关于驱动级病毒的清理

最新推荐文章于 2022-09-14 16:06:14 发布
最新推荐文章于 2022-09-14 16:06:14 发布
阅读量1.9k 收藏 4
点赞数
分类专栏: 病毒

1,DOS
如果你的系统分区是FAT
可以直接进DOS 在c:/windows/system32/drivers下找到对应的文件 删除之就可以了
例如 c:/windows/system32/drivers/peter.sys  且peter.sys是隐藏的系统文件
进DOS后
attrib -s -h c:/windows/system32/drivers/peter.sys
del c:/windows/system32/drivers/peter.sys

这样就可以删除该文件了。进系统后应该会有错误提示,找不到c:/windows/system32/drivers/peter.sys
你在注册表搜索 peter.sys  把找到的项全部删除即可

2,WINPE
如果你的系统分区是FAT,进去之后直接删除c:/windows/system32/drivers/peter.sys 即可
如果你的系统分区是NTFS,先将c:/windows/system32/drivers/peter.sys 的权限修改下(病毒一般都会将自己的权限设置为不可删除,包括admin)
具体办法:1 打开的我电脑-工具-文件夹选项-“使用简单文件共享”勾去掉
                  2 右点peter.sys- 属性-安全-高级-“从父项继承那些……”勾去掉,弹出对话框中点“复制”-确定
再将自己的用户权限设置为 “完全控制-允许”

3,注册表
通过注册表搜索peter.sys,你会在下面几项找到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_peter
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/peter
用icesword的注册表工具删除对应项即可

PS:1)peter.sys是我虚构的,具体情况请具体分析,名字一般是和文件名差不多的
        2)搜索可以用regedit,但删除注册表项时,强烈建议使用icesword的
            理由2点:1,regedit删除的时候要修改权限;右点,权限……
                            2,木马一般都会监视着 regedit,甚至用regedit.com来顶替regedit.exe(com优先级比exe高)

小结:清理病毒的思路其实很简单,让病毒文件不运行,或者不被调用;且拥有足够的权限;再删除之
          具体完成方法很多很多了,不用拘泥与在下的拙见,其实这思路不局限于驱动级病毒的。
伯爵在城堡小孩
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动人生病毒清除教程
安全杂货铺
03-19 1万+
首先,该病毒会通过永恒之蓝漏洞、域控PSEXEC、SMB爆破、MSSQL爆破进行传播,在清除之前,需要先确保打上了MS17-010补丁、域控服务器安全、更换高强度密码、更换高强度MSSQL密码。 杀死病毒进程 病毒进程svchost下的一大串可疑进程,包括powershell、cmd以及一个python图标的进程,在svchost进程上右键删除进程树,将这些进程都结束掉。 还有一个独立的随机名进...
今天遭受驱动的木马病毒袭击。
benken的专栏
02-13 1275
今天可能下载了病毒软件。重新启动后,symantec报警,发现hkmmo.dll病毒,为downloader类。 于是,我转向c:/windows/system32目录下删除,结果文件使用中,无法删除,于是查看启动项和服务启动项,并没发现有此项目。然后就使用XP启动盘,使用命令行删除,重新启动后,发现rundll找不到hkmmo.dll,然而查找了整个注册表,却找不到有关的记录,猜测跟驱动有关系。
驱动病毒的清除(大纲)
weixin_33946020的博客
05-21 201
打开设备管理器,显示隐藏的设备,找到病毒驱动,卸载 打开资源管理器,找到病毒文件,修改用户权限设置为完全控制,删除 打开注册表编辑器,找到加载项,修改用户权限设置为完全控制,删除 常规清除软件: System Repair Engineer (SREng) IceSword PowerRmv Autoruns McafeeRootkitDetective 瑞星卡卡助手(破甲技术)...
驱动作为服务的病毒,很难清除
dbjtimve93993的博客
02-09 589
System Repair Engineer(SREng) AutoRuns v8.53 汉化版 unlocker(用于删除病毒文件) 费尔强制删除工具 纯DOS系统For 2000/xp 下载安装及使用教程(unlocker删除不成功时必备) (查找病毒文件须知,给菜鸟:打开我的电脑,点击工具--点文件夹选项--点击查看~~然后在找到隐藏文件和文件夹选项那里--点上“显示所...
驱动顽固病毒清除技巧--摘自瑞星官方网站
Execute的专栏
11-11 1221
现如今,越来越多的病毒在对系统和数据进行破坏的同时,也在不断的加强自我保护,防止安全软件和工具对其进行操作。导致很多杀毒软件无法根除此类病毒,或者出现只能查,不能杀的局面。针对这类病毒,瑞星杀毒软件重点开发了虚拟机查杀技术和深度脱壳技术,针对性的对这些病毒进行分析并给出解决方案。据瑞星病毒疫情监测网统计显示,2007年全年每日新出现的病毒数量近千余个,几乎隔几天就会部分病毒采用了新型自我保护机制,
常用三种病毒清理方法
03-06
标题中的“常用三种病毒清理方法”意味着我们将探讨的是在计算机安全领域中,针对病毒感染的预防和清除策略。这篇博文可能提供了实用的技术细节和步骤,帮助用户保护他们的系统免受恶意软件的侵害。以下是对这个主题...
USBCleaner U盘病毒木马清理
02-10
标题中的“USBCleaner U盘病毒木马清理”指的是一个专门针对U盘(USB闪存驱动器)中可能存在的病毒和木马进行检测和清除的软件工具。这类工具通常包含一系列功能,如扫描、查杀、免疫和修复,旨在保护用户的数据安全...
USB数据清理修复软件-纠正来自受感染 USB 驱动器的文件访问,修复病毒损坏的USB数据
06-21
它能够纠正来自受感染 USB 驱动器的文件访问,修复病毒损坏的USB数据。您能使用 USB Rectifier来清理和恢复损坏的病毒文档。 USB总线接口处理电气层与协议层的互连。从互连的角度来看,相似的总线接口由设备及主机...
网络病毒驱动演变
03-12 349
2008-03-03,国家计算机病毒应急处理中心发布的对互联网的监测显示,近期互联网络上又出现了恶意木马程序的新变种。计算机反病毒软件厂商江民科技反病毒中心监测结果也显示,今年以来,这些恶意木马等大部分主流病毒技术都进入了驱动病毒已不再一味逃避杀毒软件追杀,而是开始与杀毒软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒软件,使杀毒软件功能失效。  据了解,该病毒变种带有一文本文件
〖杀马纪实〗冰刃(icesword)VS驱动隐藏木马
07-22
QUOTE: 1.IceSword的“防”打开软件,看出什么没?有经验的用户就会发现,这把冰刃可谓独特,它显示在系统任务栏或软件标题栏的都只是一串随机字串“CE318C”,而并是通常所见的软件程序名。这就是IceSword独有的随机字串标题栏,用户每次打开这把冰刃,所出现的字串都是随机生成,随机出现,都不相同(随机五位/六位字串),这样很多通过标题栏来关闭程序的木马和后门在它面前都无功而返了。另外,你可以试着将软件的文件名改一下,比如改为killvir.exe,那么显示出来的进程名就变为了killvir.exe。现在你再试着关闭一下IceSword,是不是会弹出确认窗口?这样那些木马或后门就算通过鼠标或键盘钩子控制窗口退出按钮,也不能结束IceSword的运行了,只能在IceSword的面前乖乖就范了。
驱动病毒,锁首,劫持
Doraemon_meow_meow的博客
06-09 1248
驱动病毒,锁首,劫持 一,先用火绒剑查看System进程中可以驱动,在内核中搜索可查到相关驱动的注册表真实名称 二,使用pchunter进行对 内核中的系统回调进行删除,查看是否恢复正常,查看过滤驱动,文件系统下的微端口过滤器,系统调试,对象劫持 三,一般在驱动中找到相关注册表进入wepe模式删除便可 wepe下载方式 :http://www.wepe.com.cn/ ...
tessafe.sys是病毒吗?tessafe.sys不兼容驱动程序如何解决?
xitongzhijianet的博客
09-14 1755
tessafe.sys不是病毒,如果删除会导致QQ的某些服务不能用,对于CF来说,删除无问题,测试在QQ堂如果删除会出错。C:\Windows\System32\TesSafe.sys 这个文件可以清空内容设只读,游戏目录下TesSafe.sys可以清空内容不能设只读。4.、这时候360会检测tessafe.sys为危险项,把他设为信任同时游戏里会生成2个tessafe.sys也都设成信任。2、先删除游戏里边的 tessafe.sys DNF里有2个 一个在直接进入的游戏文件里 另一个在start里。
[病毒防治]一个驱动木马的清除手记....读后感(ZT)
weixin_33894992的博客
05-21 201
前不久,和朋友谈论起目前木马的情况,朋友感慨:“现在的木马越来越牛,动不动就隐藏进程,注入系统正常进程,要不就是做成驱动的,很难发现,多个进程互相监视,就算发现了也难清除。而且只要稍微对文件外壳处理一下,杀毒软件就不闻不问的了。实在头大”我笑着说:”让你更加头大的也有,现在理论上已经发展到替换系统正常文件,你正常访问,它就给你正常功能,如果入侵的人需要后门,它就提供后门功能。你不注意,根本就不会...
Pcshare驱动木马及查杀
weixin_46476861的博客
04-03 969
双击打开木马 然后就有下面了 靶机里cmd Svhost.exe,是大多数Windows服务的宿主程序。不能随意关闭它。 对于svchost.exe,先删除dll文件,在删除服务,最后再结束进程 不隐蔽的怎么搞: 木马运行了,再创建一个木马上线不了 没了之后再配个木马 ...
狙击驱动木马
learndkid的专栏
08-16 1728
一. 招摇过市的流氓与木马中国的网络从来都是与各种蠕虫、木马、漏洞扫描器一起运作的,而国民对计算机木马和病毒的敏感反应是很重的,但是防范意识却又是最低的,于是在这样的环境里,越来越多的人参与到了木马病毒的制造行业,稍有手段的则打着正义旗号推出各种“便民服务”的网络工具,并且为了将便民服务进行到底,大部分此类工具都是一旦装上,则无法卸载的爷们,使用这种铁腕手段强驻的工具则被称为“流氓软件”或者“恶意
C语言编程实现病毒,木马等的dll远…
Confession 的技术频道
01-23 1179
有人问学完了C可以做什么,似乎好像什么也做不了,其实你学完了,你就可以用你学的这些知识做到Windows系统下的一切,因为WIndows的基层本身也是用C写的你只要熟悉这些函数就行了,甚至你超越现在的Windows系统,根据它来用C进行驱动开发,甚至你如果对Windows不满意,还可以用C自己写一款操作系统,当然只要你有这份雄心。 这里给个木马与病毒远程注入基本实现的源码。 int main(i
【原创】Windows中如何卸载隐藏的设备驱动
weixin_30372371的博客
06-13 360
  最近几天,笔者心血来潮,下载了一个可在局域网进行多人游戏的ARPG游戏。为了能够和不在同一局域网内的同学联机,笔者特意了解了一下虚拟局域网技术,也试用了两款基于此技术的软件。一款是VNN Client,另一款是vLan。   VNN Client是一款基于虚拟局域网技术的应用软件,应用范围很广,功能很强大,使用也很便捷,可惜是商业软件,只能试用6天。   vLan则是一款基于该...
usb6001驱动安装
最新发布
01-13
根据提供的引用内容,我无法找到关于usb6001驱动安装的具体信息。但是,一般来说,安装USB设备驱动程序的步骤如下: 1. 插入USB设备:将USB设备插入计算机的USB接口。 2. 下载驱动程序:访问设备制造商的官方网站,下载适用于您的操作系统的最新驱动程序。 3. 安装驱动程序:双击下载的驱动程序文件,按照提示进行安装。在安装过程中,可能需要接受许可协议、选择安装位置等。 4. 重启计算机:安装完成后,重新启动计算机以使驱动程序生效。 如果您遇到了usb6001驱动安装失败的问题,您可以尝试以下解决方案: 1. 确保驱动程序与您的操作系统兼容:确保您下载的驱动程序与您的操作系统版本相匹配。 2. 更新操作系统:确保您的操作系统已经安装了最新的更新。 3. 禁用防病毒软件:临时禁用您的防病毒软件,然后尝试重新安装驱动程序。 4. 清理设备管理器:打开设备管理器,找到与usb6001相关的设备,右键单击并选择卸载。然后重新插入USB设备,让系统重新安装驱动程序。 5. 尝试其他USB接口:如果您的计算机有多个USB接口,尝试将USB设备插入其他接口,看是否能够成功安装驱动程序。 请注意,这些解决方案可能因具体情况而异。如果问题仍然存在,建议您联系设备制造商或寻求专业技术支持以获取进一步的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值