木马Trojan.Everda.F的清除方法

来源:百度知道 编辑:UC知道 时间:2024/05/10 23:34:21
用BD10扫描,发现木马Trojan.Everda.F,修改了系统驱动,分别建立以下文件
C:\WINDOWS\system32\eradvn46.dll
C:\WINDOWS\system32\eradvn46.ini
C:\WINDOWS\system32\drivers\eradvn46.sys
C:\WINDOWS\system32\winup\eradvn46.dll(只有这个可以删掉)
其余的用BD10和Unlocker均删不掉
注册表被改了一大片,由于牵扯到驱动,也删不掉这些键值

下面是BD10的报告
//-----------------------------------------------------------------
//
// ProductBitDefender Antivirus Plus v10
// Product10.2
//
// Created on: 24/06/2007 17:41:28
//
//-----------------------------------------------------------------

Virus Statistics

Scan path : C:\WINDOWS\system32
Folders : 138
Files : 1388
Memory processes scanned : 0
Archives : 0
Runtime packers : 3
Identified viruses : 1
Infected files : 1
Memory processes infected : 0
Suspect files : 0
Warnings : 0
Disinfected files : 0
Deleted fil

这个木马没碰到过,但可以试试我的方法。首先房主提到的三个文件eradvn46.dll,eradvn46.ini和eradvn46.sys,这些都是病毒伪装成驱动程序隐藏在系统中,系统启动时自动加载并检查病毒文件是否完整,如不完整则自动修复。房主说只有eradvn46.dll可以删除,难道eradvn46.ini删不掉吗?这个文件应该可以删除,最多删除后自动恢复。而eradvn46.sys则需先把病毒驱动卸载后才能删除。你可以先用360试试能不能检查出来,检查不出再使用我的方法。
需要几个软件:
1.SREng
2.Process Explorer
先用Process Explorer看看是哪些进程在调用eradvn46.dll,房主有经验的话,可以把陌生的进程结束掉。然后用SREng查看系统服务和驱动,把调用eradvn46.dll和eradvn46.sys的驱动和服务强制卸载掉。这个步骤不需要进入安全模式,因为即使是安全模式,驱动和服务也是自动启动的,但必须在切断网络的情况下进行,防止病毒自动修复。卸载后重新启动计算机,删除病毒文件即可。如果还没清理彻底,希望你给我留言。