UC知道如何卸载病毒伪装的驱动
来源:百度知道 编辑:UC知道 时间:2024/05/12 05:28:30
病毒伪装成驱动,并加载了两个文件,但无论删除这两个文件还是从注册表里删除他们的键值,都会马上恢复。所有进程除了系统都是安全的,感觉是svchost.exe这个系统进程被插入了什么东西,不停地写注册表和这两个文件,很多杀毒软件都可以查杀这两个文件,但都无法找到毒源,请教如何找出毒源?如何卸载病毒驱动程序?
超级兔子、360安全卫士、金山毒霸、诺顿、反间谍专家(没发现)、SSM、驱逐舰、小红伞、微点、完美卸载、木马防线、木马杀客(没发现)清理助手、卸载精灵、瑞新(根本没发现)都没用,使用的都是刚升级的最新版本。请提供有效的方法,最好是手动方式。不考虑重装系统。
对了,这两个文件是:
c:\windows\jkhanji.dll(驱动名jkhanji,注册表保护,不允许删除该键值)
c:\windows\system32\drivers\clkweb1.sys(驱动名clkweb1,自动恢复)。他们的服务已经被我禁用,并禁止运行病毒已知部分的程序。即使在安全模式下,病毒的功能没有受到任何限制,照样运行,照样保护他的文件和注册表设定。
拜托二楼,你的建议还不如直接叫我删除windows文件夹方便些。
已经说了是svchost.exe这个系统进程在写入注册表啦
不是伪装,绝对是正牌系统文件svchost
超级兔子、360安全卫士、金山毒霸、诺顿、反间谍专家(没发现)、SSM、驱逐舰、小红伞、微点、完美卸载、木马防线、木马杀客(没发现)清理助手、卸载精灵、瑞新(根本没发现)都没用,使用的都是刚升级的最新版本。请提供有效的方法,最好是手动方式。不考虑重装系统。
对了,这两个文件是:
c:\windows\jkhanji.dll(驱动名jkhanji,注册表保护,不允许删除该键值)
c:\windows\system32\drivers\clkweb1.sys(驱动名clkweb1,自动恢复)。他们的服务已经被我禁用,并禁止运行病毒已知部分的程序。即使在安全模式下,病毒的功能没有受到任何限制,照样运行,照样保护他的文件和注册表设定。
拜托二楼,你的建议还不如直接叫我删除windows文件夹方便些。
已经说了是svchost.exe这个系统进程在写入注册表啦
不是伪装,绝对是正牌系统文件svchost
这么nb,超过了熊猫烧香了
重装吧
应该是木马
用瑞星查查看
段开网络连接
进入安全模式
先把注册表里的Key值删除,注意不要有遗漏
然后把dll删除
关键一步是找到后门的进程在什么地方,因该是伪装成为windows的系统程序了,去win sys32 下面找一下,看看有什么可疑的,删掉,不过这个工作量比较大,有点耐心吧
哈哈
谁让你中了这么牛的木马呢
行啊
帮你分析一下吧
能不能想办法把你的注册表里的键值删除了
如果不行那就只有做个蜜罐了:
把毒源给诱惑出来
想办法把那个注册表里的键值给他破坏了,病毒源肯定会再次往里写
这时候看看能不能把它给揪出来
那你是不是中了伪装Svchost.exe的木马了阿
那你有没有看看,都有哪些服务是被系统注册了的阿
我估计可能不止你发现的那个
把那些可以的服务都停止了
在看看什么情况