瑞星卡卡安全论坛

病毒：RootKit.Win32.Undef.hh
用瑞星杀不了，每次开机都会有，那个文件都删除不了
请各位大侠帮帮忙。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; TencentTraveler )

报上病毒文件路径，名称

删不了？
是删除后反复再生吧:default3:

C:\WINDOWS\drivers\kfddy9.sys
对，就是反复再生，就快烦死我了

上面的打错了，不好意思，
C:\WINDOWS\system32\drivers\kfddy9.sys

瑞星删除病毒后
C:\WINDOWS\system32\drivers\里新建名为kfddy9.sys 的文件夹
重启计算机看看

Rootkit.win32.undef.hh 是隐蔽程序
Rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。
可以所有这些工具来清除：
例如：
AVG Anti-Spyware
Windows清理助手
a-squared Free
AVG的反Rootkit软件

这个病毒处理的难度
在于控制其硬盘回写

能不能自己手动杀掉？

其实已经瑞星杀掉了
我让你建和病毒同名文件夹
就是为了防止关机时病毒从内存回写到硬盘
小把戏玩死病毒:default6: :default6:

你扫描一份日志看下，看下还有没其他帮凶，日志扫描工具及用法见下面链接
http://bbs.ikaka.com/showtopic-8536393.aspx

汗死
整什么日志呀:default3: :default3:

附上windows清理专家。

重启了，再用瑞星查杀了，没有查到病毒了
太感谢你了，:default69:
也谢谢6楼给出的宝贵意见。:default7:

感谢各位了:default7: :default7: :default7:

该用户帖子内容已被屏蔽

rootkit类病毒是极难处理的，采用rootkit技术的病毒可以很好的隐藏自身，资源管理器甚至查不到这个路径，就算你打开查看所有文件也是这样。

按杀毒软件提供的路径，记下来 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的）
1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。用同样的方法排查下system32文件夹，看看有没有同名的.dll文件存在，有的话，一并删除。

4.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。

5.重启电脑，这个东西应该清除干净了。

另外，你如果嫌上面的方法比较麻烦的话，你可以下载一个超级巡警来扫描查杀这一类的病毒，安装好这个软件后，点击：设置，选择扫描选设置下的特殊模块，勾选这个选项里的2个选项。然后重启这个软件，一般就可以将这一类的病毒清除了。

6、直接下载个AVG Anti-spyware7.5在安全模式下查杀就ok了！！
7.下载一个解锁软件,在找到sys病毒文件后将他解锁再将他删除就可以了,这个苦头兄弟我也是吃过呢,郁闷啊,祝好运呢
unlocker下载地址:http://www.onlinedown.net/soft/24732.htm