如何阻止驱动程序运行 - 它自我保护且隐藏 rootkit

Question 1

这和你在谈论的系统是同一个吗这个问题？

就像我也说过的元，为什么不直接插入系统恢复 CD（通常随系统提供），让它工作呢？或者直接插入 Windows 安装 CD，格式化系统驱动器，然后从头开始重新安装？

确实，重新安装受 rootkit 感染的 PC 通常比清理它花费的时间更少。我是根据经验说的 ;-)

Answer

这和你在谈论的系统是同一个吗这个问题？

就像我也说过的元，为什么不直接插入系统恢复 CD（通常随系统提供），让它工作呢？或者直接插入 Windows 安装 CD，格式化系统驱动器，然后从头开始重新安装？

确实，重新安装受 rootkit 感染的 PC 通常比清理它花费的时间更少。我是根据经验说的 ;-)

Question 2

Sysinternals 的最新版本的 Autoruns 可用于禁用离线系统上的条目（甚至是驱动程序！），这是一个很好的替代解决方案！

Answer

Sysinternals 的最新版本的 Autoruns 可用于禁用离线系统上的条目（甚至是驱动程序！），这是一个很好的替代解决方案！

Question 3

这是解决方案以及我如何消除这种令人讨厌的想法。

我花了一个小时，我得到了从我的电脑中保存的旧 winternals ERD Commander。

因为这是一台没有 DVD 的平板小型电脑，所以我用 peToUsb 将 CD 放入 USB 存储器中，然后从此 USB 存储器启动电脑。

从那一刻起我已将受感染电脑的注册表编辑器脱机，此病毒不再活跃并且无法保护自己。

所以我去删除离线注册表所有与该病毒相关的引用，并删除我发现的在启动时加载的文件。

清除所有临时目录，检查启动时自动运行的内容，就这么简单。我将其删除。

所以我重新启动，病毒就不再存在了。

这里的关键是旧的 ERD Commander，一个离线注册表编辑器。

最后，我从来没有因为这个原因重新安装过整个系统，这就是我的目的——即使你有更多的时间，你也会学到很多东西。最重要的是——你学会了如何消除影响你的想法，这样下次你就可以做得更快。

想象一下，如果我重新安装整个系统，安装后一封电子邮件再次影响我，我该怎么办，一次又一次地重新安装？不，我不这么认为。

我如何确定它已被完全删除。

答案是完整的教程。我将在这里重点介绍针对此特定问题的一些要点

这个病毒我不知道他的名字，是抓取服务，作为服务运行并发送电子邮件。仅通过监控 tcpview 即可停止此操作。因此不再运行。

我怎么不知道它不再存在了。使用自动运行我找到了这个程序运行和初始化的所有点，包括服务点，我只是在磁盘上找到它们并删除它们。在这种情况下，该点仅在临时目录中。

实际上我不能 100% 确定我能完全将其移除，但如果它再次着火，我会再次找到它。到目前为止，在类似情况下我从未遇到过这个问题 - 通常从一个点出发，找到所有存在的点。

什么是 ERD Commander

ERD commander 是同一个人开发的工具，它可以修复进程资源管理器和自动运行，是一个运行 Windows 的启动盘，可以抓取您的 Windows 系统，以便您可以编辑注册表、在系统脱机时运行其他程序、删除文件等。

Microsoft 已购买此工具，并将把它包含在新版本的 Windows 中，可能名为 Dart（诊断和恢复工具集）。我不知道，因为我仍在使用 XP。如果有人知道 MS 制作了此工具，请告诉我。

http://www.microsoft.com/systemcenter/winternals.mspx
http://en.wikipedia.org/wiki/Winternals
http://www.microsoft.com/windows/enterprise/products/mdop/dart.aspx

关于 ERD 的教程太多了，如果你不了解，那么值得一看。

在此处输入图片描述

ERD Commander 由启动 CD 运行，启动 CD 可以从运行良好的机器上创建。ERD Commander 不再出售，我已经拥有它好几年了，因为我是 sysinternals 和 winternals 的粉丝，但这是一个开始的点 - 在互联网上搜索并告诉我发生了什么。实际上我会在这里提出一个问题。

在我完成所有这些操作之后，我将其删除并且不再运行，因此它不再受到保护，NOD32 说xpgplw.sys -> rootkit.agent.nrb 木马

xpgplw.sys 我发现这个文件有 4 个随机字符，xp????.sys 所以我在网上查找有类似问题的信息，但更改了这个想法的名称。

如果你问我为什么没有 rootkit 清除程序能够将其删除，我的回答是因为它是作为 Windows 的关键驱动程序加载的，然后会自动保护自己。

Answer

这是解决方案以及我如何消除这种令人讨厌的想法。

我花了一个小时，我得到了从我的电脑中保存的旧 winternals ERD Commander。

因为这是一台没有 DVD 的平板小型电脑，所以我用 peToUsb 将 CD 放入 USB 存储器中，然后从此 USB 存储器启动电脑。

从那一刻起我已将受感染电脑的注册表编辑器脱机，此病毒不再活跃并且无法保护自己。

所以我去删除离线注册表所有与该病毒相关的引用，并删除我发现的在启动时加载的文件。

清除所有临时目录，检查启动时自动运行的内容，就这么简单。我将其删除。

所以我重新启动，病毒就不再存在了。

这里的关键是旧的 ERD Commander，一个离线注册表编辑器。

最后，我从来没有因为这个原因重新安装过整个系统，这就是我的目的——即使你有更多的时间，你也会学到很多东西。最重要的是——你学会了如何消除影响你的想法，这样下次你就可以做得更快。

想象一下，如果我重新安装整个系统，安装后一封电子邮件再次影响我，我该怎么办，一次又一次地重新安装？不，我不这么认为。

我如何确定它已被完全删除。

答案是完整的教程。我将在这里重点介绍针对此特定问题的一些要点

这个病毒我不知道他的名字，是抓取服务，作为服务运行并发送电子邮件。仅通过监控 tcpview 即可停止此操作。因此不再运行。

我怎么不知道它不再存在了。使用自动运行我找到了这个程序运行和初始化的所有点，包括服务点，我只是在磁盘上找到它们并删除它们。在这种情况下，该点仅在临时目录中。

实际上我不能 100% 确定我能完全将其移除，但如果它再次着火，我会再次找到它。到目前为止，在类似情况下我从未遇到过这个问题 - 通常从一个点出发，找到所有存在的点。

什么是 ERD Commander

ERD commander 是同一个人开发的工具，它可以修复进程资源管理器和自动运行，是一个运行 Windows 的启动盘，可以抓取您的 Windows 系统，以便您可以编辑注册表、在系统脱机时运行其他程序、删除文件等。

Microsoft 已购买此工具，并将把它包含在新版本的 Windows 中，可能名为 Dart（诊断和恢复工具集）。我不知道，因为我仍在使用 XP。如果有人知道 MS 制作了此工具，请告诉我。

http://www.microsoft.com/systemcenter/winternals.mspx
http://en.wikipedia.org/wiki/Winternals
http://www.microsoft.com/windows/enterprise/products/mdop/dart.aspx

关于 ERD 的教程太多了，如果你不了解，那么值得一看。

在此处输入图片描述

ERD Commander 由启动 CD 运行，启动 CD 可以从运行良好的机器上创建。ERD Commander 不再出售，我已经拥有它好几年了，因为我是 sysinternals 和 winternals 的粉丝，但这是一个开始的点 - 在互联网上搜索并告诉我发生了什么。实际上我会在这里提出一个问题。

在我完成所有这些操作之后，我将其删除并且不再运行，因此它不再受到保护，NOD32 说xpgplw.sys -> rootkit.agent.nrb 木马

xpgplw.sys 我发现这个文件有 4 个随机字符，xp????.sys 所以我在网上查找有类似问题的信息，但更改了这个想法的名称。

如果你问我为什么没有 rootkit 清除程序能够将其删除，我的回答是因为它是作为 Windows 的关键驱动程序加载的，然后会自动保护自己。

如何阻止驱动程序运行 - 它自我保护且隐藏 rootkit

答案1

答案2

答案3

我如何确定它已被完全删除。

什么是 ERD Commander

相关内容