关于rootkits回写问题的说明
关机回写
是rookits躲避查杀的重要方法
由于其在内存中并不是以活动的进程存在
导致内存杀毒对其无效,从开机到关机期间病毒始终寄存于内存,即时病毒文件被删除,仍会回写至硬盘
导致下次开机,仍显示出rootkits被删除,病毒开机次次有的情况,开机次次删
解决方法核心:
抑制病毒回写法1.开机报毒,瑞星提示删除后
立即按主机箱的重启键
重启计算机
法2.我的电脑-属性-硬件-设备管理器
选择“查看”-“显示隐藏的设备”-非即插即用驱动程序“
找到被报为rookits的驱动程序
将其禁用禁用/卸载
法3.免疫文件夹方法
找到病毒所在文件夹
用建立同名文件夹的方法抑制病毒
我的rookits处理历史:
我曾中过回写rookits
病毒为Rookit.win32.Agent.bkh
路径C:\WINDOWS\system32\drivers\320091.sys
处理方法:
前提瑞星开机已将病毒文件删除
我在C:\WINDOWS\system32\drivers
文件夹里建立名为320091.sys文件夹
(如果分区是是NTFS用户,建议将该文件夹设为:取消everyone的任何权限)
法4.借助安天一款小工具
靠其抑制病毒再生
法5.靠主动防御抑制病毒回写
还是3楼的例子
病毒无非是关机时向
路径C:\WINDOWS\system32\drivers\的drivers文件夹写入东东罢了
解决方法:08版解决方法:
主动防御操作方法先参考
http://bbs.ikaka.com/showtopic-8407471.aspx瑞星杀毒软件-防御-应用程序访问控制
添加程序*
去掉”系统动作限制“里的全部√注册表和文件访问控制里添加
针对文件的访问限制
监控对象
C:\WINDOWS\system32\drivers
(
选择包含子目录)
将触发修改,创建的动作一律选为拒绝然后确定或应用规则最后重启计算机
PS:(1).按照该方法杀灭病毒后要取消那条规则,否则,后果严重(2).09版规则待09版正式发布后再公布
6.NFTS权限干死rookits
rookits回写
总是回写特定的目录
所以要对rookits回写的特定目录设置权限
禁止任何用户向该目录写入数据/文件
7.XDElbox
适用范围:
拷boot.ini启动的系统,且系统安装在C盘
将病毒完整路径列出
如
先勾选抑制再生,
删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。 C:\WINDOWS\system32\drivers\320091.sys
PS:必须勾选那两个对勾!!
注:1.以上方法使用前提是开机时病毒文件已经被瑞星杀毒软件监控杀掉,病毒文件不存在了;如开机后,瑞星未处理rookits病毒文件,病毒文件还存在,建议使用http://bbs.ikaka.com/showtopic-8442813.aspx3楼除了XDELBOX以外的工具处理病毒2.关于病毒路径
可打开病毒隔离系统看下便知3.实践证明,方法2结合其他方法,效果最好用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3
