应该是rdriv.sys没清乾净 喵的...rootkit就是这麽烦 rootkit型的木马很会隐藏自己 由於我自己没接触过这一型的木马，以下的解法也只是参考同是rootkit型的 NTrootkit的解法来试试，就死马当活马医医看吧... 事先准备： TCPView，可以将目前正在与电脑连线的程式、对方IP、使用port显示出来 到此下载：http://www.sysinternals.com/Utilities/TcpView.html 不必安装，直接执行就可以了。程式初始字体很小'又都挤在一起 Options->Font 去改变字型、字体大小，设好後关掉重开就可以了 1.执行TCPView，看看目前有那些程式正在连线 (执行此程式时请尽量关掉不相干的连线程式) 2.此木马有rdriv.sys，小弟猜测可能用系统服务来启动，执行。 在TCPView中，请详细检查System4及local adress的部份，看看有没有那个程序的State是ESTABLISHED ，而portocal是TCP的。(侦测到rdriv.sys时应该会显示某程序将使用某些port进行连线， 将该port记下，仔细在TCPView中找出该port) 如果都没有，那也不用往下看了，表示此木马用其他方式隐藏自己 3.中断与Internet的连线及区网的连线。再到网芳中，把区域连线停掉。 4.防毒软体既然有侦测到rdriv.sys，那应该有留下纪录，开启侦测到rdriv.sys的软体 (可能是防火墙、可能是防毒软体)，并找出软体所呈现的资讯 包括档案名称，版本、档案位子所在。用软体把找到的档案给挡下(block) 5.重开进入windows，开始->控制台->系统管理工具->服务 若上述讲的都有的话，应该会出现之前没看过的项目，在此想像名称是rdriv，描述为 Windows system rdr server 启动类型为自动。 6.有看到该项目的话，就开启登录编辑器来删除机码 用搜寻找rdriv 把相关的机码全部砍掉。(保险起见，也搜搜Rtkit试试) 上面写搜寻rdriv是因为我没遇过此木马，所以是想像该木马在服务启动项目中 的名称，实际搜寻时请以显示出的名称为主 7.机码删光後，再把c槽里有关木马的资料夹删掉。 -- 再澄清一次，以上是参考同类型的NTRootKit的解法 若在步骤中有出现不符的状况，表示以上所写全都没用，就不用再做下去了 请有中rdriv.sys的版友试试，若没用的话请嘘文告知，小弟一看到会马上自d --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.114.142.52