RootKit.Win32.Agent.fif(后门程序)
Rootkit类木马具有很强的隐蔽性与再生性,他可以使用多种方式再次激活自己,比如感染可执行文件,AutoRun.inf或者插入系统进程。
由于此类木马的种类非常多,不同的种类也有不同的症状,手动清除是不实际的。
建议您先使用专业反Rootkit软件,进入安全模式查杀(开机按F8键进入)。
专业的专业反Rootkit软件我在此推荐几款给您一款。
“超级巡警”(免费) 下载页面地址: /download/2.html 如果能查到,但是无法清除,那就找到木马文件的位置用强制删除工具删掉即可,文件删除后,也要记得清理启动项哦。
Unlocker 强制删除工具 最新多国语言版 由于软件的特殊性,部分杀软会报毒。
下载页面地址: /download/13.html 黑客后门工具中的系统病毒。
可以使某些反病毒软件的自我保护和监控失效。
先杀毒,建议楼主使用可牛免费杀毒,最近国内唯一一个通过VB100权威测试的国内杀毒软件,同期水平已经超越国内所有杀毒软极爱你,不占内存,支持兼容其他杀毒软件,贝壳云查杀技术,十分牛B
这是下载地址:/index.html
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒,这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。
那么是否删除了该文件就能清除病毒呢,答案是不行的。
首先在染毒的系统下该文件是受保护的,无法被删除。
即使用户在安全模式下删除了文件,重新启动后,另外一个未被删除的病毒文件将随系统启动,并监控系统。
一旦其发现系统的注册表被修改或病毒的SYS文件遭删除,病毒就会重新生成该文件并改回注册表,所以很多时候我们会发现病毒又重生了。
因此需要同时找到这两个文件,一并处理。
但在受感染的系统中,真正的病毒体已经被Rootkit模块隐藏了,不能被杀毒软件检测到。
这时就需要从系统中的进程找到病毒的蛛丝马迹。
系统自带的任务管理器缺少完成这一任务的一些高级功能,不建议使用。
这里向大家推荐IceSword或Process Explorer软件,这两款软件都能观察到系统中的各类进程及进程间的相互关系,还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。
在分析过程中不仅要留意陌生的进程,一些正常系统进程也要仔细检查,因为病毒常以子进程插入的方式将自己挂到系统正常进程中。
在IceSword软件中以红色显示的进程为隐藏进程,往往是内核型木马的进程。
端口分析也是一种常用的方法,因为病毒常打开特殊的端口等待执行远程命令,部分病毒还会试图连接特定的服务器或网站,通过进程与端口的关联,检测到病毒进程。
在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程,该进程的映像文件为c:windowsrestore. exe,这样我们就找到了病毒体文件。
而当找到这个文件时,发现Norton没有告警,可见病毒文件躲过了杀毒软件。
进一步分析还发现病毒在系统中添加了一项服务,服务名称为“restore”,可执行文件路径指向病毒文件。
手工清除病毒
1.关闭系统还原功能,右键单击“我的电脑”,选择“属性”,在“系统属性”中选择“系统还原”面版,勾选“在所有驱动器上关闭系统还原”,关闭系统还原功能。
2.重新启动计算机进入安全模式,在“控制面板”→“管理工具”中单击“服务”,病毒在这里添加了“restore”服务,将该服务禁用。
3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。
4.运行注册表管理器regedt32. exe,查找注册表病毒添加的表项。
在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services
三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项,删除该表项。
5.重启动系统到正常模式,打开系统还原功能,并为系统安装补丁程序。
这类病毒的变种很多,从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同,这里主要提供一个思路,大家在遇到时能找准根源解决问题。
另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的,有些病毒还能同时利用多个漏洞,逐一尝试。
因此大家要充分意识到打补丁的重要性,同时避免空或弱的管理员口令,降低病毒入侵的机会。
云如故是一家成立于2018年的国内企业IDC服务商,由山东云如故网络科技有限公司运营,IDC ICP ISP CDN VPN IRCS等证件齐全!合法运营销售,主要从事自营高防独立服务器、物理机、VPS、云服务器,虚拟主机等产品销售,适合高防稳定等需求的用户,可用于建站、游戏、商城、steam、APP、小程序、软件、资料存储等等各种个人及企业级用途。机房可封UDP 海外 支持策略定制 双层硬件(傲...
wordpress高级跨屏企业主题,通用响应式跨平台站点开发,自适应PC端+各移动端屏幕设备,高级可视化自定义设置模块+高效的企业站搜索优化。wordpress绿色企业自适应主题采用标准的HTML5+CSS3语言开发,兼容当下的各种主流浏览器: IE 6+(以及类似360、遨游等基于IE内核的)、Firefox、Google Chrome、Safari、Opera等;同时支持移动终端的常用浏览器应...
racknerd怎么样?racknerd美国便宜vps又开启促销模式了,机房优秀,有洛杉矶DC-02、纽约、芝加哥机房可选,最低配置4TB月流量套餐16.55美元/年,此外商家之前推出的最便宜的9.49美元/年套餐也补货上架,同时RackNerd美国AMD VPS套餐最低才14.18美元/年,是全网最便宜的AMD VPS套餐!RackNerd主要经营美国圣何塞、洛杉矶、达拉斯、芝加哥、亚特兰大、新...