导航

狮子的网志

狮子的网志 - 对区域经济、区域网站、社区运营、互动营销感兴趣。

« 看图不说话:Google一下长株潭,两个结果。收藏:对话湖南卫视突破性增长的幕后人物--孙际铁 »

如何彻底清除 Hacktool.Rootkit 木马及相关变种!

前几天装软件中了个Hacktool.Rootkit ,杀毒软件报为低风险,是个盗游戏账号的东东,想想我也不玩什么网络游戏,也没什么可以盗的.罢了,没有管它.就让一天天升级的杀软过几天去搞定它吧.哪知到每次系统启动都会要报发现发险,等了两三天都没有见Symantec搞定它. 就是这样子, Symantec 企业级版本是不会对于低风险的东西那么反应快速的.他的主旨就是要保证企业级应用的正常.就像他所有默认永远只是隔离文件,而非直接删除.
我的机器是用的反病毒软件是Symantec AntiVirus 10.1企业版本.
如果你也是用的Symantec,那么我可以引导你一步步干掉这个东西,如果你不是用的Symantec,也没有关系.只要你已经知道哪个dll是Hacktool.Rootkit 释放出来的即可.也就是说,你必须要明确知道你的目标.

以下列出基本步骤及介绍几个工具,详细贴图我就不贴了.

1.升级Symantec到最新的病毒库,发现木马,无法直接清除,进入安全模式查杀也无法清除.因为此木马是以驱动程序的方式加载的.而且他的dll文件名是动态生成的,所以,当你发现木马时,在网上搜索该木马的dll文件时没有任何信息也不要感到奇怪.

2.开始>运行> regedit>F3> 查找你的Hacktool.Rootkit 加载的 xxx.dll ,在找到的相关项全部删除,特别是找到了处于"services"子键下的以该DLL同名的子键,也要删除.虽然这样做大部分重情下没有风险,但我还是建议你在这之前备份一下注册表.

3.安装一个MaxDOS工具你就可以启动进入纯DOS模式了,进入后,删除你知道的那个DLL.因为这个文件被驱动程序方式加在,在windows和安全模式下都无法删除的.

4. 重新启动进入安全模式.启动"System Repair Engineer" 点"启动项"再点"驱动程序" 找到包含那个dll的那个驱动.修改启动方式为"禁用"

5.另外再介绍两个工具给你,一个冰刀IceSword,查看所有进程/服务/启动的.另一个的名字叫KillBox,强制删除无法删除的文件或文件夹的工具,都非常不错.

6.good luck!

Symantec 对 Hacktool.Rootkit 的描述:
Discovered: September 27, 2001
Updated: February 10, 2006 02:28:59 PM ZW3
Type: Trojan Horse
Infection Length: Varies
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Hacktool.Rootkit comprises a set of programs and scripts that work together to allow attackers to break into a system. If Hacktool.Rootkit is detected on a system, it is very likely that an attacker has gained complete control of that system. All files that are detected as Hacktool.Rootkit should be deleted. Infected systems may need to be restored from backups or patched to restore security.

更多在此:
http://www.symantec.com/security_response/writeup.jsp?docid=2002-011710-0057-99
  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Powered By Z-Blog .Theme from Google黑板报 By Washun

工业和信息化部备案编号:湘ICP备10024609号-23. Copyright © 2003-2011 狮子的网志. Some Rights Reserved.

Search

控制面板

网站分类

最新评论及回复

最近发表