清除驱动级病毒的办法,南沙电脑维修,监控工程

南沙专业的电脑维修,网络安装及网站建设的科技公司

设为首页 | 加入收藏

网络产品

电脑配件

整机

	电脑的两种常见故障 2021/8/27
	通过电脑的报警音判断故障 2021/8/27
	清除驱动级病毒的办法 2021/3/26
	广州电信封路由 2021/3/22
	恢复被破坏的Windows XP系统文件 2021/3/20
	电脑启动报警 2021/3/11

　　　　　　　　　　更多...

详细内容

清除驱动级病毒的办法

［点击数：2925 文章录入：佚名录入时间：2021/3/26 1:03:29 ］

1 一个简单的清除驱动级病毒的办法

1。最好先进入安全模式
2。设备管理器-〉察看-〉显示隐藏的设备
3。找到可疑的驱动，一般在“非即插即用驱动程序”项下
4。点击右键-〉卸载

2 一个驱动级木马的解决

在下在单位负责电脑维护工作（没有银子的那种，惨！）昨天解决了一个驱动级的难搞木马，现把经验与诸位同仁共享。

起因：一位同事浏览不明恶意网站，结果中招。（装了卡巴斯基6.0＋风云防火墙，系统为xp－sp2）

表现：开机十分缓慢，各种应用程序启动往往占cpu100％，网络浏览缓慢。

判断：卡巴提示为木马，重启后删除。结果重启后木马依然存在。木马名zqydp.dll和icggg.sys存在于c:\windows\system32和c:\windows\system32\drivers下面，属性为隐藏只读。

解决：上网查资料了解驱动级木马的解决方案。似乎只要删除掉那两个文件就成。于是下了IceSword1.12。结果在正常模式下无法删除，安全模式又不支持。（先前在安全模式下手工删除无果）。无法，又下了PAVARK等各类专杀rootkit的工具删除查杀，木马依然存在。后来还是查资料，下了unlocker1.8.5这个工具。安装好后（在正常模式下）进入到木马存在的目录点击那个木马文件删除，解锁，顺利删掉了。哈哈！大功告成。删除后用卡巴扫描，没有发现木马的存在。

感想：此类驱动级木马甚是难搞，只要没有扩散（就是没有捆绑别的病毒下载）还是可以通过unlocker1.8.5之类的系统文件解锁工具加以解决的。因此遇到此类病毒先不要全盘格式掉，按照解锁删除再扫描查杀的方案试一试，也许可以比较顺利的解决，少些损失。

2 今天可能下载了病毒软件。重新启动后，symantec报警，发现hkmmo.dll病毒，为downloader类。于是，我转向c:/windows/system32目录下删除，结果文件使用中，无法删除，于是查看启动项和服务启动项，并没发现有此项目。然后就使用XP启动盘，使用命令行删除，重新启动后，发现rundll找不到hkmmo.dll，然而查找了整个注册表，却找不到有关的记录，猜测跟驱动有关系。

1.发现bpzcs驱动没有签名，却没办法禁用。

2.使用xp启动盘，在命令行模式下将此文件bpzcs.sys删除掉。

3.重新启动，再无rundll找不到hkmmo.dll的提示，最后删除bpzcs的驱动。终于正常了.........................

3 找的关于驱动级病毒的一点小资料

2007年03月26日星期一 20:39

昨晚杀毒，沒想到最后来了句“该文件属系统驱动文件，是否确认删除”郁闷的刚裝的系統就中了个驱动级病毒。

杀完沒事干，找了些驱动级病毒的資料：

现在的木马病毒不再是传统的在启动项目添加键值，或者隐藏单独进程或后台服务来实现后门功能，因为现在很多检测工具课都检查出来，
它将自己伪装成驱动，并注入到system内核（当然安全模式下也可以加载了），但没有病毒的特征，所以杀毒软件对他不敏感，但它可以下载某些木马或者流氓软件。运行以后，释放出两种文件，.sys和.dll sys文件注册成隐藏的后台服务，并隐藏。 d1l文件替换系统正常的dll文件。堂而皇之的在你眼皮底下运行，当你要访问正常的服务，病毒就通过调用原有的文件来实现你要的服务，而自己则在你不经意的时候实现后门功能。 .sys对其所有和注册表进行了保护.就算sys文件被干掉，只要这个系统服务没有被停止，他照样会復活。后门的功能照樣会实现。（嘎嘎~~和BRAK的色心一样）他就是借用这个方法逃避过一些防火墙或检测工具的检查

附一点驱动级防毒讲解：

电脑的所有操作指令是由其大脑CPU发出的，一般CPU指令分为四个优先层级，ring0、ring1、ring2、ring3，应用程序运行在ring3，涉及到操作系统任务调度、内存管理、中断和I/O等等的特权指令只有在Ring0才能执行。对于病毒的活动来说，由于反病毒软件必须保证其在内存阶段即被截获并作出处理，所以普通的用户级程序是无法监控的，只有工作于ring0层(也即系统核心层)的程序才能监控系统活动。使用了“驱动级编程技术”的杀毒软件，将查病毒模块直接移植到ring0系统核心层直接监控病毒，让工作于系统核心态的驱动程序去拦截所有的文件访问。

简单地说，病毒在感染一个文件后，常常会对同类文件进行重复感染，如“新欢乐时光(VBS/KJ)”病毒，会感染所有。exe可执行文件，当病毒在被触发时，病毒会发出感染另一个文件的请求，此时通过“驱动级编程技术”编写的实时监控程序会第一时间根据用户的决定选择不同的处理方案，如清除病毒，禁止访问该文件，删除该文件或简单地忽略。这样就可以有效地阻止病毒的进一步在本机上的传播。

有的杀毒软件通过工作在RING0层(系统核心层)的程序监控到病毒后，再调用RING3层(用户层)的查杀病毒模块对病毒进行处理，有的杀毒软件直接在RING0层对病毒进行处理，真正与操作系统层工作在同一层级，解决了RING0与RING3层之间双向通信消耗问题。如果RING0层的程序监控到病毒再调用RING3层的查杀病毒模块的话(技术上通过异步过程调用APC来实现)，可能面临着一些十分可怕的事情，用户可能会发现它会在一段时间内工作正常，但时间一长，系统就被挂起了。（我用金山杀的时候就出现過，刚幵始好好的，查了一会系統就挂鸟，占用100%的CPU，安全模式下也一样，好像最后是用WINDOWS清理助手在安全模式下杀掉的.....忘鸟，记不清鸟）就连驱动编程大师Walter Oney在其著作《System Programming For Windows 95》的配套源码的说明中也声称，其APC例程在某些时候工作会不正常。而微软的工程师声称文件操作请求是不能被中断掉的，你不能在驱动中阻断文件操作并依赖于ring3的反馈来做出响应。这些问题的长期存在会使电脑存在打开杀毒软件病毒监控后病毒仍然发作的可能性。
累啊累啊累，网上驱动级病毒啊啥的讲解的少的可怜，只能整出这么点了，嘎嘎

上一篇文章：广州电信封路由

下一篇文章：通过电脑的报警音判断故障

【返回首页】【关闭窗口】

地址:	广州市南沙区凤凰大道58号首层113
手机:	13682268350
	18026439761

网址:	computer.gz3721.com

电脑维修

网站建设

业务咨询

业务咨询