中了Rootkit木马
看看你的系统盘的windows\system32\drivers文件夹下是否有类似sukfhu94.sys这种文件。
这个木马的病毒文件名称在每台电脑中基本上是不同的,但它的命名是有规律的,由6个英文字母和2个阿拉伯数字组成,如sukfhu94这个样子,另一个特征是,在windows\system32\drivers和windows\system32下都有一个同名称不同扩展名的文件,如本例的在windows\system32下就有个sukfhu94.dll文件。
有些杀毒软件说它是“Rootkit.startpage.a”后门病毒,有的杀毒软件则说是“Trojan-Downloader.Win32.QQHelper.mo”盗号木马,个人认为木马隐藏这么深,这么难清除,制作者本意并非是盗QQ号这么简单。偶是2006年10月2日发现这个木马的,到10月中旬各大杀毒软件才陆续发现它,但至今都不能杀掉,要用下面介绍的手工方法清除。
现已证实:安装“FlashGet 1.73 build 128 简体中文版”是感染此木马的途径之一。查看一下你的FlashGet安装文件的“属性”,如果“大小”这一项是“3.95MB(3,099,772字节)”的话,那么你就在受害者之列了。中了这个木马,好像对系统的速度等性能没有什么影响,只是有些人反映:“鼠标自己会乱动”。
解决方法:
1、先运行regsvr32 -u sukfhu94.dll来反注册sukfhu94.dll;
2、然后到windows\system32下找到sukfhu94.dll用Unlocker解锁(事先得装Unlocker这个软件),之后删掉它;
3、再到windows\system32\drivers下删除sukfhu94.sys文件;
4、打开注册表,搜索sukfhu94,在
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
下会找到有关sukfhu94的“项”,全部删除它们。(删除时会提示出错,此时应提升“权限”,之后就可以删了)
5、重启进安全模式,再搜索一次上述“项”,然后删除它们。
转自http://softbbs.pconline.com.cn/topic.jsp?tid=6066133
楼主所说的瑞星杀不了是指瑞星杀毒软件对此病毒不处理?还是可以清除,但是再杀还有?
果瑞星软件检测到病毒后,处理状态为“不处理”,请您首先检查病毒隔离区中的剩余空间,如果剩余空间不足,请调整空间容量后再进行病毒扫描,测试问题是否解决。
设置病毒隔离区中空间方法:
打开瑞星软件主程序【杀毒】选项页,依次点击此选项页下方的【查看病毒隔离区】-【设置空间】按钮。
如果问题依旧,请您在瑞星网站邮件服务中心(http://mailcenter.rising.com.cn/pcnew.aspx)上报被提示不处理的染毒文件,并请在邮件中说明情况,工程师会尽快分析检测。
提示:在杀毒扫描结果的窗口中,右键点击“不处理”的条目,会有一项“定位此文件”。
如果是总杀总有,楼主是否为局域网环境。如果是局域网环境,请楼主断网后重新杀毒。如断网后杀毒不再出现杀毒总杀总有的情况,说明病毒是通过局域网传播,请楼主全网进行杀毒,并安装系统补丁。
如果断网杀毒仍出现总杀总有,或楼主本身为家庭用户单机上网的情况,说明计算机内是有未知病毒体不断释放该病毒文件导致。请楼主上报听诊器和autoruns日志信息和瑞星日志备份的db文件
听诊器下载地址:http://it.rising.com.cn/Channels/Service/2006-07/1153115164d21020.shtml
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名的.dll文件存在,有的话,一并删除。
4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。
5.重启电脑,这个东西应该清除干净了。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024