rootkit

你需要内核级的工具

可以安装一个电脑管家在电脑上然后选择左侧的病毒查杀功能然后全盘杀毒，就可以检测出电脑木马病毒了若检测安全就说明没病毒

Win32:Rootkit-BB [Trj]　　病毒名称:Win32:Rootkit-BB [Trj]　　中 文 名:“顽梯”变种 　　病毒长度:可变 　　病毒类型:恶意驱动程序 　　危害等级:★★ 　　影响平台:Win 9X/ME/NT/2000/XP/2003 　　Win32:Rootkit-BB [Trj]“顽梯”变种d是一个恶意驱动程序，开启被感染计算机的后门，未经授权访问用户计算机。“顽梯”运行后，在系统目录下或Windows目录下创建病毒副本。修改注册表，实现开机自启。开启被感染计算机的后门，未经授权访问用户计算机。用户第一次运行该程序，屏幕显示虚假错误信息，隐藏自我，在后台感染用户计算机。 　Win32:Rootkit-BB [Trj]病毒怎样查杀　　手动通杀办法（建议在安全模式下操作）：　　一、显示所有文件。　　断开网络连接，打开“我的电脑”，依次打开菜单“工具/文件夹选项”，然后在弹出的“文件夹选项”对话框中切换到“查看”页，去掉“隐藏受保护的操作系统文件（推荐）”前面的对钩，让它变为不选状态，在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项，去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态，最后点击“确定”。　　二、寻找病毒注册表信息。　　打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，进入到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键下，在右边列中，找到一个名为“；Rundll”的值，如果找到请双击打开看，查看并记下“数值数据”中指示的文件及路径名，一般为“C:WINNTSystem32XXXX.exe”的形式（但并不固定，这要根据具体的环境而变化），注意其中的“XXXX.exe”代表的是任意值，并不固定，而不是4个X，所以这时一定要记清这个“XXXX.exe”所代表的文件名，记下后然后从注册表中删除这个“；Rundll”值；　　三、结束病毒进程。　　按Ctrl+Alt+Del键弹出任务管理器，找到在上面第二步中记下的“XXXX.exe”的进程（注意这里的XXXX.exe是具体的名称而不是4个X）。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程；　　四、删除病毒文件。　　打开资源管理器进入到系统目录WinntSystem32下（如果您的win2000/nt/安装在C盘则就是 C:WinntSystem32）。找到XXXX.exe和XXXX.dll文件然后直接删除它们（当然，这里的XXXX所代表的仍然不是4个X，而是具体的名称）；如果在删除过程中发现XXXX.dll删除不掉，而是报告“文件正在使用中无法删除”，则可以注销或重启一下电脑，然后再按此方法找到并删除它就可以了。　　五、问题已解决，系统恢复正常。[1]

到安全模式找到路径下的文件,卸了然后清理注册表

E安全9月19日讯两位安全研究人员已经开发出一套无法被检测到的PLCRootkit，且计划在即将召开的2016欧洲黑帽大会上公布。作为持续性攻击、网络罪犯以及国家支持型入侵活动的重要指向目标，能源行业长久以来一直成为网络安全领域的软肋所在。当年出现的Stuxnet——即震网病毒，就已经让IT行业意识到网络攻击的危险后果。事实上，威胁组织者们完全有能力将恶意代码传播至关键性基础设施的内部运作流程当中。而在即将召开的欧洲黑帽大会之上，又一种新型攻击手段将闪亮登场，其能够悄无声息地侵入工业网络流程。荷兰特温特大学分布式与嵌入式系统安全博士生AliAbbasi与独立安全研究员MajidHashemi已经开发出一款无法被检测到的PLCRootkit。两位安全专家将出席计划于11月于英国伦敦召开的欧洲黑帽大会本文源自E安全，并在其间展示这款惊人的PLCRootkit。两名安全研究人员还将展示一款可利用shellcode发起PLC攻击的可用版本。他们的演讲题目为《PLC中的幽灵：设计一款无法被检测到的可编程逻辑控制器Rootkit》。两名研究人员指出，其PLCRootkit可能比Stuxnet更加危险，因为其能够悄然潜入并直接感染PLC——相比之下，Stuxnet的设计目标则在于指向运行在Windows架构之上的SCADA系统。之所以更难被发现，是因为此次公布的PLCRootkit立足于更低系统层级。这套PLCRootkit旨在入侵PLC系统中的底层组件，大家可以将其视为一种跨平台PLC威胁——因为其能够对来自任意供应商的PLC设备实施入侵。“这是一场激烈的竞逐，Abbasi在接受采访时指出。“每个人都希望访问更高层级的SCADA运营组件。未来，攻击者将把目标指向更为底层的攻击对象从而逃避检测，他解释称。直接对PLC系统进行入侵对于攻击者而言更为轻松，因为此类设备一般不具备强大的检测机制，这意味着运行有实时操作系统的PLC更易受到网络攻击的影响。今年8月，另一研究团队在美国黑帽大会上公布了一款PLC蠕虫病毒，其能够在各PLC设备之间往来传播。这一病毒被定名为PLC-Blaster。Abbasi与Hasemi解释称，他们的PLCRootkit并不像其它同类威胁那样将目标指向PLC逻辑代码，因此更难被检测及发现。此外，两名研究人员解释称，该PLCRootkit的活动将不会被负责监控PLC能耗水平的方案所发觉。“我们的攻击游离于内核之外，且运行负荷低于1%本文源自E安全，这意味着即使相关方案能够监控PLC的功耗情况，仍然无法借此发现我们的攻击手段，Abbasi解释道。该恶意软件会干扰PLC运行时与逻辑同I/O外设间的连接。该恶意软件驻留在工业组件的动态内存当中，且操纵相关I/O及PLC流程，同时影响PLC进行通信交互用以处理流程物理控制的输出I/O数据块。PLC会从输入PIN的字段当中接收信号，同时利用PLC输出PIN依据接收到的指令进行执行器控制。很明显，篡改I/O信号意味着攻击者有能力悄无声息地对工业流程加以干涉，而这也正是此PLCRootkit的目的所在。“我们的攻击指向I/O外设与PLC运行时及逻辑间的交互。在我们的攻击方案当中，PLC逻辑与PLC运行时并不会受到影响，Abbasi表示。“在PLC当中，I/O操作正是最为重要的任务之一。正如两位研究人员所言，此类攻击对于缺乏硬件中断机制的PLC系统芯片确实具备可行性，且无法被Pin控制子系统中的硬件层级Pin配置所检测到。Abbasi与Hashemi目前正在研究相关防御对策，旨在检测并保护PLC免受此类威胁的影响。E安全注：本文系E安全编辑报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：①微信号zhu-geliang②邮箱eapp@easyaq.com

rootkit清除工具http://www.gougou.com/search?search=rootkit&id=3

楼主你好，我来给你解释一下由于ROOTKIT类的木马都有服务和驱动来保护他，无论是号称杀毒能力最强的卡巴斯基还是NOD32,无论是金山毒霸还是瑞星杀毒，都不行。这不是说你的杀毒软件不好，只是这些木马病毒太顽固/太难根除。所以说，杀木马的话最好的工具还是专杀！可以先试试安全模式下用你的杀毒软件杀毒，这个方式下会杀毒的比较彻底，某些病毒就可以被清除了。重启按F8选择进入安全模式下有个图>>http://hi.baidu.com/teyqiu/blog/item/19cd7bcbc9ef4e16be09e6df.html=杀毒软件不行的情况下，就用专门的工具，绝对搞定的。这些专杀工具很有效的，你抓紧试试了。效果由强到弱，有兴趣你可以都试试，都是绿色的软件，与当前的杀毒的和工具都不冲突。1.windows清理助手3.0对流行木马和IE弹广告窗口等有奇效！！！地址http://www.arswp.com/download/arswp2/arswp2.rar简介：短小精悍，首选工具！简要用法：扫描出来的东西，打勾，点清理即可（如提示重启就重启下电脑）.-2.强力推荐贝壳安全的木马专杀:扫描系统文件夹一绝!!（这个是玩网络游戏的人必备的工具，文件超小，但扫描效率很高）下载地址http://www.beike.cn/《贝壳木马专杀》是国内首款专为网游防盗号量身打造的，完全免费的木马专杀软件；小于500kb的轻小体积，纯绿色的免安装模式，适合玩家快速下载使用。-3.360出的顽固木马专杀（注意不是360安全卫士）http://www.360.cn/killer/360compkill.html简介：可查杀机器狗、U盘病毒、磁碟机,最新各类流行木马等数十种顽固型木马；并修复360安全卫士及360保险箱

ROOTKIT的WIN32型木马一般是隐蔽木马 很难发现通常都伪装成系统文件一般是后门程序会留一个木马后门在PC用户里方便HACKER下次进攻留下一道门这个门就是木马 所以一般会隐藏的比较好卡巴有专门的ROOTKIT扫描但我觉得手动删除比较好（针对有点基础的人）可以使用UNLOCKER和冰刃 更推荐使用冰刃可以检查隐藏进程 和后门服务也有UNLOCKER的功能（强制删除文件）

既然查出来了就说明有病毒，瑞星杀不掉就换款试试，实在不行重装。

Win32.Hack.Rootkit病毒解决办法杀病毒常用方法：1、有多操作系统的用户，可以通过引导到其它系统删除所有病毒文件，彻底清除。2、按Ctrl+Alt+Delete调出任务管理器，在进程页面中结束掉所有名称为病毒的进程（建议在后面的操作中反复此操作，以确保病毒文件不会反复发作）。3、在开始－－运行中输入“regedit”（XP系统）打开注册表，点“编辑”——“查找”，在弹出的对话框中输入病毒文件名，找到后全删。4、在我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉，你会看到出现了你所说的文件名的文件，直接删除原因：该木马病毒具有以下特征：自我隐藏，自我保护，自我恢复，网络访问，后台升级，监视用户操作，很难彻底删除。

去安全模式下的注册表里删然后再删除文件记得启动项也要检查

其实，早在DOS时代就有不少病毒能够自动重启你的计算机。对于是否属于病毒破坏，我们可以使用最新版的杀毒软件进行杀毒，一般都会发现病毒存在。当然，还有一种可能是当你上网时被人恶意侵入了你的计算机，并放置了木马程序。这样对方能够从远程控制你计算机的一切活动，当然也包括让你的计算机重新启动。对于有些木马，不容易清除，最好重新安装操作系统。以上内容参考http://www.yiqigxfc.com/

如果已经被安装了rootkits请赶快下载一个ANTI-ROOTKITS软件进行清除，如果你运气不错，遇到一个垃圾rootkits，那也就好办了，但如果遇到一些NB的rootkits，即使ANTI-ROOTKITS软件检测出来了，它也不推荐你清除，为什么？？一清除系统就挂了！遇到这种rootkits只有两种方法，1.还原2.重装！

使用杀毒软件

Rootkit.Vanti“顽梯”变种d是一个恶意驱动程序，开启被感染计算机的后门，未经授权访问用户计算机。“顽梯”运行后，在系统目录下或Windows目录下创建病毒副本。修改注册表，实现开机自启。开启被感染计算机的后门，未经授权访问用户计算机。用户第一次运行该程序，屏幕显示虚假错误信息，隐藏自我，在后台感染用户计算机。

开机是,摁"F8" 选择"安全模式"进入系统.再按楼上那位说的步骤应该就OK了.

下载大蜘蛛杀毒软件杀毒，记得要卸载江民

有个和你这个问题类似的你可以试试http://zhidao.baidu.com/question/2777995.html

朋友可以尝试通过360手机助手来强力删除试试。

你可以用这个软件到安全模式下去处理试试： 按杀毒软件提供的路径，记下来 1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html) 这是一个绿色软件，下载解压缩后即可使用。然后重启机器到安全模式下。 2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。右击这个文件，选择－－删除。 3.搜索注册表里这些文件的键值，删除搜索到的。（不一定有） 4.重启电脑，这个东西应该清除干净了。 如果重启后问题还在，请用同样的方法到Windows/system32和Windows/system32/drivers这2个文件去检查下。

联想电脑管家每次病毒查杀都有Rootkit/Sign Thief.i，升级杀毒软件,把病毒库更新至最新。打开腾讯电脑管家的病毒查杀。选择闪电杀毒，全盘杀毒或者指定位置杀毒（3种模式，根据自己需要）。耐心等待扫描结束，若有异常，可点击处理，清理掉病毒。若遇到顽固或杀不掉的病毒，可以选择在安全模式下打开腾讯管家按上述步骤进行杀毒。完成病毒查杀后系统会提示【必须重启计算机才能使应用生效】，点击【立即重新启动】。

1、这个是一种蠕虫木马，破坏在于能查看你在浏览什么、做过什么、密码怎么输入等，可以执行远程控制，并能自动生成伪文件名等，建议你测底的查杀。建议您木马查杀时勾选界面的“强力模式”，重启2-3次即可清除木马。提高防杀毒意识。不要轻易去点击陌生的站点，有可能里面就含有恶意代码！2、蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序（或是一套程序），它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中（通常是经过网络连接）。3、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展！另外，面对防不胜防的网页病毒，也使得用户对杀毒软件的要求越来越高！经常升级病毒库，杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。

rootkit类病毒是极难处理的，采用rootkit技术的病毒可以很好的隐藏自身，资源管理器甚至查不到这个路径，就算你打开查看所有文件也是这样。 按杀毒软件提供的路径，记下来 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的） 1.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html) 这是一个绿色软件，下载解压缩后即可使用。 2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。 3.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。用同样的方法排查下system32文件夹，看看有没有同名的.dll文件存在，有的话，一并删除。 4.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。 5.重启电脑，这个东西应该清除干净了。 另外，你如果嫌上面的方法比较麻烦的话，你可以下载一个超级巡警来扫描查杀这一类的病毒，安装好这个软件后，点击：设置，选择扫描选设置下的特殊模块，勾选这个选项里的2个选项。然后重启这个软件，一般就可以将这一类的病毒清除了。 6、直接下载个AVG Anti-spyware7.5在安全模式下查杀就ok了！！ 7.下载一个解锁软件,在找到sys病毒文件后将他解锁再将他删除就可以了,这个苦头兄弟我也是吃过呢,郁闷啊,祝好运呢 unlocker下载地址:http://www.onlinedown.net/soft/24732.htm

重装系统，什么东西都没有了，就不会再有病毒了。你这个病毒属于木马病毒是在系统文件中，所以重装系统就没有了，以前有隐藏在分区表中的病毒，不过现在已经没有了，那种病毒重装系统是没有用的。

木马，可能是远程控制或盗密码你可以搜索 xinshouwudu 这个词来看下

重装一下系统就可以解决。回答完毕，请采纳

先安装杀毒软件继续差啥一下就行了。

分类: 电脑/网络 >> 反病毒 问题描述: 一共四个毒都在windows/system32里 fhvhcs94.sys中了Rootkit.Ganima.f fjiumhtj.sys中了Rootkit.Ganima.h eihtlgsi.dll中了Trojan.DL.Direct.eofhvhcs94.dll中了Trojan.DL.Agent.zda 四者用瑞星安全模式均无法杀掉，试用iceword删掉了其中两个文件eihtlgsi.dll和fhvhcs94.dll后开机时出现错误报告并且等待时间巨长，但是用起来没有问题，并且这两个文件表面上看不到实际上没有删掉。欲用killbox等工具又怕误删了系统文件，非常郁闷！求高手赐教，（不要重装）杀毒成功后加分！ 解析: 这是因为你没有彻底清除这个病毒导致的，你即已会用冰刃这个软件，那么按下面的方法再查杀一次。 （这种类型的病毒，杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的） 1.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。没有报告的话，你可以到这个文件夹去查看有没有与这2个DLL文件同名的.sys文件或创建时间相同的.sys文件，有的话，一并删除。 2.搜索注册表里这个文件的键值，删除搜索到的－－如果有的话。 3.重启电脑，这个东西应该清除干净了。

重启电脑按F8进入安全模式下，使用腾讯电脑管家杀毒软件，全面的查杀病毒程序，总计四大反病毒引擎：腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎，也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎，还应用了国外两大品牌的本地查杀引擎，有力的保障了对病毒的精准查杀！！可以彻底的清理干净病毒木马程序！！

fu_rootkit可以隐藏进程和驱动，改变进程令牌和SID，例举用hook技术隐藏的进程和驱动，而且它是公开源代码的。 =============================================== 我在2004年11期黑防上刊登了《小工具巧删Guest/Administrator账户》这篇文章，有不少朋友来信询问工具是如何编写的，其实这个工具里面大部分代码是我拷贝FU_Rootkit过来的。既然朋友们喜欢，这几天我又多了好多想法，那我就来讲讲怎么充分挖掘利用FU_Rootkit吧！ 先去www.rootkit.com把FU_Rootkit 给Down下来，以前它在Windows 2000专业版下面提升进程权限有问题，新版本已经修复这个问题。FU_Rootkit也算是“养在深闺人未识”了，比起Hxdef、AFX RootKit来名气小多了，不过是金子终究是要发光的，这不，今天我们就让它来发光了！ FU_Rootkit是开源的，用C语言编写，很容易移植。我的开发环境是Windows 2000+SP4+VC6.0。FU_Rootkit主程序包括2个部分：Fu.exe和Msdirectx.sys。 Msdirectx.sys能直接载入核心内存，Fu.exe则是相应的应用程序。先来看看它的部分功能： [-pl] xxx 列举所有运行进程 [-ph] #PID 隐藏进程标识符为PID的进程 [-pld] 列举所有载入驱动程序 [-phd] DRIVER_NAME 隐藏指定驱动 [-pas] #PID 提升进程标识符为PID的进程权限至SYSTEM [-prl] 列出可用的权限名单 [-prs] #PID #privilege_name 提升进程标识符为PID的进程权限至指定权限 [-pss] #PID #account_name 改变进程令牌和SID 可以看出FU_Rootkit不仅可以隐藏进程和驱动，改变进程令牌和SID，还可以例举用Hook技术隐藏的进程和驱动。我们今天要做的就是利用Msdirectx.sys完成我们自己的黑客工具集的编写！ 权限提升 有了权限我们才能任意地操作，让电脑为我们实现各种功能，所以第一步首先是权限提升。 我们知道，提升进程权限可以用Psu工具，FU_Rootkit也能够实现这个功能，它可以将任意进程提升到SYSTEM权限——不光可以给其它进程提升权限，还可以把自己的进程也提升为SYSTEM权限哦（在下面的文章中你将可以看到这个功能是多么的有用）！ 第一步：载入Msdirectx.sys 具体代码见InitDriver()函数。其实朋友们大可不必完全看懂这些代码，把函数直接拷贝过去就OK了。 第二步：查找进程的PID 代码如下： const char DESTPROC[19] = "UserManager.exe"; // UserManager.exe是程序的进程名称 AddPrivilege(SE_DEBUG_NAME); //提升进程DEBUG权限 HANDLE hRemoteProcess = NULL; DWORD pid = ProcessToPID(DESTPROC);//这里的pid就是我们进程PID // ProcessToPID函数如下： DWORD ProcessToPID(const char *InputProcessName) //将进程名转换成进程PID的函数 { DWORD aProcesses[1024], cbNeeded, cProcesses; unsigned int i; HANDLE hProcess = NULL; HMODULE hMod = NULL; char szProcessName[MAX_PATH] = "UnknownProcess"; //提升进程权限至DEBUG权限 AddPrivilege(SE_DEBUG_NAME); // 计算目前有多少进程, aProcesses[]用来存放有效的进程PIDs if ( !EnumProcesses( aProcesses, sizeof(aProcesses), &cbNeeded ) ) { return 0; } cProcesses = cbNeeded / sizeof(DWORD); // 按有效的PID遍历所有的进程 for ( i = 0; i < cProcesses; i++ ) { // 打开特定PID的进程 hProcess = OpenProcess( PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, aProcesses[i]); // 取得特定PID的进程名 if ( hProcess ) { if ( EnumProcessModules( hProcess, &hMod, sizeof(hMod), &cbNeeded) ) { GetModuleBaseName( hProcess, hMod, szProcessName, sizeof(szProcessName) ); //将取得的进程名与输入的进程名比较，如相同则返回进程PID if(!stricmp(szProcessName, InputProcessName)) { CloseHandle( hProcess ); return aProcesses[i]; } } }//end of if ( hProcess ) }//end of for //没有找到相应的进程名，返回0 CloseHandle( hProcess ); return 0; } 第三步：提升进程权限至SYSTEM 具体代码见UpdateToSystem()函数。这样我们的进程UserManager.exe就具备了SYSTEM权限了。 攻击篇 当你得到肉鸡的SYSTEM权限后，当然要把自己的后门进程或驱动器隐藏，然后克隆账号，留个隐藏账号什么的，下面我们就来看看这些功能如何用程序来实现。 1．克隆帐号 各位朋友看到小榕的CA工具是不是很眼馋，想不想自己写一个？在黑防2003年的第7期《C语言克隆账号》上已经有具体介绍。一般来讲，克隆账号的方法有2种：一种是利用系统服务的SYSTEM权限读写SAM文件；第二种是利用驱动提升进程权限。我们这里采用第二种办法。在《C语言克隆账号》一文中，由于其不具备SYSTEM权限，需要手工修改注册表才能够操作注册表SAM文件夹，比较麻烦。在我们这里当然是没有问题的，将其代码COPY过来，粘在我们工程里面就可以了。 2．进程隐藏 进程隐藏实乃木马病毒的必备防身本领，FU_Rootkit中的最基本功能之一就是进程隐藏，首先我们要知道进程的PID或者进程名，然后才能将它隐藏，隐藏代码如下： DWORD HideProc(DWORD pid)//pid是你要隐藏的进程的PID { DWORD d_bytesRead; DWORD success; if (!Initialized) { return ERROR_NOT_READY; } success = DeviceIoControl(gh_Device, IOCTL_ROOTKIT_HIDEME, (void *) &pid, sizeof(DWORD), NULL, 0, &d_bytesRead, NULL); return success; } 假如你要想找出隐藏的进程，可以采用工具RTDector0.62工具，黑防以前就介绍过。 3． 驱动隐藏 驱动隐藏？很少见吧。有经验的管理员一般都会使用命令Drivers.exe来查看载入的驱动（Drivers.exe可以在Windows 2000的资源包里面找到）， 看到Msdirectx.sys暴露出来了吧？而FU_Rootkit就可以把自己的 Msdirectx.sys隐藏起来，运行的命令是：“C:fu.exe –phd msdirectx.sys”。当然这个功能我们也可以很轻松地移植到我们的程序中去。 防御篇 千万不要以为FU_Rootkit得到SYSTEM权限只是用来攻击，不能防守，其实Rootkit是一把“双刃剑”，运用得当，同样是防御的好帮手。同时，作为一名菜鸟，当然是防守为先，所以请看防守篇。 1． 系统用户查看 眼下只要翻开一本黑客杂志，经常看到什么“隐藏帐号”、“不死帐号”什么的，吓得我等菜鸟心惊胆颤，经常对着用户管理发呆，究竟有没有问题呢？这里我们可以利用LPUSER_INFO_3读取用户信息，包括用户名、用户全名、用户描述、登录次数、登录权限以及上次登录时间等参数，代码较长而且简单，这里就不贴了，有兴趣的可以查看DWORD CUserManagerDlg::UserALLE()函数。 当然，列举账号可以直接从SAM\SAM\Domains\Account\Users\Names中读取，然后与LPUSER_INFO_3中读出来的账号进行对比，这样就能找出隐藏的账号，将那些隐藏的、不死的统统打回原形，让你把账号看得“清清楚楚，明明白白”。 2． 删除Guest 先来看看如何删除Guest用户吧。获取SYSTEM权限后，只要删除在注册表SAM文件夹中对应的Guest和000001F5文件夹就OK了！ void CUserManagerDlg::Deleteguest() { BOOL upResult; upResult=UpdateToSystem(); //先查看一下进程提示权限至SYSTEM成功没有 if(upResult)//如果权限提升SYSTEM成功的话 { // 删除GUEST用户！ BOOL dResult; dResult=DelNT(HKEY_LOCAL_MACHINE,"SAM\SAM\Domains\Account\Users\Names\Guest");//删除Guest文件夹 BOOL dResult2; dResult2=DelNT(HKEY_LOCAL_MACHINE,"SAM\SAM\Domains\Account\Users\000001F5");//删除guest对应的ID号000001F5文件夹 if(dResult&&dResult2) { AfxMessageBox("成功删除GUEST用户！"); } else { AfxMessageBox("删除GUEST用户失败！"); } } else { AfxMessageBox("提升至SYSTEM权限失败！"); } } 其中DelNT（）函数是专门定义用来删除注册表子键的函数。 3． 删除Administrator 看到标题你可不要吓一跳，Administrator一般情况下是不能删除的，当然你可以到控制面板->管理工具->计算机管理里面重命名该账户，也可以使用NT Resource Kit提供的Passprop工具启用对Administrator的锁定。我们这里当然要挑战极限：删除Administrator！代码跟删除Guest用户的代码差不多，换个参数就可以了，分别删除注册表SAM文件夹中的Administrator和000001F4文件夹就可以了。而且可以在Administrator当前用户下删除，强吧？嘿嘿。假如你只有这么一个管理员账号的话呢，不好意思，恭喜你：你的机器上从此没有管理员了！ 小提示：强烈建议删除Administrator之前一定要先创建一个其它名字的管理员账号！据《微软信息安全文集》中说，删除Administrator和Guest系统内置账户有可能导致破坏SAM数据库，不过《微软信息安全文集》的作者同时声明：经他测试，没有发现副作用。 4． 查杀进程篇 朋友们是否经常遇到这种情况：在任务管理器中发现一个未知进程，并且杀不掉，说是权限不够，这个问题在我们获取System权限后就不再是问题，现在病毒、木马等都是双进程，互相监控，给我们查杀进程带来很大不便，需要我们能够同时查杀多个进程。选用Listview控件作为进程的列举控件，将Checkbox选项选中，这样我们就可以同时选中多个进程进行查杀，爽吧？！ 5． 列举用Hook技术隐藏的进程和驱动 这个功能就是FU_Rootkit的过人之处了，可以帮助你查找利用HOOK技术隐藏的进程和木马。实现方法比较简单，大家可以去源码中查看ListProc(void *buffer, int buff_size)和ListDriv(void)函数。 本文利用FU_Rootkit获取SYSTEM权限后，完成了很多实用的黑客小工具， System和Administrator权限一般人看起来感觉都差不多，但在一些与系统内核交互的细节上，可以看出System权限要更大一些。譬如说注册表中的某些文件夹、对物理内存有读写能力等方面。因此，获取System权限后所能做的事情远远不止我们上面所说的这些，希望大家共同挖掘。 http://www.rootkit.com/上有很多开源的好资源，研究并扩展其功能便可以写出很多有用的小软件。将其功能添加到我们小马中去，将会大大提高其生命力。朋友们，现在是不是感觉黑客软件不过如此，人人能写？如果是这样，也不枉费我一番苦心。由于工作关系，时间确实有限，不可能将上面的功能全部一一实现在代码中，其实已经是体力活了，很多功能都只需要把代码COPY进去就可以了。特将删除Guest/Administrator的小工具和FU_Rootkit的代码附上，朋友们升级了可要寄给我一份哦！

用这个Morphine 软件脱

以下方法为Rootkit病毒的简易处理方法： 用rootkit.agent专杀工具对病毒进行查杀rootkit病毒常见为rootkit.agent.dl、rootkit agent py、rootkit.agent.nb1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾 2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） 3.选用木马克星或木马杀客之类的木马专杀工具进行清除即可！

可以用腾讯电脑管家，全方位保护账号安全，精确打击木马，瞬时查杀风险。电脑诊所，针对日常电脑问题进行修复和处理，覆盖问题范围广泛，快速搜索，智能匹配，一步一轻松解决电脑问题。实时全方位保护用户电脑免受木马攻击。

遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等1endurer 原创2008-03-05 第1版今天，一位网友说他的电脑昨天下午突然变得很慢，只好强制关机，今天开机时有黑色窗口闪过，用瑞星查杀出一些病毒，但系统反应还是比较慢，让偶帮忙检修。详细内容见： http://blog.gxsky.com/blog_view_317864.html

现在的确是有很多病毒直接装个电脑管家在电脑上然后选择病毒查杀，然后检测电脑病毒，最后查杀删除就行

用360卫士啊，它的木马查杀采用五大查杀引擎，很可靠的，不行的话使用360系统急救箱，它可以强力查杀啊

....

中了Rootkit木马 看看你的系统盘的windowssystem32drivers文件夹下是否有类似sukfhu94.sys这种文件。 这个木马的病毒文件名称在每台电脑中基本上是不同的，但它的命名是有规律的，由6个英文字母和2个阿拉伯数字组成，如sukfhu94这个样子，另一个特征是，在windowssystem32drivers和windowssystem32下都有一个同名称不同扩展名的文件，如本例的在windowssystem32下就有个sukfhu94.dll文件。 有些杀毒软件说它是“Rootkit.startpage.a”后门病毒，有的杀毒软件则说是“Trojan-Downloader.Win32.QQHelper.mo”盗号木马，个人认为木马隐藏这么深，这么难清除，制作者本意并非是盗QQ号这么简单。偶是2006年10月2日发现这个木马的，到10月中旬各大杀毒软件才陆续发现它，但至今都不能杀掉，要用下面介绍的手工方法清除。 现已证实：安装“FlashGet 1.73 build 128 简体中文版”是感染此木马的途径之一。查看一下你的FlashGet安装文件的“属性”，如果“大小”这一项是“3.95MB（3,099,772字节）”的话，那么你就在受害者之列了。中了这个木马，好像对系统的速度等性能没有什么影响，只是有些人反映：“鼠标自己会乱动”。 解决方法： 1、先运行regsvr32 -u sukfhu94.dll来反注册sukfhu94.dll； 2、然后到windowssystem32下找到sukfhu94.dll用Unlocker解锁（事先得装Unlocker这个软件），之后删掉它； 3、再到windowssystem32drivers下删除sukfhu94.sys文件； 4、打开注册表，搜索sukfhu94，在 HKEY_LOCAL_MACHINESYSTEMControlSet001 HKEY_LOCAL_MACHINESYSTEMControlSet002 HKEY_LOCAL_MACHINESYSTEMCurrentControlSet 下会找到有关sukfhu94的“项”，全部删除它们。（删除时会提示出错，此时应提升“权限”，之后就可以删了） 5、重启进安全模式，再搜索一次上述“项”，然后删除它们。 转自http://softbbs.pconline.com.cn/topic.jsp?tid=6066133

网上搜索一下专杀工具，可以看看江民官方网站有没有。

不是病毒！

你好：实在不行建议重新安装操作系统，简便快捷您好，您的情况，建议：开机后按F8，进入安全模式，使用杀毒软件全盘查杀病毒即可。建议试试腾讯电脑管家，使用多个杀毒引擎，性能强悍，点此下载：腾讯电脑管家官网方法：腾讯电脑管家——病毒查杀——全盘查杀即可。如满意，请点赞哦~腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

http://post.baidu.com/f?kz=213954272我里有专讲这方面的Rootkit病毒以及其变种大概有这些： rootkit.ads.i rootkit.cnsprot rootkit.agent hacktool.rootkit rootkit.ads.h rootkit.vanti rootkit.cnsprot.d rootkit.win32 rootkit.vanti.gen rootkit.ads rootkit.cnsprot.b rootkit.cnsprot.a rootkit.cnsprot.c rootkit agent ly fu rootkit rootkit.callgate.b rootkit.cnspr rootkit.adprot.b rootkit.c rootkit agent lk win32.troj.rootkit win32.hack.rootkit 2006 rootkit rootkit.a rootkit.exe trojan.rootkit troj rootkit.cg new rootkit anti rootkit 破坏性很大。希望你即时处理`

是后门程序，用360安全卫士可以杀掉。360杀木马效果很好。 http://down.360safe.com/setup.exe

ufeff瑞星软件已经永久免费了，建议您到瑞星官网下载最新版本安装包安装后，在安全模式下对电脑进行全盘查杀，看是否有病毒

一种新的扫描技术，是卡巴斯基独有的杀毒模块 Rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。 这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了。 Rootkit扫描是专门针对rootkit进行的一种优化式的扫描方式。 如果在其他扫描中开启了启发分析器，也会检测rootkit的。

rootkit。这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了可以使用腾讯电脑管家杀毒软件，全盘的查杀病毒木马程序的，，杀毒能力一流，特别是查杀免杀病毒给力，扫描速度较快、内存占用较少！！具有“自学习能力”的腾讯自研第二代“鹰眼”引擎，业界首创将CPU虚拟执行技术运用到杀毒软件中，能够根除顽固病毒、大幅度提升深度查杀能力，并大大降低杀毒软件对用户电脑系统资源的占用率希望可以帮到您了

有效。rootkit只不过是一种隐藏式病毒，软件本身并不起破坏作用，它可以隐藏服务和进程，非常强悍，既然你已经硬盘全部格式化了，应该没事，但是不能只格式化C盘，别的盘也应该格式化了，要不然rootkit藏在别的盘，你再装系统也不行。

我以前也用的瑞星,那个不好用对于你的问题是经常事.建议你换卡巴斯基.重装系统比什么问题也好使

rootkit 是一种很强的后门工具，具有很强的权限，能够隐藏指定的（包括自身）进程名、端口名、注册表名、文件夹内容、远程上传、借用端口等功能，是很好的木马辅助工具，所以也可以说是木马工具。毕竟要通过改写内存的内部参数来实现效果，自然会被360查杀。 但是也不排除你的 rootkit 里面有别人的后门，要小心使用。不放心的话可以去下载“黑客之门”。PS：“hide toolz”意思是 “隐藏 工具”

你试过哪些杀毒软件了？建议你找到病毒文件，直接用文件粉碎器把病毒文件粉碎了。

只要是病毒肯定就可以删除这种病毒属于顽固病毒的一种得需要到安全模式下杀毒杀毒软件选择也很重要，得选择有针对这种病毒的专杀工具才行，可以使用电脑管家杀毒。

可以用腾讯电脑管家，占用内存小。而且电脑管家有自己的杀毒引擎叫做TAV自主杀毒引擎，先后满分通过了西海岸，VB100两大权威评测，算是国际领先水平了，可以跟小红伞这种国际知名引擎并肩，其实现在中国自主研发的杀毒引擎并不是很多的。查杀病毒很给力。

Rootkit.Vanti“顽梯”变种d是一个恶意驱动程序，开启被感染计算机的后门，未经授权访问用户计算机。建议用360杀毒全盘扫描查杀处理，用它就可以清理干净这病毒。

Breathe me in, into the light, 我深深地吸了口气，踏入光中，Slowly heal the darkness in my heart, 心底的黑暗被缓缓地治愈，I hear you now, 我现在能听得到你，A taste was all I needed, 而我所需要的仅仅是一次尝试，I feel your love loud and clear, 我感受到了你强烈而又清晰的爱，To the end, 始终如此，It"s you and me, I"ll follow you to the end, 这只属于我和你，我也将跟随你，直到最后，I"ll follow you to the end, 我将跟随着你，直到最后，To the end, 直到尽头，I"ll follow you to the end, 我将始终跟随着你，I hear you now, 我现在能听得到你，A taste was all I needed, 而我所需要的仅仅是一次尝试，I feel your love loud and clear, 我感受到了你强烈而又清晰的爱，To the end, 始终如此，It"s you and me, I"ll follow you to the end, 这只属于我和你，我也将跟随你，直到最后，I"ll follow you to the end, 我将跟随着你，直到最后，To the end, 直到尽头，I"ll follow you to the end, 我将跟随着你，直到最后，I"ll follow you to the end, 我将跟随着你，直到尽头。

我之前也看过很多新闻在说这个病毒，能够破坏电脑里的文件，甚至对电脑本身也会产生影响，让电脑变得缓慢运存，所以平常电脑要对病毒进行防御，安装一个腾讯电脑管家就可以拉

Hacktool.Rootkit病毒其实是BDGuard.SYSBDGuard.SYS是百度搜霸的相关文件，只有卸载它才能彻底解决问题，如果不用建议用超级兔子卸载，可完全卸在安全模式下删除你也可以用下面的方法看看既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。从新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。另外请问您计算机中病毒的位置是不是在：C:DocumentsandSettings用户名LocalSettingsTemporaryInternetFiles如果是，请照以下方法操作即可删除病毒文件，1、右击InternetExplorer，选择"属性"；2、在"常规"选项卡中点击"删除文件(F)..."；3、在弹出的对话框中选中"删除所有脱机内容(D)"复选框；4、单击"确定"按钮即可。祝您好运

分类: 电脑/网络 >> 反病毒 问题描述: 各位大侠好!!!本人在每次开机时瑞星总是检测出病毒:Rootkit.Agent.ep ,运行瑞星杀毒程序杀毒后,提示重新启动删除文件,但是在重启后病毒依然存在,杀不掉!!!病毒文件路径:C:WINNTsystem32 driv.sys ,想手动删除该文件,但不知道是否会影响系统稳定...麻烦哪位大侠能给小弟一个有效的解决方法?或者提供一个有效的专杀工具??小弟在此跪拜各位大侠的赐教！！！ 解析: 关于这个病毒，好像网上有说过，瑞星杀不掉，可以换个杀毒软件，比如卡巴。 这是目前碰到最难杀的病毒，我用最传统而相对有效的杀毒方法：首先用杀毒软件，只要使用最新版本的杀毒软件，都可以查杀大部分的病毒，少数无法删除的，也都将被隔离。无法删除的病毒文件，再进入安全模式中将其删除，为了确保病毒的再次复发，在注册表中查找病毒文件的注册信息，而这次在工作中，这个病毒无法删除。而且即使删除了注册信息，也一样会再出现。我首先在客户的计算机上，安装塞门铁克，然后升级到最新的版本，进入安全模式，使用全盘杀毒，找到病毒文件名为rdriv.sys ，执行操作，删除失败，隔离成功。 路径是：C：WINNTSYSTEM32 driv.sys 关闭开机时启动的所有可疑文件，在重起之后，塞门铁克实施防护提示发现病为rdriv.sys，执行操作，删除失败，隔离成功。 再次进入安全模式。手动删除该文件，在进入注册表编辑器，查找rdriv所有的相关信息，都将其删除，有一个rdriv项无法删除，右键打开注册表项的菜单，选择权限，把完全控制的钩选上，并删除。直到注册表中无法查找到rdriv信息。 重新启动后，依然出现该病毒文件。最后应客户要求，重新安装系统。才得解决。 在网上查找到资料 backdoor/sdbot.atp.rootkit 病毒 应该执行以下操作1．请清空IE临时文件(打开IE浏览器——工具——inter选项——删除文件， 可以把“删除所有脱机内容”选上)。 2．普通模式不行的话，在安全模式重复上述操作。 进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows 如果还不行，试试看，启动到安全模式，在文件夹选项中，显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:Documents and SettingsLocal SettingsTemporary Inter Files下面，把能删除都删掉。 3．System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。 System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。 关闭Windows XP 系统还原 单击“开始”。 右击“我的电脑”，然后单击“属性”。 单击“系统还原”选项卡。 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。 单击“应用”，然后单击“确定”。 如前面指出的，这会将之前所有的还原点清除。单击“是”。 单击“确定”。 4．在注册表里搜”backdoor”把搜到的全部删除 删除失败可能是因为没有关闭系统还原造成的 另外，hackarea/Article/Print.asp?ArticleID=1519上也有关于清除该病毒的方法，你也可以参考一下，Good luck!

你可以下个360急救箱进入安全模式扫描查杀一下，看看是否行得通。如果再不行的话，那就要重做系统，如果问题依旧存在，那就请格式化你的硬盘，再重做系统。

Rootkit 越权执行设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改。直接安装杀毒软件查杀就可以了

Rootkit.Agent隐藏攻击者的目录和进程的程序 Rootkit.Agent病毒的清除方法 1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾) 2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） 用冰刃（IceSword）先搜索删除这个yqxtbp.sys 文件在注册表中的项目，再删除文件

你的是正版的吗？ 劝你去买正版的，杀不掉？笑话，哈哈。

rootkit.win32.hplocker.78是盗取个人信息的木马病毒。解决方法如下：1.重启电脑按F8进入安全模式下，使用腾讯电脑管家杀毒软件即可；2.也可以使用其他的杀毒软件，比如360杀毒、猎豹、小红伞、卡巴斯基、AVG、Avast、ESET Nod32、Panda、诺顿、MSE等等。注：木马,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

Rootkit.Agent隐藏攻击者的目录和进程的程序 Rootkit.Agent病毒的清除方法 1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾) 2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） 电脑安全的好帮手,快杀在线

你可以下个360急救箱进入安全模式扫描查杀一下，看看是否行得通。如果再不行的话，那就要重做系统，如果问题依旧存在，那就请格式化你的硬盘，再重做系统。

这种病毒腾讯安全提到过可以去下载安装一个腾讯御点打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

卡巴斯基6.0升级病毒库后进入安全模式处理。http://www.qijia.net/kis6.0307forserver.rar

安装个杀软啊 之后进行全盘查杀如果你的电脑想成为病毒库和养马厂，和经常安装系统密码被dao你可以不安装，让你的爱机“裸奔”。 建议用腾讯电脑管家 进行杀毒的世界顶尖终端安全应用程序工业级兼容性和可靠性认证机构OPSWAT宣布腾讯电脑管家已相继斩获Checkmark（西海岸）、VB100、AVC三项国际最权威的反病毒测试，包揽国际杀软测试“四大满贯”，实力跻身全球第一阵营

在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软件大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。 传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等操作系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限(根权限即root权限，是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。 下面就针对Unix来讲解一下传统Rootkit的攻击原理 RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时(不管是本地还是远程登陆)，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码.Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够 使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件， 通常被Rootkit替换的系统程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。 防御办法:Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程序，以确保安全性. 写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖( 这个词一点也不夸张)的内核级Rootkit。在大多数操作系统中(各种Uni x和windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A,实际却执行了程序B.现在就介绍一下内核级的Rootkit是如何攻击Unix系统的 和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B~! 更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。 实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。 因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令: insmod knark.o 就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows. 内核级Rootkit 的几个例子 现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下， 一、 linux 上的内核级Rootkit:Knark Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如: 1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的， 命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能 来升级Knark，删除系统文件或其他任何我们想做的事 2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限 3、隐藏混杂模式: 同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点 Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。 4、实时进程隐藏: Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失， 但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时，ps和lsof命令的使用都不能显示此进程 5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模块，因此Knark包含了一个单独的模块modhide,modhide将Knark 和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模块都不会被发现. 二、 另一个Linux上的内核级Rootkit:Adore 同Knark一样，Adore也是一个针对Linux的LKM RootKit. 他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网络隐藏和内核模块隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能:内置的根权限后门。 Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳，此功能十分直接了当 ，Adore将此功能巧妙的包含在内核模块中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网络端口的迹象。 防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限(Unix里的root和windows里的admin),不过这看起来像废话:)，目前对内核级的Rootkit还没有绝对的防御体系。 现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支持LKM的内核，Linux的内核就可以设成不支持LKM的单一内核。

Rootkit是攻击者用来隐藏自己的行踪和保留root访问权限的工具。通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解的方式获得对系统的普通访问权限，进入系统后，再通过对方系统存在的安全漏洞获得系统的root或system权限。然后，攻击者就会在对方的系统中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐藏。

可以用腾讯电脑管家，查杀能力强。应用腾讯自研第二代具有“自学习能力”的反病毒引擎、以及搭载全球最大的风险网址数据库，腾讯自研第二代反病毒引擎命名为“鹰眼”引擎，能够根除顽固病毒、大幅度提升深度查杀能力。

Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序，比如弹出程序、广告软件或者间谍程序大多数安全解决方案不能检测到他们并加以清除。因为Rootkit在操作系统中隐藏得非常深并且是以碎片的形式存在。如果在清除过程中漏掉了所有一个相互关联的碎片，rootkit能够自我激活。一般的病毒扫描通常是清除病毒程式的执行阶段，不过在重新启动操作系统后rootkit能够再次执行，所以问题并没有完全解决。要解决问题必须从rootkit本身，也就是从恶意程式的源头去根除。内核模式的rootkit通常攻击操作文件系统，如果要检测已知及未知的内核模式rootkit，就必须直接访问原始卷并执行干净的启动进行补救。

1、下载360安全卫士、360顽固木马专杀大全和NOD32；2、开机按F8进入安全模式，在安全模式下安装安全卫士和NOD323、重启并再次进入安全模式，在http://eset.360.cn/index.html可以获得nod32免费使用半年的激活码4、激活NOD32后，分别用360安全卫士、360顽固木马专杀大全、NOD32，三个软件进行全盘杀毒、查杀恶评插件和木马。

分类: 电脑/网络 >> 反病毒 问题描述: 救命啊~~~~~~~~~~~~~~~~~~ 卡巴发现了一个木马程序 但是我杀了重起过N次都不管用 进了安全模式也杀不掉病毒全称Rootkit.Agent.cq 文件:c:windowssystem32driversjr.sys 注册表里它的所有信息都删不掉... 我都快疯了... 解析: RootKit 专杀工具 pcav/Soft/zsgj/qtzsgj/200610/284

重装系统吧。

Rootkit 是一种特殊类型的 malware（恶意软件）.Rootkit 之所以特殊是因为您不知道它们在做什么事情.Rootkit 基本上是无法检测到的,而且几乎不可能删除它们.虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹. Rootkit 的目的在于隐藏自己以及其他软件不被发现.它可以通过阻止用户识别和删除攻击者的软件来达到这个目的.Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer.许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件. Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行.攻击者可以找出目标系统上的现有漏洞.漏洞可能包括：开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统.在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个 Rootkit.这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统. 找出 Rootkit 十分困难.有一些软件包可以检测 Rootkit.这些软件包可划分为以下两类：基于签名的检查程序和基于行为的检查程序.基于签名（特征码）的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit.基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit.一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer. 在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限.由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间.而且您也不知道 Rootkit 已经对哪些信息造成了损害.对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统.虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法. 防止 Rootkit 进入您的系统是能够使用的最佳办法.为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略.深度防卫的要素包括：病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略

RootKit病毒，是指感染硬盘引导区的病毒，通过修改磁盘主引导记录（MBR）来实现在电脑中的长期驻留。遇到此类病毒，可以通过以下两种方式进行查杀：使用普通杀毒软件进行查杀。目前大多数的杀毒软件在进行病毒查杀时，都会检查磁盘主引导记录是否遭到恶意修改，因此，只需要进行一次病毒扫描，并修复磁盘主引导记录，就可以快速清除此类病毒。如果杀毒软件不能检测到此类病毒，可以使用引导区还原软件进行修复。一旦磁盘主引导记录恢复正常，病毒将会自动失去作用。

在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的，

Rootkit是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。 好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

请电脑专家来帮你解决

360安全卫士，有顽固木马查杀，可以用这个