求助bootkit病毒如何彻底清除

格式化都清除不了的木马病毒怎么处理~

1、严格意义上讲将所有盘全部格式化是不能保证100%清除所有木马或病毒的，因为还有更高级的bootkit类型病毒在系统引导区的。想要彻底删除木马或病毒，必须低级格式化，低级格式化会损坏电脑一般没必要。

2、安装个杀毒引擎较强的杀毒软件如腾讯电脑管家、卡巴斯基等在安全模式下查杀病毒。操作也很简单，重启电脑，按F8，选择安全模式进入，打开已安装的杀毒软件全盘查杀病毒后重启即可。

如果遇到木马或病毒杀不掉，一般是由于木马病毒正在运行，或者有其他的病毒进程守护，造成的。如果遇到这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了。

1、电脑杀毒建议安装专业的杀毒软件，用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底，推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。如果遇到顽固木马，可以用首页——工具箱——顽固木马克星，强力查杀，效果相当不错的。
2、安全模式下，将该目录的所有文件按修改时间重新排列，将该病毒以及修改时间和病毒一样的文件删除（先纪录名字）。安全模式下，在运行中输入msconfig，在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下，把刚才的名字一个一个在注册表中查找一遍，一样路径和名称的键都删除

3、如果遇到所有安全类软件打不开，就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了，可以尝试挂盘杀毒，也可以制作一个引导杀毒的工具，很多杀毒软件都有引导杀毒工具，或者是重装系统。

建议你在用杀毒软件检测出木马病毒后，第一时间进行清除。一般当扫描出木马后，都会帮您勾选好所有木马，只需要点击“立即清除”就可以了。有些木马需要重启电脑，为了彻底清除危害千万不要嫌麻烦哦。

如果不能解决，就只能重装系统了。

如何有效应对Rootkit内核型病毒 ZDNet 安全频道

在诸多病毒类型里面最让人深恶痛绝的就是Rootkit（内核型）蠕虫病毒，许多时候杀毒软件能检测到该病毒，但却无法有效清除。此类病毒的特点是病毒文件为两个或多个，一个是扩展名为EXE的可执行类型文件，一个是扩展名为SYS的驱动类型文件。EXE可执行文件为传统的蠕虫病毒模块，负责病毒的生成、感染、传播、破坏等任务；SYS文件为Rootkit模块。
Rootkit也是一种木马，但它较我们常见的“冰河”、“灰鸽子”等木马更加隐蔽，它以驱动程序的方式挂入系统内核，然后它负责执行建立秘密后门、替换系统正常文件、进程隐藏、监控网络、记录按键序列等功能，部分Rootkit还能关闭杀毒软件。目前发现的此类模块多为病毒提供隐藏的机制，可见这两类文件是相互依赖的。既然病毒已经被隐藏了，我们从何处入手发现病毒呢？这里就以感染orans.sys蠕虫病毒的计算机为例，探讨如何检测和查杀该类病毒。
检测病毒体文件
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒，这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢，答案是不行的。
首先在染毒的系统下该文件是受保护的，无法被删除。即使用户在安全模式下删除了文件，重新启动后，另外一个未被删除的病毒文件将随系统启动，并监控系统。一旦其发现系统的注册表被修改或病毒的SYS文件遭删除，病毒就会重新生成该文件并改回注册表，所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件，一并处理。但在受感染的系统中，真正的病毒体已经被Rootkit模块隐藏了，不能被杀毒软件检测到。这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能，不建议使用。这里向大家推荐IceSword或Process Explorer软件，这两款软件都能观察到系统中的各类进程及进程间的相互关系，还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。在分析过程中不仅要留意陌生的进程，一些正常系统进程也要仔细检查，因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程，往往是内核型木马的进程。
端口分析也是一种常用的方法，因为病毒常打开特殊的端口等待执行远程命令，部分病毒还会试图连接特定的服务器或网站，通过进程与端口的关联，检测到病毒进程。
在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程，该进程的映像文件为c:windowsrestore. exe，这样我们就找到了病毒体文件。而当找到这个文件时，发现Norton没有告警，可见病毒文件躲过了杀毒软件。进一步分析还发现病毒在系统中添加了一项服务，服务名称为“restore”，可执行文件路径指向病毒文件。
手工清除病毒
1.关闭系统还原功能，右键单击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”面版，勾选“在所有驱动器上关闭系统还原”，关闭系统还原功能。
2.重新启动计算机进入安全模式，在“控制面板”→“管理工具”中单击“服务”，病毒在这里添加了“restore”服务，将该服务禁用。
3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。
4.运行注册表管理器regedt32. exe，查找注册表病毒添加的表项。在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
HKEY_LOCAL_MACHINESYSTEMControlSet002Services

三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项，删除该表项。
5.重启动系统到正常模式，打开系统还原功能，并为系统安装补丁程序。
这类病毒的变种很多，从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同，这里主要提供一个思路，大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的，有些病毒还能同时利用多个漏洞，逐一尝试。因此大家要充分意识到打补丁的重要性，同时避免空或弱的管理员口令，降低病毒入侵的机会

你可以使用下360急救箱，下载，解压后，进入安全模式运行360系统急救箱自定义全盘扫描，查杀一遍，查杀完成后重启电脑。 然后再打开360系统急救箱，选择修复功能（修复选项可全选），立即修复，如果还是不能解决问题，那就重装系统吧，希望能够帮助到你。

找个好的杀毒查杀下，普通毒的话还是用360杀毒就行的，如果是顽固病毒的话，可以用360系统急救箱就行的

只要是病毒肯定就可以删除
这种病毒属于顽固病毒的一种得需要到安全模式下杀毒
杀毒软件选择也很重要，得选择有针对这种病毒的专杀工具才行，可以使用电脑管家杀毒。

朋友你好有些病毒在正常模式下是杀不掉的，你可以如下操作试试：
（1）重启后，F8 进带网络安全模式
（2）用360安全卫士依次进行：清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马，用360杀毒全盘杀毒。
如果还没清除用下以方案：
（3）重新启动，F8 进带网络安全模式
（4）用360系统急救箱试一试 ，希望能帮助你

---

凤凰县17543038910： 如何清除BootKit? - ？
守哑童康： 你说的是应用了bootkit的暗云木马把 这种病毒非常难以清理的,即使你把你全部硬盘格式化后重装系统,也是没办法清除这种木马,前几天我就中了这种木马,后来换了好多杀毒软件都没办法解决,最终听朋友说,装了个腾讯电脑管家,才彻底把木马清除掉的,而且这个木马也是电脑管家率先发现的呢

凤凰县17543038910： 请问Bootkit.Vanti.ht是什么病毒,如何清除. - ？
守哑童康： 应该是Rootkit.Bootkit是“恶意驱动程序”Vanti.的中文名是“顽梯”ht是他的一个变种.我的江民病毒库里找到的资料: “顽梯”是一个恶意驱动程序,开启被感染计算机的后门,未经授权访问用户计算机.“顽梯”运行后,在系统目录下或Windows目录下创建病毒副本.修改注册表,实现开机自启.开启被感染计算机的后门,未经授权访问用户计算机.用户第一次运行该程序,屏幕显示虚假错误信息,隐藏自我,在后台感染用户计算机. 既然江民的病毒库里有资料那江民kv就应该可以查杀,你试试看

凤凰县17543038910： 如何清除Bootkit木马后门 - ？
守哑童康： 1,这种病毒现在经常遇到2,可以进入电脑的安全模式,也就是重启电脑按F8进入3,在安全模式下,使用电脑管家的病毒查杀,给电脑杀毒就行了.

凤凰县17543038910： win32/bootkit.gen是什么病毒啊?怎么杀毒? - ？
守哑童康： 这个我前段时间看到过.不过不要紧.你下个金山毒霸,或者木马克星之类的.然后断网了重启按F8进安全模式然后对系统盘扫描杀毒.然后你记得他的名字和位置的话直接进盘里找到删了.还有就是进注册表找对应的启动项里把它给删了.然后用毒霸的主页修复和锁定功能将浏览器也修复好.然后重启.

凤凰县17543038910： 求助bootkit病毒如何彻底清除 - ？
守哑童康： 如何有效应对Rootkit内核型病毒 ZDNet 安全频道 在诸多病毒类型里面最让人深恶痛绝的就是Rootkit(内核型)蠕虫病毒,许多时候杀毒软件能检测到该病毒,但却无法有效清除.此类病毒的特点是病毒文件为两个或多个,一个是扩展名为EXE...

凤凰县17543038910： 如何有效针对Bootkit木马 - ？
守哑童康： 只要是病毒肯定就可以删除这种病毒属于顽固病毒的一种得需要到安全模式下杀毒杀毒软件选择也很重要,得选择有针对这种病毒的专杀工具才行,可以使用电脑管家杀毒.

凤凰县17543038910： 你好 我电脑之前中了一个名叫bootkit.win32.hplocker.81的木马 360查的出来但是 - ？
守哑童康： 建议下载Dr.Web CureIt!(大蜘蛛公司的免费病毒清除工具)、KVRT(全称Kaspersky Virus Removal Tool)或EEK(全称Emsisoft Emergency Kit)绿色版的杀毒工具,重启电脑到安全模式下进行杀毒.

凤凰县17543038910： 如何清除Bootkit木马后门 - ？
守哑童康： 木马很容易复活的,1、所以必须关闭系统还原,防止木马复活;系统还原在程序里面.2、升级杀毒软件到最新;重启连续按动f8进入安全模式;3、在里面打开杀毒软件;4、全盘杀毒;5、结束后重启,排除故障.

凤凰县17543038910： 将所有盘全部格式化能不能彻彻底底的清除所有木马或病毒? - ？
守哑童康： 您好!首先,严格意义上讲将所有盘全部格式化是不能保证100%清除所有木马或病毒的,因为还有更高级的bootkit类型病毒在系统引导区的.想要彻底删除木马或病毒,必须低级格式化(不知道可搜索一下),一般没必要,所以,本人建议不到万不得已不要低格.其次,不知LZ是否确信中了灰鸽子,望能查查是否有灰鸽子特有的类型文件(具体可搜索一下相关材料).再次,不知您对电脑知识了解多少,对防毒查毒杀毒方面掌握多少,在这里具体指出很困难,建议下载个信得过国际知名的杀毒软件查杀一下,既简单又方便.如果是灰鸽子,专杀工具也很好找.最后,清除干净后建议日后做好防毒工作.祝您好运!

凤凰县17543038910： 怎样才清除得掉Bootkit魔影?？
守哑童康： 如果是你说的这样的话 你用老毛桃U盘启开工具重新做系统 试试