rootkit病毒怎么查杀？

方法具体点，我的MP5中毒了，用360查杀不要！

最近开始真正流行Rootkit病毒了，到目前为止此类病毒破坏力并不强，可是却非常难清除。 Rootkit特殊性就在于隐藏了自己的进程，甚至是注册表键值都会隐藏起来看不到。这里说的隐藏是完全式的，打个比方：病毒有两个文件，一个*.exe和*.sys，它们同时运行于内存中，可是反病毒软件却是无论如何查杀内存都找不到病毒，尤其是那个*.exe（但是当这两个病毒文件没有运行时反病毒软件能够在硬盘中找到并清除） 所以成功找到并结束病毒体文件成了本贴的一个关键环节... 这里需要用到IceSword这个工具，此工具能够看到所以隐藏的进程、服务、注册表键值，其属于非常底层的工具，虽然功能非常强大但是却具有一定的危险性，所以大家不能盲目使用此工具，否则很容易导致系统崩溃，此工具可以到我的网络U盘中下载注意，此类病毒变种将会越来越多，预防是关键。如何预防： 1、为你的系统打好所有补丁，方法是通过系统自带的Windows Update。 对于windows2000用户，请下载SP4补丁包安装，然后再通过Windows Update打全其他剩余的Hotfix补丁程序，或者使用下面的补丁包：点击这里下载Win2000系统SP4之后的补丁汇集(适用于中文2000系统) 对于windowsXP用户，请下载SP2补丁包安装，然后再通过Windows Update打全其他剩余的Hotfix补丁程序 对于windows2003用户，请下载SP1补丁包安装，然后再通过Windows Update打全其他剩余的Hotfix补丁程序 对于win9X/ME用户，我是已经放弃谈论此系统了，所以不想多说，如果你这么恋旧在下也没办法，此类系统因为先天不足所以再怎么补也是无济于事。 ——补丁问题只涉及谈论正版系统用户，盗版系统打了补丁后出现什么问题别来找我 2、为你的系统帐户，尤其是具有管理员权限的帐户设置足够复杂的密码保护。 3、上网时开启性能优秀的防火墙软件，如果没有防火墙软件，可以使用windows自带的。 4、平时开启反病毒软件的监控，并注意经常更新病毒库（最好一天一次以上） 病毒多为隐藏文件属性，需要设置才看得到，如何设置显示隐藏文件请看此帖： http://bbs.fuwu.net.cn/read.php?tid=1282&fpage=1 先来看看最常见的一个病毒实例：extel.exe rdriv.sys 如何知道自己是中了此病毒，很简单，就是用IceSword的进程查看，如果发现有extel.exe的存在，且此进程又属于隐藏进程，那么你多半就是中了这个病毒（注意，在IceSword中隐藏进程是以红色显示的） 清除方法： 1、欣赏一下病毒的隐藏进程，你可以看看Windows的任务管理器中是否有此进程的存在。没有吧，再看看IceSword里面，怎么样，是否显原形了。不要试图去结束它，没用的，病毒会反复运行（如图所示）。 2、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这两个键然后将它们删除（如图所示，注意这里只列举了其中一个注册表键值）： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Externtelecom] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv] 3、重新启动计算机，然后找到并删除以下文件： %Windir%\extel.exe %Windir%\System32\rdriv.sys %Windir%代表：对于9X、ME、XP、2003系统为windows目录对于2000系统为winnt目录 再来看看另一个常见的病毒实例：images.exe rdriv.sys 如何知道自己是中了此病毒，很简单，就是用IceSword的进程查看，如果发现有images.exe的存在，且此进程又属于隐藏进程，那么你多半就是中了这个病毒（注意，在IceSword中隐藏进程是以红色显示的） 清除方法： 1、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这两个键然后将它们删除： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\images] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv] 2、重新启动计算机，然后找到并删除以下文件： %Windir%\images.exe %Windir%\System32\rdriv.sys %Windir%代表：对于9X、ME、XP、2003系统为windows目录对于2000系统为winnt目录 再来一个常见的病毒实例：xpjava.exe msdirectx.sys 如何知道自己是中了此病毒，很简单，就是用IceSword的进程查看，如果发现有xpjava.exe的存在，且此进程又属于隐藏进程，那么你多半就是中了这个病毒（注意，在IceSword中隐藏进程是以红色显示的） 清除方法： 1、通过IceSword找到xpjava.exe此病毒的隐藏进程，然后将其结束掉。 2、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这个键然后将它删除： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx] 3、打开注册表编辑器，找到以下项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 将"Userinit"="userinit.exe,xpjava.exe"恢复为"%windir%\system32\userinit.exe" 4、重新启动计算机，然后找到并删除以下文件： %Windir%\System32\msdirectx.sys %Windir%\System32\xpjava.exe %Windir%代表：对于9X、ME、XP、2003系统为windows目录对于2000系统为winnt目录 再来看看另一个常见的病毒实例：glqpad.exe msdirectx.sys 如何知道自己是中了此病毒，很简单，就是用IceSword的进程查看，如果发现有glqpad.exe的存在，且此进程又属于隐藏进程，那么你多半就是中了这个病毒（注意，在IceSword中隐藏进程是以红色显示的） 清除方法： 1、打开IceSword，找到并结束掉glqpad.exe这个隐藏的病毒进程。 2、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这个键然后将它删除： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirectx] 3、打开注册表编辑器，找到这一项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 将"Userinit"="userinit.exe,glqpad.exe"恢复为"%windir%\system32\userinit.exe" 4、重新启动计算机，然后找到并删除以下文件： %Windir%\System32\glqpad.exe %Windir%\System32\msdirectx.sys %Windir%代表：对于9X、ME、XP、2003系统为windows目录对于2000系统为winnt目录 再来看看另一个常见的病毒实例：Edit.exe rdriv.sys 如何知道自己是中了此病毒，很简单，就是用IceSword的进程查看，如果发现有Edit.exe的存在，且此进程又属于隐藏进程，那么你多半就是中了这个病毒（注意，在IceSword中隐藏进程是以红色显示的） 清除方法： 1、打开注册表编辑器或者直接使用IceSword附带的注册表编辑工具，展开并找到这两个键然后将它们删除： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HexadecimaRepresentation] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv] 2、重新启动计算机，然后找到并删除以下文件： %Windir%\Edit.exe %Windir%\System32\rdriv.sys %Windir%代表：对于9X、ME、XP、2003系统为windows目录对于2000系统为winnt目录其实这个病毒大家可以到DOS下使用del命令删除病毒的相关文件（主要指的是那个exe和sys病毒体），然后进入正常模式下把病毒的相关注册表键值删除既可 对于双系统用户更方便，只需到另一个操作系统中删除病毒文件即可，然后回到中毒的系统中删除病毒的相关注册表键值即可 病毒样本会层出不穷，大家不要死板，用IceSword查找隐藏进程，然后参考上述的方法以此类推删除病毒的相关注册表键值后重新启动计算机既可删除病毒文件... 病毒似乎会破坏局域网的相关设置，导致共享资源出错，局域网用户请尝试重新建立一下共享或者检查相关设置情况，目前的情况是病毒会删除IPC$共享，重新设置注册表的相关键值如下： 展开HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa的分支，在右边窗口中双击名为“restrictanonymous”的数值项，将他的“数值数据”设为0，重新启动计算机。
参考资料： http://bbs.fuwu.net.cn/read.php?tid=1283

用诺顿查杀试试看

Rootkit是指其主要功能为隐藏其他程式进程的软件。。。你MP5中了Rootkit病毒？是说MP5上有这个病毒文件？。。。MP5上的病毒你直接格机就行了。。MP5肯定有格式花的这个功能。。你别怕这个病毒影响的MP5操作系统，那是不可能的

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息