linux的rootkit工具包通常使用哪些技术

请电脑专家来帮你解决

Rootkit是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Linux、Windows、Mac OS等操作系统都有机会成为Rootkit的受害目标。 好多人有一个误解，他们认为rootkit是用作获得系统root访问权限的工具。实际上，rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

RootKit病毒，是指感染硬盘引导区的病毒，通过修改磁盘主引导记录（MBR）来实现在电脑中的长期驻留。遇到此类病毒，可以通过以下两种方式进行查杀：使用普通杀毒软件进行查杀。目前大多数的杀毒软件在进行病毒查杀时，都会检查磁盘主引导记录是否遭到恶意修改，因此，只需要进行一次病毒扫描，并修复磁盘主引导记录，就可以快速清除此类病毒。如果杀毒软件不能检测到此类病毒，可以使用引导区还原软件进行修复。一旦磁盘主引导记录恢复正常，病毒将会自动失去作用。

Rootkit 是一种特殊类型的 malware（恶意软件）.Rootkit 之所以特殊是因为您不知道它们在做什么事情.Rootkit 基本上是无法检测到的,而且几乎不可能删除它们.虽然检测工具在不断增多,但是恶意软件的开发者也在不断寻找新的途径来掩盖他们的踪迹. Rootkit 的目的在于隐藏自己以及其他软件不被发现.它可以通过阻止用户识别和删除攻击者的软件来达到这个目的.Rootkit 几乎可以隐藏任何软件,包括文件服务器、键盘记录器、Botnet 和 Remailer.许多 Rootkit 甚至可以隐藏大型的文件集合并允许攻击者在您的计算机上保存许多文件,而您无法看到这些文件. Rootkit 本身不会像病毒或蠕虫那样影响计算机的运行.攻击者可以找出目标系统上的现有漏洞.漏洞可能包括：开放的网络端口、未打补丁的系统或者具有脆弱的管理员密码的系统.在获得存在漏洞的系统的访问权限之后,攻击者便可手动安装一个 Rootkit.这种类型的偷偷摸摸的攻击通常不会触发自动执行的网络安全控制功能,例如入侵检测系统. 找出 Rootkit 十分困难.有一些软件包可以检测 Rootkit.这些软件包可划分为以下两类：基于签名的检查程序和基于行为的检查程序.基于签名（特征码）的检查程序,例如大多数病毒扫描程序,会检查二进制文件是否为已知的 Rootkit.基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit.一个流行的基于行为的 Rootkit 检查程序是 Rootkit Revealer. 在发现系统中存在 Rootkit 之后,能够采取的补救措施也较为有限.由于 Rootkit 可以将自身隐藏起来,所以您可能无法知道它们已经在系统中存在了多长的时间.而且您也不知道 Rootkit 已经对哪些信息造成了损害.对于找出的 Rootkit,最好的应对方法便是擦除并重新安装系统.虽然这种手段很严厉,但是这是得到证明的唯一可以彻底删除 Rootkit 的方法. 防止 Rootkit 进入您的系统是能够使用的最佳办法.为了实现这个目的,可以使用与防范所有攻击计算机的恶意软件一样的深入防卫策略.深度防卫的要素包括：病毒扫描程序、定期更新软件、在主机和网络上安装防火墙,以及强密码策略

重装系统吧。

分类: 电脑/网络 >> 反病毒 问题描述: 救命啊~~~~~~~~~~~~~~~~~~ 卡巴发现了一个木马程序 但是我杀了重起过N次都不管用 进了安全模式也杀不掉病毒全称Rootkit.Agent.cq 文件:c:windowssystem32driversjr.sys 注册表里它的所有信息都删不掉... 我都快疯了... 解析: RootKit 专杀工具 pcav/Soft/zsgj/qtzsgj/200610/284

1、下载360安全卫士、360顽固木马专杀大全和NOD32；2、开机按F8进入安全模式，在安全模式下安装安全卫士和NOD323、重启并再次进入安全模式，在http://eset.360.cn/index.html可以获得nod32免费使用半年的激活码4、激活NOD32后，分别用360安全卫士、360顽固木马专杀大全、NOD32，三个软件进行全盘杀毒、查杀恶评插件和木马。

Rootkit是一种很深的隐藏在操作系统中执行恶意或令人讨厌的程序，比如弹出程序、广告软件或者间谍程序大多数安全解决方案不能检测到他们并加以清除。因为Rootkit在操作系统中隐藏得非常深并且是以碎片的形式存在。如果在清除过程中漏掉了所有一个相互关联的碎片，rootkit能够自我激活。一般的病毒扫描通常是清除病毒程式的执行阶段，不过在重新启动操作系统后rootkit能够再次执行，所以问题并没有完全解决。要解决问题必须从rootkit本身，也就是从恶意程式的源头去根除。内核模式的rootkit通常攻击操作文件系统，如果要检测已知及未知的内核模式rootkit，就必须直接访问原始卷并执行干净的启动进行补救。

可以用腾讯电脑管家，查杀能力强。应用腾讯自研第二代具有“自学习能力”的反病毒引擎、以及搭载全球最大的风险网址数据库，腾讯自研第二代反病毒引擎命名为“鹰眼”引擎，能够根除顽固病毒、大幅度提升深度查杀能力。

Rootkit是攻击者用来隐藏自己的行踪和保留root访问权限的工具。通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解的方式获得对系统的普通访问权限，进入系统后，再通过对方系统存在的安全漏洞获得系统的root或system权限。然后，攻击者就会在对方的系统中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐藏。

在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软件大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。 传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等操作系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限(根权限即root权限，是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。 下面就针对Unix来讲解一下传统Rootkit的攻击原理 RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时(不管是本地还是远程登陆)，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码.Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够 使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件， 通常被Rootkit替换的系统程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。 防御办法:Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程序，以确保安全性. 写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖( 这个词一点也不夸张)的内核级Rootkit。在大多数操作系统中(各种Uni x和windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A,实际却执行了程序B.现在就介绍一下内核级的Rootkit是如何攻击Unix系统的 和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B~! 更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。 实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。 因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令: insmod knark.o 就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows. 内核级Rootkit 的几个例子 现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下， 一、 linux 上的内核级Rootkit:Knark Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如: 1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的， 命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能 来升级Knark，删除系统文件或其他任何我们想做的事 2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限 3、隐藏混杂模式: 同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点 Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。 4、实时进程隐藏: Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失， 但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时，ps和lsof命令的使用都不能显示此进程 5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模块，因此Knark包含了一个单独的模块modhide,modhide将Knark 和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模块都不会被发现. 二、 另一个Linux上的内核级Rootkit:Adore 同Knark一样，Adore也是一个针对Linux的LKM RootKit. 他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网络隐藏和内核模块隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能:内置的根权限后门。 Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳，此功能十分直接了当 ，Adore将此功能巧妙的包含在内核模块中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网络端口的迹象。 防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限(Unix里的root和windows里的admin),不过这看起来像废话:)，目前对内核级的Rootkit还没有绝对的防御体系。 现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支持LKM的内核，Linux的内核就可以设成不支持LKM的单一内核。

安装个杀软啊 之后进行全盘查杀如果你的电脑想成为病毒库和养马厂，和经常安装系统密码被dao你可以不安装，让你的爱机“裸奔”。 建议用腾讯电脑管家 进行杀毒的世界顶尖终端安全应用程序工业级兼容性和可靠性认证机构OPSWAT宣布腾讯电脑管家已相继斩获Checkmark（西海岸）、VB100、AVC三项国际最权威的反病毒测试，包揽国际杀软测试“四大满贯”，实力跻身全球第一阵营

卡巴斯基6.0升级病毒库后进入安全模式处理。http://www.qijia.net/kis6.0307forserver.rar

这种病毒腾讯安全提到过可以去下载安装一个腾讯御点打开之后，使用里面的病毒查杀功能，直接就可以查杀这种电脑病毒了

你可以下个360急救箱进入安全模式扫描查杀一下，看看是否行得通。如果再不行的话，那就要重做系统，如果问题依旧存在，那就请格式化你的硬盘，再重做系统。

Rootkit.Agent隐藏攻击者的目录和进程的程序 Rootkit.Agent病毒的清除方法 1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾) 2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） 电脑安全的好帮手,快杀在线

rootkit.win32.hplocker.78是盗取个人信息的木马病毒。解决方法如下：1.重启电脑按F8进入安全模式下，使用腾讯电脑管家杀毒软件即可；2.也可以使用其他的杀毒软件，比如360杀毒、猎豹、小红伞、卡巴斯基、AVG、Avast、ESET Nod32、Panda、诺顿、MSE等等。注：木马,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

你的是正版的吗？ 劝你去买正版的，杀不掉？笑话，哈哈。

Rootkit.Agent隐藏攻击者的目录和进程的程序 Rootkit.Agent病毒的清除方法 1.首先关闭系统还原模式（我的电脑右键属性->系统还原选项卡->"在所有驱动器上关闭系统还原"前打勾) 2.重新启动计算机进入安全模式（开机过程中按F8键即可进入操作系统的安全模式） 用冰刃（IceSword）先搜索删除这个yqxtbp.sys 文件在注册表中的项目，再删除文件

Rootkit 越权执行设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改。直接安装杀毒软件查杀就可以了

linux 推荐Security,以其简便的操作,强大的功能,成为目前重量级的杀毒软件和个人网络防火墙产品。

你可以下个360急救箱进入安全模式扫描查杀一下，看看是否行得通。如果再不行的话，那就要重做系统，如果问题依旧存在，那就请格式化你的硬盘，再重做系统。

分类: 电脑/网络 >> 反病毒 问题描述: 各位大侠好!!!本人在每次开机时瑞星总是检测出病毒:Rootkit.Agent.ep ,运行瑞星杀毒程序杀毒后,提示重新启动删除文件,但是在重启后病毒依然存在,杀不掉!!!病毒文件路径:C:WINNTsystem32 driv.sys ,想手动删除该文件,但不知道是否会影响系统稳定...麻烦哪位大侠能给小弟一个有效的解决方法?或者提供一个有效的专杀工具??小弟在此跪拜各位大侠的赐教！！！ 解析: 关于这个病毒，好像网上有说过，瑞星杀不掉，可以换个杀毒软件，比如卡巴。 这是目前碰到最难杀的病毒，我用最传统而相对有效的杀毒方法：首先用杀毒软件，只要使用最新版本的杀毒软件，都可以查杀大部分的病毒，少数无法删除的，也都将被隔离。无法删除的病毒文件，再进入安全模式中将其删除，为了确保病毒的再次复发，在注册表中查找病毒文件的注册信息，而这次在工作中，这个病毒无法删除。而且即使删除了注册信息，也一样会再出现。我首先在客户的计算机上，安装塞门铁克，然后升级到最新的版本，进入安全模式，使用全盘杀毒，找到病毒文件名为rdriv.sys ，执行操作，删除失败，隔离成功。 路径是：C：WINNTSYSTEM32 driv.sys 关闭开机时启动的所有可疑文件，在重起之后，塞门铁克实施防护提示发现病为rdriv.sys，执行操作，删除失败，隔离成功。 再次进入安全模式。手动删除该文件，在进入注册表编辑器，查找rdriv所有的相关信息，都将其删除，有一个rdriv项无法删除，右键打开注册表项的菜单，选择权限，把完全控制的钩选上，并删除。直到注册表中无法查找到rdriv信息。 重新启动后，依然出现该病毒文件。最后应客户要求，重新安装系统。才得解决。 在网上查找到资料 backdoor/sdbot.atp.rootkit 病毒 应该执行以下操作1．请清空IE临时文件(打开IE浏览器——工具——inter选项——删除文件， 可以把“删除所有脱机内容”选上)。 2．普通模式不行的话，在安全模式重复上述操作。 进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows 如果还不行，试试看，启动到安全模式，在文件夹选项中，显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:Documents and SettingsLocal SettingsTemporary Inter Files下面，把能删除都删掉。 3．System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。 System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。 关闭Windows XP 系统还原 单击“开始”。 右击“我的电脑”，然后单击“属性”。 单击“系统还原”选项卡。 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。 单击“应用”，然后单击“确定”。 如前面指出的，这会将之前所有的还原点清除。单击“是”。 单击“确定”。 4．在注册表里搜”backdoor”把搜到的全部删除 删除失败可能是因为没有关闭系统还原造成的 另外，hackarea/Article/Print.asp?ArticleID=1519上也有关于清除该病毒的方法，你也可以参考一下，Good luck!

Hacktool.Rootkit病毒其实是BDGuard.SYSBDGuard.SYS是百度搜霸的相关文件，只有卸载它才能彻底解决问题，如果不用建议用超级兔子卸载，可完全卸在安全模式下删除你也可以用下面的方法看看既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。从新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。另外请问您计算机中病毒的位置是不是在：C:DocumentsandSettings用户名LocalSettingsTemporaryInternetFiles如果是，请照以下方法操作即可删除病毒文件，1、右击InternetExplorer，选择"属性"；2、在"常规"选项卡中点击"删除文件(F)..."；3、在弹出的对话框中选中"删除所有脱机内容(D)"复选框；4、单击"确定"按钮即可。祝您好运

这个涉及到网络安全和编程，都是比较难的，对基础要求都比较高，短时间内很难学好，而且编程和网络不属于同一个专业，要真正学好没个几年下不来。

我之前也看过很多新闻在说这个病毒，能够破坏电脑里的文件，甚至对电脑本身也会产生影响，让电脑变得缓慢运存，所以平常电脑要对病毒进行防御，安装一个腾讯电脑管家就可以拉

Breathe me in, into the light, 我深深地吸了口气，踏入光中，Slowly heal the darkness in my heart, 心底的黑暗被缓缓地治愈，I hear you now, 我现在能听得到你，A taste was all I needed, 而我所需要的仅仅是一次尝试，I feel your love loud and clear, 我感受到了你强烈而又清晰的爱，To the end, 始终如此，It"s you and me, I"ll follow you to the end, 这只属于我和你，我也将跟随你，直到最后，I"ll follow you to the end, 我将跟随着你，直到最后，To the end, 直到尽头，I"ll follow you to the end, 我将始终跟随着你，I hear you now, 我现在能听得到你，A taste was all I needed, 而我所需要的仅仅是一次尝试，I feel your love loud and clear, 我感受到了你强烈而又清晰的爱，To the end, 始终如此，It"s you and me, I"ll follow you to the end, 这只属于我和你，我也将跟随你，直到最后，I"ll follow you to the end, 我将跟随着你，直到最后，To the end, 直到尽头，I"ll follow you to the end, 我将跟随着你，直到最后，I"ll follow you to the end, 我将跟随着你，直到尽头。

Rootkit.Vanti“顽梯”变种d是一个恶意驱动程序，开启被感染计算机的后门，未经授权访问用户计算机。建议用360杀毒全盘扫描查杀处理，用它就可以清理干净这病毒。

可以用腾讯电脑管家，占用内存小。而且电脑管家有自己的杀毒引擎叫做TAV自主杀毒引擎，先后满分通过了西海岸，VB100两大权威评测，算是国际领先水平了，可以跟小红伞这种国际知名引擎并肩，其实现在中国自主研发的杀毒引擎并不是很多的。查杀病毒很给力。

只要是病毒肯定就可以删除这种病毒属于顽固病毒的一种得需要到安全模式下杀毒杀毒软件选择也很重要，得选择有针对这种病毒的专杀工具才行，可以使用电脑管家杀毒。

你试过哪些杀毒软件了？建议你找到病毒文件，直接用文件粉碎器把病毒文件粉碎了。

rootkit 是一种很强的后门工具，具有很强的权限，能够隐藏指定的（包括自身）进程名、端口名、注册表名、文件夹内容、远程上传、借用端口等功能，是很好的木马辅助工具，所以也可以说是木马工具。毕竟要通过改写内存的内部参数来实现效果，自然会被360查杀。 但是也不排除你的 rootkit 里面有别人的后门，要小心使用。不放心的话可以去下载“黑客之门”。PS：“hide toolz”意思是 “隐藏 工具”

我以前也用的瑞星,那个不好用对于你的问题是经常事.建议你换卡巴斯基.重装系统比什么问题也好使

有效。rootkit只不过是一种隐藏式病毒，软件本身并不起破坏作用，它可以隐藏服务和进程，非常强悍，既然你已经硬盘全部格式化了，应该没事，但是不能只格式化C盘，别的盘也应该格式化了，要不然rootkit藏在别的盘，你再装系统也不行。

rootkit。这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了可以使用腾讯电脑管家杀毒软件，全盘的查杀病毒木马程序的，，杀毒能力一流，特别是查杀免杀病毒给力，扫描速度较快、内存占用较少！！具有“自学习能力”的腾讯自研第二代“鹰眼”引擎，业界首创将CPU虚拟执行技术运用到杀毒软件中，能够根除顽固病毒、大幅度提升深度查杀能力，并大大降低杀毒软件对用户电脑系统资源的占用率希望可以帮到您了

一种新的扫描技术，是卡巴斯基独有的杀毒模块 Rootkit基本是由几个独立程序组成，一个典型rootkit包括： 以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息。 特洛伊木马程序，为攻击者提供后门。 隐藏攻击者目录和进程的程序。还包括一些日志清理工具，攻击者用其删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。 复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的脚本。 这种可恶的程序是一批工具集，黑客用它来掩饰对计算机网络的入侵并获得管理员访问权限。一旦黑客获得管理员访问权限，就会利用已知的漏洞或者破解密码来安装rootkit。然后rootkit会收集网络上的用户ID和密码，这样黑客就具有高级访问权限了。 Rootkit扫描是专门针对rootkit进行的一种优化式的扫描方式。 如果在其他扫描中开启了启发分析器，也会检测rootkit的。

ufeff瑞星软件已经永久免费了，建议您到瑞星官网下载最新版本安装包安装后，在安全模式下对电脑进行全盘查杀，看是否有病毒

是后门程序，用360安全卫士可以杀掉。360杀木马效果很好。 http://down.360safe.com/setup.exe

一种黑客程序用卡巴清除即可能会导致死机

http://post.baidu.com/f?kz=213954272我里有专讲这方面的Rootkit病毒以及其变种大概有这些： rootkit.ads.i rootkit.cnsprot rootkit.agent hacktool.rootkit rootkit.ads.h rootkit.vanti rootkit.cnsprot.d rootkit.win32 rootkit.vanti.gen rootkit.ads rootkit.cnsprot.b rootkit.cnsprot.a rootkit.cnsprot.c rootkit agent ly fu rootkit rootkit.callgate.b rootkit.cnspr rootkit.adprot.b rootkit.c rootkit agent lk win32.troj.rootkit win32.hack.rootkit 2006 rootkit rootkit.a rootkit.exe trojan.rootkit troj rootkit.cg new rootkit anti rootkit 破坏性很大。希望你即时处理`

你好：实在不行建议重新安装操作系统，简便快捷您好，您的情况，建议：开机后按F8，进入安全模式，使用杀毒软件全盘查杀病毒即可。建议试试腾讯电脑管家，使用多个杀毒引擎，性能强悍，点此下载：腾讯电脑管家官网方法：腾讯电脑管家——病毒查杀——全盘查杀即可。如满意，请点赞哦~腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

不是病毒！

网上搜索一下专杀工具，可以看看江民官方网站有没有。

中了Rootkit木马 看看你的系统盘的windowssystem32drivers文件夹下是否有类似sukfhu94.sys这种文件。 这个木马的病毒文件名称在每台电脑中基本上是不同的，但它的命名是有规律的，由6个英文字母和2个阿拉伯数字组成，如sukfhu94这个样子，另一个特征是，在windowssystem32drivers和windowssystem32下都有一个同名称不同扩展名的文件，如本例的在windowssystem32下就有个sukfhu94.dll文件。 有些杀毒软件说它是“Rootkit.startpage.a”后门病毒，有的杀毒软件则说是“Trojan-Downloader.Win32.QQHelper.mo”盗号木马，个人认为木马隐藏这么深，这么难清除，制作者本意并非是盗QQ号这么简单。偶是2006年10月2日发现这个木马的，到10月中旬各大杀毒软件才陆续发现它，但至今都不能杀掉，要用下面介绍的手工方法清除。 现已证实：安装“FlashGet 1.73 build 128 简体中文版”是感染此木马的途径之一。查看一下你的FlashGet安装文件的“属性”，如果“大小”这一项是“3.95MB（3,099,772字节）”的话，那么你就在受害者之列了。中了这个木马，好像对系统的速度等性能没有什么影响，只是有些人反映：“鼠标自己会乱动”。 解决方法： 1、先运行regsvr32 -u sukfhu94.dll来反注册sukfhu94.dll； 2、然后到windowssystem32下找到sukfhu94.dll用Unlocker解锁（事先得装Unlocker这个软件），之后删掉它； 3、再到windowssystem32drivers下删除sukfhu94.sys文件； 4、打开注册表，搜索sukfhu94，在 HKEY_LOCAL_MACHINESYSTEMControlSet001 HKEY_LOCAL_MACHINESYSTEMControlSet002 HKEY_LOCAL_MACHINESYSTEMCurrentControlSet 下会找到有关sukfhu94的“项”，全部删除它们。（删除时会提示出错，此时应提升“权限”，之后就可以删了） 5、重启进安全模式，再搜索一次上述“项”，然后删除它们。 转自http://softbbs.pconline.com.cn/topic.jsp?tid=6066133

只要是病毒肯定就可以删除这种病毒属于顽固病毒的一种得需要到安全模式下杀毒杀毒软件选择也很重要，得选择有针对这种病毒的专杀工具才行，可以使用电脑管家杀毒。

....

通常，我们在获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7，VNC，netbus，国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉就不详细介绍了。此类后门很容易被发现，现在的杀毒软件大多都能轻松的查杀，即使暂时查不到，用其它手段检测发现也不困难，而这次给大家介绍的是比一般木马后门潜伏的更深木马后门--Rootkit。 传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的，这样就会更加隐蔽，使检测变得比较困难。传统的Rootkit主要针对Unix平台，例如Linux、AIX、SunOs等操作系统，有些Rootkits可以通过替换DLL文件或更改系统来攻击Windows平台。Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限（根权限即root权限，是Unix系统的最高权限）以后，Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。 传统Rootkit对Unix的攻击 RootKits是如何实现后门的呢？为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时（不管是本地还是远程登录），/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码。Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login，这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够使用后门密码以根用户身份登录。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件，通常被Rootkit替换的系统程序有login，ifconfig，du，find，ls，netstart，ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。 防御办法：Rootkit如此可怕，得好好防它才行，实际上，最有效的防御方法是定期对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，必须完全重装所有的系统文件、部件和程序，以确保安全性。 写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是内核级Rootkit。在大多数操作系统中（各种Unix和Windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A，实际却执行了程序B。

用360卫士啊，它的木马查杀采用五大查杀引擎，很可靠的，不行的话使用360系统急救箱，它可以强力查杀啊

现在的确是有很多病毒直接装个电脑管家在电脑上然后选择病毒查杀，然后检测电脑病毒，最后查杀删除就行

遭遇RootKit.Win32.GameHack.GEN,Trojan.PSW.Win32.GameOL.GEN,RootKit.Win32.Mnless等1endurer 原创2008-03-05 第1版今天，一位网友说他的电脑昨天下午突然变得很慢，只好强制关机，今天开机时有黑色窗口闪过，用瑞星查杀出一些病毒，但系统反应还是比较慢，让偶帮忙检修。详细内容见： http://blog.gxsky.com/blog_view_317864.html