電腦中了rootkit病毒該怎么辦?
中了Rootkit木馬
看看你的系統盤的windowssystem32drivers文件夾下是否有類似sukfhu94.sys這種文件。
這個木馬的病毒文件名稱在每臺電腦中基本上是不同的,但它的命名是有規律的,由6個英文字母和2個阿拉伯數字組成,如sukfhu94這個樣子,另一個特征是,在windowssystem32drivers和windowssystem32下都有一個同名稱不同擴展名的文件,如本例的在windowssystem32下就有個sukfhu94.dll文件。
有些殺毒軟件說它是“Rootkit.startpage.a”后門病毒,有的殺毒軟件則說是“Trojan-Downloader.Win32.QQHelper.mo”盜號木馬,個人認為木馬隱藏這么深,這么難清除,制作者本意并非是盜QQ號這么簡單。偶是2006年10月2日發現這個木馬的,到10月中旬各大殺毒軟件才陸續發現它,但至今都不能殺掉,要用下面介紹的手工方法清除。
現已證實:安裝“FlashGet1.73build128簡體中文版”是感染此木馬的途徑之一。查看一下你的FlashGet安裝文件的“屬性”,如果“大小”這一項是“3.95MB(3,099,772字節)”的話,那么你就在受害者之列了。中了這個木馬,好像對系統的速度等性能沒有什么影響,只是有些人反映:“鼠標自己會亂動”。
解決方法:1、先運行regsvr32-usukfhu94.dll來反注冊sukfhu94.dll;
2、然后到windowssystem32下找到sukfhu94.dll用Unlocker解鎖(事先得裝Unlocker這個軟件),之后刪掉它;
3、再到windowssystem32drivers下刪除sukfhu94.sys文件;
4、打開注冊表,搜索sukfhu94,在
HKEY_LOCAL_MACHINESYSTEMControlSet001
HKEY_LOCAL_MACHINESYSTEMControlSet002
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
下會找到有關sukfhu94的“項”,全部刪除它們。(刪除時會提示出錯,此時應提升“權限”,之后就可以刪了)
5、重啟進安全模式,再搜索一次上述“項”,然后刪除它們。
Rootkit病毒是什么?
rootkit 在網絡安全中經常會遇到rootkit,NSA安全和入侵檢測術語字典( NSA Glossary of Terms Ud in Security and Intrusion Detection)對rootkit的定義如下:A hacker curity tool that captures passwords and message traffic to and from a computer. A collection of tools that allows a hacker to provide a backdoor into a system, collect information on other systems on the network,mask the fact that the system is compromid, and much more. Rootkit is a classic example of Trojan Hor software. Rootkit is available for a wide range of operating systems.
好多人有一個誤解,他們認為rootkit是用作獲得系統root訪問權限的工具。實際上,rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,或者首先密碼猜測或者密碼強制破譯的方式獲得系統的訪問權限。進入系統后,如果他還沒有獲得root權限,再通過某些安全漏洞獲得系統的root權限。接著,攻擊者會在侵入的主機中安裝rootkit,然后他將經常通過rootkit的后門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息。通過rootkit的嗅探器獲得其它系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其它的系統。
什么是rootkit
Rootkit是指其主要功能為隱藏其他程式進程的軟件,可能是一個或一個以上的軟件組合;廣義而言,Rootkit也可視為一項技術。最早Rootkit用于善意用途,但后來Rootkit也被黑客用在入侵和攻擊他人的電腦系統上,電腦病毒、間諜軟件等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數的防毒軟件歸類為具危害性的惡意軟件。Linux、Windows、Mac OS等操作系統都有機會成為Rootkit的受害目標。
[1]Rootkit出現于二十世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了rootkit這個名詞。這篇安全咨詢就是CERT-CC的CA-1994-01,題目是Ongoing Network Monitoring Attacks,最新的修訂時間是1997年9月19日。從出現至今,rootkit的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。
rootkit介紹Rootkit是一種奇特的程序,它具有隱身功能:無論靜止時(作為文件存在),還是活動時,(作為進程存在),都不會被察覺。換句話說,這種程序可能一直存在于我們的計算機中,但我們卻渾然不知,這一功能正是許多人夢寐以求的——不論是計算機黑客,還是計算機取證人員。黑客可以在入侵后置入Rootkit,秘密地窺探敏感信息,或等待時機,伺機而動;取證人員也可以利用Rootkit實時監控嫌疑人員的不法行為,它不僅能搜集證據,還有利于及時采取行動。!
一、背景知識
我們通常所說的智能機器,大至超級計算機,中到個人PC,小至智能手機,通常都有兩部分組成:硬件和軟件。并且,設備的智能是通過軟件來實現的。所有軟件中,有一種是必不可少的,那就是操作系統。操作系統可以簡單理解為一組高度復用的核心程序,一方面,它要管理低層的硬件設備,另一方面,為上層其它程序提供一個良好的運行環境。真是同人不同命,同為軟件,操作系統卻享有至高無上的特權:它不僅管理硬件,而且其他所有軟件也都受制于它。
因為在應用程序和硬件之間隔著操作系統,所以應用程序不能直接訪問硬件,而是通過調用操作系統提供的接口來使用硬件。也就是說,對應用程序而言,硬件是不可見的。當然,凡事是沒有絕對的,應用程序繞過操作系統來直接訪問硬件也不是不可能的,但這樣做會付出高昂的代價。設想一個軟件開發商在開發一款功能豐富的軟件,功能本身就夠他頭痛得了,現在他還得操心某個數據在某個磁道的某個簇上,某個字符在某品牌顯示器上的顏色的二進制代碼等等繁瑣的事情,不用說財力和物力,單說開發周期就是無法容忍的。所以,現在的應用程序都是使用操作系統提供的簡單明了的服務來訪問系統的,因為畢竟沒有誰愿意自討苦吃。
二、內核的主要功能
從上文中我們已經了解,內核在系統中處于核心樞紐的地位,下面我們具體介紹內核中與Rootkit緊密相關的幾個主要功能,更重要的是這些功能對Rootkit的意義所在:
進程管理。進程可以簡單理解為運行中的程序,它需要占用內存、CPU時間等系統資源。現在的操作系統大多支持多用戶多任務,也就是說系統要并行運行多個程序。為此,內核不僅要有專門代碼來負責為進程或線程分配CPU時間,另一方面還要開辟一段內存區域存放用來記錄這些進程詳細情況的數據結構。內核是怎么知道系統中有多少進程、各進程的狀態等信息的?就是通過這些數據結構,換句話說它們就是內核感知進程存在的依據。因此,只要修改這些數據結構,就能達到隱藏進程的目的。
文件訪問。文件系統是操作系統提供的最為重要的功能之一。內核中的驅動程序把設備的柱面、扇區等原始結構抽象成為更加易用的文件系統,并提供一個一致的接口供上層程序調用。也就是說,這部分代碼完全控制著對硬盤的訪問,通過修改內核的這部分代碼,攻擊者能夠隱藏文件和目錄。
安全控制。對大部分操作系統來說,因為系統中同時存在多個進程,為了避免各進程之間發生沖突,內核必須對各進程實施有效的隔離措施。比如,在MS-Windows系統中,每個進程都被強制規定了具體的權限和單獨的內存范圍。因此,對攻擊者而言,只要對內核中負責安全事務的代碼稍事修改,整個安全機制就會全線崩潰。
內存管理。現在的硬件平臺(比如英特爾的奔騰系列處理器)的內存管理機制已經復雜到可以將一個內存地址轉換成多個物理地址的地步。舉例來說,進程A按照地址 0x0030030讀取內存,它得到值的是“飛機”;然而,進程B也是按照同樣的地址0x0030030來讀取內存,但它取得的值卻是“大炮”。像上面這樣,同一個地址指向截然不同的兩個物理內存位置,并且每個位置存放不同的數據這種現象并不足以為怪——只不過是兩個進程對虛擬地址到物理地址進行了不同的映射而已。如果這一點利用好了,我們可以讓Rootkit躲避調試程序和取證軟件的追蹤。
上面介紹了內核的主要功能,以及它們對 Rootkit的重大意義。說到這里,我們就要切入正題了,即:只要我們顛覆(即修改)了操作系統的核心服務(即內核),那么整個系統包括各種應用就完全處于我們的掌控之下了。要想顛覆內核,前提條件是能把我們的代碼導入內核。
其中針對SunOS和Linux兩種操作系統的rootkit最多(樹大招風:P)。所有的rootkit基本上都是由幾個獨立的程序組成的,一個典型rootkit包括:
1 以太網嗅探器程程序,用于獲得網絡上傳輸的用戶名和密碼等信息。
2 特洛伊木馬程序,例如:inetd或者login,為攻擊者提供后門。
3 隱藏攻擊者的目錄和進程的程序,例如:ps、netstat、rshd和ls等。
4 可能還包括一些日志清理工具,例如:zap、zap2或者z2,攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關自己行蹤的條目。
一些復雜的rootkit還可以向攻擊者提供telnet、shell和finger等服務。
還包括一些用來清理/var/log和/var/adm目錄中其它文件的一些腳本。
攻擊者使用rootkit中的相關程序替代系統原來的ps、ls、netstat和df等程序,使系統管理員無法通過這些工具發現自己的蹤跡。接著使用日志清理工具清理系統日志,消除自己的蹤跡。然后,攻擊者會經常地通過安裝的后門進入系統查看嗅探器的日志,以發起其它的攻擊。如果攻擊者能夠正確地安裝rootkit并合理地清理了日志文件,系統管理員就會很難察覺系統已經被侵入,直到某一天其它系統的管理員和他聯系或者嗅探器的日志把磁盤全部填滿,他才會察覺已經大禍臨頭了。但是,大多數攻擊者在清理系統日志時不是非常小心或者干脆把系統日志全部刪除了事,警覺的系統管理員可以根據這些異常情況判斷出系統被侵入。不過,在系統恢復和清理過程中,大多數常用的命令例如ps、df和ls已經不可信了。許多rootkit中有一個叫做FIX的程序,在安裝rootkit之前,攻擊者可以首先使用這個程序做一個系統二進制代碼的快照,然后再安裝替代程序。FIX能夠根據原來的程序偽造替代程序的三個時間戳(atime、ctime、mtime)、date、permission、所屬用戶和所屬用戶組。如果攻擊者能夠準確地使用這些優秀的應用程序,并且在安裝rootkit時行為謹慎,就會讓系統管理員很難發現。
LINUX ROOTKIT IV
前面說過,大部分rootkit是針對Linux和SunOS的,下面我們介紹一個非常典型的針對Linux系統的rootkit--Linux Rootkit IV。Linux Rootkit IV是一個開放源碼的rootkit,是Lord Somer編寫的,于1998年11月發布。不過,它不是第一個Linux Rootkit,在它之前有lrk、lnrk、lrk2和lrk3等Linux Rootkit。這些rootkit包括常用的rootkit組件,例如嗅探器、日志編輯/刪除工具、和后門程序的。
經過這么多年的發展,Linux Rootkit IV功能變的越來越完善,具有的特征也越來越多。不過,雖然它的代碼非常龐大,卻非常易于安裝和使用,只要執行make install就可以成功安裝。如果你還要安裝一個shadow工具,只要執行make shadow install就可以了。注意:Linux Rootkit IV只能用于Linux 2.x的內核。下面我們簡單地介紹一下Linux Rootkit IV包含的各種工具,詳細的介紹請參考其發布包的README文件。
隱藏入侵者行蹤的程序
為了隱藏入侵者的行蹤,Linux Rootkit IV的作者可謂煞費心機,編寫了許多系統命令的替代程序,使用這些程序代替原由的系統命令,來隱藏入侵者的行蹤。這些程序包括:
ls、find、du
這些程序會阻止顯示入侵者的文件以及計算入侵者文件占用的空間。在編譯之前,入侵者可以通過ROOTKIT_FILES_FILE設置自己的文件所處的位置,默認是/dev/ptyr。注意如果在編譯時使用了SHOWFLAG選項,就可以使用ls -/命令列出所有的文件。這幾個程序還能夠自動隱藏所有名字為:ptyr、hack.dir和W4r3z的文件。
ps、top、pidof
這幾個程序用來隱藏所有和入侵者相關的進程。
netstat
隱藏出/入指定IP地址或者端口的網絡數據流量。
killall
不會殺死被入侵者隱藏的進程。
ifconfig
如果入侵者啟動了嗅探器,這個程序就阻止PROMISC標記的顯示,使系統管理員難以發現網絡接口已經處于混雜模式下。
crontab
隱藏有關攻擊者的crontab條目。
tcpd
阻止向日志中記錄某些連接
syslogd
過濾掉日志中的某些連接信息
木馬程序
為本地用戶提供后門,包括:
chfn
提升本地普通用戶權限的程序。運行chfn,在它提示輸入新的用戶名時,如果用戶輸入rookit密碼,他的權限就被提升為root。默認的rootkit密碼是satori。
chsh
也是一個提升本地用戶權限的程序。運行chsh,在它提示輸入新的shell時,如果用戶輸入rootkit密碼,他的權限就被提升為root。
passwd
和上面兩個程序的作用相同。在提示你輸入新密碼時,如果輸入rookit密碼,權限就可以變成root。
login
允許使用任何帳戶通過rootkit密碼登錄。如果使用root帳戶登錄被拒絕,可以嘗試一下rewt。當使用后門時,這個程序還能夠禁止記錄命令的歷史記錄。
木馬網絡監控程序
這些程序為遠程用戶提供后門,可以向遠程用戶提供inetd、rsh、ssh等服務,具體因版本而異。隨著版本的升級,Linux Rootkit IV的功能也越來越強大,特征也越來越豐富。一般包括如下網絡服務程序:
inetd
特洛伊inetd程序,為攻擊者提供遠程訪問服務。
rshd
為攻擊者提供遠程shell服務。攻擊者使用rsh -l rootkitpassword host command命令就可以啟動一個遠程root shell。
sshd
為攻擊者提供ssh服務的后門程序。
工具程序
所有不屬于以上類型的程序都可以歸如這個類型,它們實現一些諸如:日志清理、報文嗅探以及遠程shell的端口綁定等功能,包括:
fix
文件屬性偽造程序
linsniffer
報文嗅探器程序。
sniffchk
一個簡單的bash shell腳本,檢查系統中是否正有一個嗅探器在運行。
wted
wtmp/utmp日志編輯程序。你可以使用這個工具編輯所有wtmp或者utmp類型的文件。
z2
utmp/wtmp/lastlog日志清理工具。可以刪除utmp/wtmp/lastlog日志文件中有關某個用戶名的所有條目。不過,如果用于Linux系統需要手工修改其源代碼,設置日志文件的位置。
bindshell rootkit
在某個端口上綁定shell服務,默認端口是12497。為遠程攻擊者提供shell服務。
如何發現rootkit
很顯然,只有使你的網絡非常安全讓攻擊者無隙可乘,才能是自己的網絡免受rootkit的影響。不過,恐怕沒有人能夠提供這個保證,但是在日常的網絡管理維護中保持一些良好的習慣,能夠在一定程度上減小由rootkit造成的損失,并及時發現rootkit的存在。
首先,不要在網絡上使用明文傳輸密碼,或者使用一次性密碼。這樣,即使你的系統已經被安裝了rootkit,攻擊者也無法通過網絡監聽,獲得更多用戶名和密碼,從而避免入侵的蔓延。
使用Tripwire和aide等檢測工具能夠及時地幫助你發現攻擊者的入侵,它們能夠很好地提供系統完整性的檢查。這類工具不同于其它的入侵檢測工具,它們不是通過所謂的攻擊特征碼來檢測入侵行為,而是監視和檢查系統發生的變化。Tripwire首先使用特定的特征碼函數為需要監視的系統文件和目錄建立一個特征數據庫,所謂特征碼函數就是使用任意的文件作為輸入,產生一個固定大小的數據(特征碼)的函數。入侵者如果對文件進行了修改,即使文件大小不變,也會破壞文件的特征碼。利用這個數據庫,Tripwire可以很容易地發現系統的變化。而且文件的特征碼幾乎是不可能偽造的,系統的任何變化都逃不過Tripwire的監視(當然,前提是你已經針對自己的系統做了準確的配置:P,關于Tripwire和aide的使用請參考本站的相關文章)。最后,需要能夠把這個特征碼數據庫放到安全的地方。
Rootkit 是一種特殊類型的 malware(惡意軟件)。Rootkit 之所以特殊是因為您不知道它們在做什么事情。Rootkit 基本上是無法檢測到的,而且幾乎不可能刪除它們。雖然檢測工具在不斷增多,但是惡意軟件的開發者也在不斷尋找新的途徑來掩蓋他們的蹤跡。
Rootkit 的目的在于隱藏自己以及其他軟件不被發現。它可以通過阻止用戶識別和刪除攻擊者的軟件來達到這個目的。Rootkit 幾乎可以隱藏任何軟件,包括文件服務器、鍵盤記錄器、Botnet 和 Remailer。許多 Rootkit 甚至可以隱藏大型的文件集合并允許攻擊者在您的計算機上保存許多文件,而您無法看到這些文件。
Rootkit 本身不會像病毒或蠕蟲那樣影響計算機的運行。攻擊者可以找出目標系統上的現有漏洞。漏洞可能包括:開放的網絡端口、未打補丁的系統或者具有脆弱的管理員密碼的系統。在獲得存在漏洞的系統的訪問權限之后,攻擊者便可手動安裝一個 Rootkit。這種類型的偷偷摸摸的攻擊通常不會觸發自動執行的網絡安全控制功能,例如入侵檢測系統。
找出 Rootkit 十分困難。有一些軟件包可以檢測 Rootkit。這些軟件包可劃分為以下兩類:基于簽名的檢查程序和基于行為的檢查程序。基于簽名(特征碼)的檢查程序,例如大多數病毒掃描程序,會檢查二進制文件是否為已知的 Rootkit。基于行為的檢查程序試圖通過查找一些代表 Rootkit 主要行為的隱藏元素來找出 Rootkit。一個流行的基于行為的 Rootkit 檢查程序是 Rootkit Revealer.
在發現系統中存在 Rootkit 之后,能夠采取的補救措施也較為有限。由于 Rootkit 可以將自身隱藏起來,所以您可能無法知道它們已經在系統中存在了多長的時間。而且您也不知道 Rootkit 已經對哪些信息造成了損害。對于找出的 Rootkit,最好的應對方法便是擦除并重新安裝系統。雖然這種手段很嚴厲,但是這是得到證明的唯一可以徹底刪除 Rootkit 的方法。
防止 Rootkit 進入您的系統是能夠使用的最佳辦法。為了實現這個目的,可以使用與防范所有攻擊計算機的惡意軟件一樣的深入防衛策略。深度防衛的要素包括:病毒掃描程序、定期更新軟件、在主機和網絡上安裝防火墻,以及強密碼策略等。
Rootkit病毒 是怎么回事?
你好:
簡單的說,Rootkit是一種特殊的惡意軟件,它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡鏈接等信息,比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結合使用。Rootkit通過加載特殊的驅動,修改系統內核,進而達到隱藏信息的目的。
這種病毒,一般都很難清除,你可以訪問騰訊電腦管家官網,下載安裝一個電腦管家
使用電腦管家工具箱中的頑固木馬克星來查殺一下
它專門為普通殺軟檢測不到,或者檢測到無法清除的頑固威脅而設計
采用特別強力的查殺引擎,可以清除各種頑固的木馬病毒
如果以后有什么問題,歡迎再來電腦管家企業平臺詢問,我們會盡心為您解答
rootkit病毒怎么殺不掉?
擁有Rootkit技術的一般都是比較厲害的病毒。360當然對付不了。
去www.xuetr.com下載Xuetr。
直接解壓后放到桌面。
之后,打開360,查殺,從結果中記錄這個病毒的文件的位置,比如D:/123/123.exe
之后重啟電腦,不停按F8進入安全模式,打開Xuetr,點上方[文件]標簽,進入D:/123,右側找到123.exe,選中-右鍵-強制刪除。
電腦中了rootkit病毒該怎么辦?
Norton防病毒軟件報告c:windowssystem32orans.sys文件為Rootkit型病毒,這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測的。那么是否刪除了該文件就能清除病毒呢,答案是不行的。
首先在染毒的系統下該文件是受保護的,無法被刪除。即使用戶在安全模式下刪除了文件,重新啟動后,另外一個未被刪除的病毒文件將隨系統啟動,并監控系統。
一旦其發現系統的注冊表被修改或病毒的SYS文件遭刪除,病毒就會重新生成該文件并改回注冊表,所以很多時候我們會發現病毒又重生了。因此需要同時找到這兩個文件,一并處理。但在受感染的系統中,真正的病毒體已經被Rootkit模塊隱藏了,不能被殺毒軟件檢測到。
這時就需要從系統中的進程找到病毒的蛛絲馬跡。系統自帶的任務管理器缺少完成這一任務的一些高級功能,不建議使用。這里向大家推薦IceSword或Process Explorer軟件,這兩款軟件都能觀察到系統中的各類進程及進程間的相互關系,還能顯示進程映像文件的路徑、命令行、系統服務名稱等相關信息。
在分析過程中不僅要留意陌生的進程,一些正常系統進程也要仔細檢查,因為病毒常以子進程插入的方式將自己掛到系統正常進程中。在IceSword軟件中以紅色顯示的進程為隱藏進程,往往是內核型木馬的進程。
端口分析也是一種常用的方法,因為病毒常打開特殊的端口等待執行遠程命令,部分病毒還會試圖連接特定的服務器或網站,通過進程與端口的關聯,檢測到病毒進程。
在上面的例子中我們通過比對正常運行的系統和染毒系統很快就判斷出系統中的restore進程為異常進程,該進程的映像文件為c:windowsrestore. exe,這樣我們就找到了病毒體文件。而當找到這個文件時,發現Norton沒有告警,可見病毒文件躲過了殺毒軟件。
進一步分析還發現病毒在系統中添加了一項服務,服務名稱為“restore”,可執行文件路徑指向病毒文件。
手工清除病毒
1.關閉系統還原功能,右鍵單擊“我的電腦”,選擇“屬性”,在“系統屬性”中選擇“系統還原”面版,勾選“在所有驅動器上關閉系統還原”,關閉系統還原功能。
2.重新啟動計算機進入安全模式,在“控制面板”→“管理工具”中單擊“服務”,病毒在這里添加了“restore”服務,將該服務禁用。
3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。
4.運行注冊表管理器regedt32. exe,查找注冊表病毒添加的表項。在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
三個分支下發現病毒添加的 “orans.sys”和“restore” 注冊表項,刪除該表項。
5.重啟動系統到正常模式,打開系統還原功能,并為系統安裝補丁程序。
這類病毒的變種很多,從病毒生成的可執行文件到注冊的系統服務、傳播及危害方式都有所不同,這里主要提供一個思路,大家在遇到時能找準根源解決問題。另外這類病毒多數是利用操作系統的漏洞或猜解管理員的口令入侵的,有些病毒還能同時利用多個漏洞,逐一嘗試。
因此大家要充分意識到打補丁的重要性,同時避免空或弱的管理員口令,降低病毒入侵的機會。Window PE和360系統急救箱殺毒原理說明
Windows預安裝環境,它包括運行安裝程序、磁盤文件操作、連接網絡共享以及執行硬件驗證所需的最小Windows 功能集。WinPE就是一個超級迷你版的 Windows。WinPE系統由于超級迷你,可以非常方便地安裝在U盤中,或者刻錄到光盤,從而可以通過U盤或光盤啟動電腦。
通常情況下,當電腦中招后,在系統的啟動序列上,殺毒軟件位于木馬病毒運行之后。這點導致殺毒軟件在處理已感染病毒的電腦時存在技術劣勢。因為木馬優先運行的驅動可以造成殺毒軟件加載失敗,木馬還會使用各種Rootkit技術隱藏自身的文件、進程、模塊甚至使用ShellCode方式攻擊系統和殺毒軟件信任區、阻擾殺毒軟件聯網、修改殺軟的云端查詢結果,讓殺軟處于被動。而WinPE系統則為這種情況下徹底清除惡性木馬病毒提供了嶄新的思路。用帶有WinPE系統的U盤或光盤引導電腦后,新的格局出現了:無論多么頑固的木馬也是死馬、廢馬,它的各種花招沒有機會使用,現出原形,儼然成了殺毒軟件的刀下魚肉。
360系統急救箱依靠強大的研發實力解決了種種難題,首創了WinPE版的急救箱,既充分發揮了WinPE系統帶來的優勢,又妥善處置了系統中的各類高端木馬,例如MBR病毒、驅動木馬、網絡劫持類木馬、替換系統文件的木馬以及白利用木馬等等。
2/5
U盤安裝WinPE系統
1.下載U盤啟動工具
百度搜索 "u盤啟動系統" 或者 "u盤pe系統" 找到相應工具后安裝。
2.制作啟動U盤
運行安裝好的U盤啟動工具,將準備好的U盤插入電腦USB接口。以老毛桃pe工具為例說明,一鍵制作USB啟動盤
展開長圖
3/5
電腦啟動設置
將360系統急救箱WinPE版拷貝到制作好的啟動U盤中。設置中了病毒的電腦BIOS引導序列,將啟動項設為U盤優先。然后重新啟動電腦,引導進入WinPE系統。
4/5
運行系統急救箱
進入PE系統后,找到并運行U盤內的360系統急救箱。開始殺毒。
查看剩余2張圖
5/5
重啟電腦
拔掉插在電腦上的U盤,重啟電腦到正常系統,再用安全軟件查殺,確保電腦沒有病毒。
RootKit病毒怎么殺?
RootKit病毒,是指感染硬盤引導區的病毒,通過修改磁盤主引導記錄(MBR)來實現在電腦中的長期駐留。遇到此類病毒,可以通過以下兩種方式進行查殺:
使用普通殺毒軟件進行查殺。目前大多數的殺毒軟件在進行病毒查殺時,都會檢查磁盤主引導記錄是否遭到惡意修改,因此,只需要進行一次病毒掃描,并修復磁盤主引導記錄,就可以快速清除此類病毒。
如果殺毒軟件不能檢測到此類病毒,可以使用引導區還原軟件進行修復。一旦磁盤主引導記錄恢復正常,病毒將會自動失去作用。
