UC知道这些病毒为什么杀不掉??
来源:百度知道 编辑:UC知道 时间:2024/06/17 04:23:37
病毒 2009-07-31 18:40:24 C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP200\A0104256.exe\BindFile\kukuplay2.exe Win32.Troj.StartPage.36864 (木马程序) 发现病毒
病毒 2009-07-31 18:40:24 C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP200\A0104255.exe\BindFile\kukuplay2.exe Win32.Troj.StartPage.36864 (木马程序) 发现病毒
病毒 2009-07-31 18:40:24 C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP200\A0104254.exe\BindFile\kukuplay2.exe Win32.Troj.StartPage.36864 (木马程序) 发现病毒
病毒 2009-07-31 18:40:24 C:\System Volume Information\_restore{F3E41B89-0B5F-4CAA-BE79-B310608D5707}\RP200\A0104253.exe\BindFile\kuku
病毒还在运行,有文件保护,即使删了也会出现,
记下路径文件名,DOS或WINPE引导后删除即可~
====================================
搞笑,4楼粘的,你还认真了~
你换卡巴杀下,不推荐你用金山,不过真想用的话就用卡巴杀过后再换回金山
进安全模式 可以彻底杀毒 非安全模式下很多病毒不能彻底清除
System Volume Information 文件夹是一个隐藏的系统文件夹,"系统还原"工具使用该文件夹来存储它的信息和还原点。您的计算机的每个分区上都有一个 System Volume Information 文件夹。“System Volume Information”文件夹,中文名称可以翻译为“系统卷标信息”。这个文件夹里就存储着系统还原的备份信息.
“System Volume Information”文件夹里的NTFS木马(安全问题)
1、参考原理:
在一个NTFS分区里,把分区权限删到只剩EVERYONE权限,并只设一个“列出文件夹的目录”权限,其他复选框都去钩。在这种情况下,该分区是没有写权限的,照理说不会再自动生成“System Volume Information”文件夹。但是,无论你这么设置,该硬盘的分区在任何一个电脑上插上去后依旧会自动生成“System Volume Information”文件夹。
2、木马原理:利用“System Volume Information”文件夹自动生成的原理,进行线程插入免杀下载器到自动生成“System Volume Information”文件夹的系统进程里面,然后把加壳加密的木马下载到“System Volume Information”文件夹。在“System Volume Information”文件夹的保护下,杀毒软件无权查杀该木马。在设定条件下夺取SYSTEM权限运行木马预运行模块查杀杀软,然后再脱壳解密启动木马,启用保护进程防止该目录被删。此类木马无法手工删除,杀软无权查杀,就算FAT32的分区也由于加密原因无法脱壳。
3、解决方案:阻止“System Volume Information”文件夹的