteValueKey, ZwDeleteKey, ZwSetValueKey
该驱动会保护含有以下字符串的注册表键值不被删除和修改:
Services\HidProcess
Services\Anfad
Services\Remote Log
Services\cdnprot
Services\cdntran
Run\SearchNet_Up
Run\SearchNet
{2A0176FE-008B-4706-90F5-BBA532A49731}
这个病毒能隐藏进程,所以使用icesword能看到的。
哈哈镜hahajing - 2006-5-11 16:40:00
用二楼的朋友说的先做以下试
无皮下血 - 2006-5-11 19:45:00
朋友还是不行,找不到
请问现在怎么办????
叶·幽思 - 2006-5-11 19:56:00
© 2000 - 2026 Rising Corp. Ltd.