rootkit恶性木马病毒(木马病毒通过释放rootkit驱动程序)
Rootkit病毒 是怎么回事?
检测病毒体文件Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。手工清除病毒1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。
电脑中了rootkit病毒该怎么办?
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢,答案是不行的。
首先在染毒的系统下该文件是受保护的,无法被删除。即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。
一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件,一并处理。但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。
在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。
端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。
在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。
进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。
手工清除病毒
1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。
2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。
3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。
4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。
5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。
这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。
因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。Window PE和360系统急救箱杀毒原理说明
Windows预安装环境,它包括运行安装程序、磁盘文件操作、连接网络共享以及执行硬件验证所需的最小Windows 功能集。WinPE就是一个超级迷你版的 Windows。WinPE系统由于超级迷你,可以非常方便地安装在U盘中,或者刻录到光盘,从而可以通过U盘或光盘启动电脑。
通常情况下,当电脑中招后,在系统的启动序列上,杀毒软件位于木马病毒运行之后。这点导致杀毒软件在处理已感染病毒的电脑时存在技术劣势。因为木马优先运行的驱动可以造成杀毒软件加载失败,木马还会使用各种Rootkit技术隐藏自身的文件、进程、模块甚至使用ShellCode方式攻击系统和杀毒软件信任区、阻扰杀毒软件联网、修改杀软的云端查询结果,让杀软处于被动。而WinPE系统则为这种情况下彻底清除恶性木马病毒提供了崭新的思路。用带有WinPE系统的U盘或光盘引导电脑后,新的格局出现了:无论多么顽固的木马也是死马、废马,它的各种花招没有机会使用,现出原形,俨然成了杀毒软件的刀下鱼肉。
360系统急救箱依靠强大的研发实力解决了种种难题,首创了WinPE版的急救箱,既充分发挥了WinPE系统带来的优势,又妥善处置了系统中的各类高端木马,例如MBR病毒、驱动木马、网络劫持类木马、替换系统文件的木马以及白利用木马等等。
2/5
U盘安装WinPE系统
1.下载U盘启动工具
百度搜索 "u盘启动系统" 或者 "u盘pe系统" 找到相应工具后安装。
2.制作启动U盘
运行安装好的U盘启动工具,将准备好的U盘插入电脑USB接口。以老毛桃pe工具为例说明,一键制作USB启动盘
展开长图
3/5
电脑启动设置
将360系统急救箱WinPE版拷贝到制作好的启动U盘中。设置中了病毒的电脑BIOS引导序列,将启动项设为U盘优先。然后重新启动电脑,引导进入WinPE系统。
4/5
运行系统急救箱
进入PE系统后,找到并运行U盘内的360系统急救箱。开始杀毒。
查看剩余2张图
5/5
重启电脑
拔掉插在电脑上的U盘,重启电脑到正常系统,再用安全软件查杀,确保电脑没有病毒。
电脑里有Rootkit,一直中木马,怎么办啊?
如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
啥是Rootkit恶性病毒?
一种很老的病毒了。一般安装杀毒软件防护就可以了。可以用腾讯电脑管家,电脑管家能够快速全面地检查计算机存在的风险,检查项目主要包括木马、高危系统漏洞、垃圾文件、系统配置被破坏及篡改等。发现风险后,通过电脑管家提供的修复和优化操作,能够消除风险和优化计算机的性能。电脑管家建议您每周体检一次,这样可以大大降低被木马入侵的风险。
电脑中了“rootkit”病毒了,怎么杀
可以用360安全卫士8.1正式版。
打开360安全卫士软件,点击系统修复,扫描后点击右下角的“一键修复”,点击清理插件,如有恶评插件把前面的勾选上。点击右下角的“立即清理”,再清理系统垃圾。再点击查杀木马,使用全盘扫描功能,如发现有威胁的程序,请点击右下角的“立即处理”。