bootkit挖礦病毒

⑴ Bootkit.CnsProt.a是什麼病毒

病毒資料http://viruslist.rising.com.cn/viruslist.asp?id=280204
您好不用擔心；
既然殺毒軟體能查出來就一定能殺，所謂殺不了，是因為病毒在運行；正在運行的程序不能修改或刪除的。
重新啟動，按住F8，進入安全模式，再從安全模式中啟動殺毒軟體就可以輕松殺毒了。
另外請一定要清理一下你的臨時文件夾<建議使用超級兔子清理系統垃圾.更方便>

建議你安全模式下使用主流殺毒軟體的最新版殺毒
祝您好運。

⑵ bootkit.cnsport.a是什麼病毒啊,用瑞星殺出來的

1、首先禁用所有殺毒軟體
2、下載費爾木馬強力清除助手 [url]http://dl.filseclab.com/down/powerrmv.zip[/url]；
釋放 PowerRmv.zip 到一個目錄
3、重啟機器到安全模式 （按完開機按鈕後不斷按F8就能進入）
4、執行PowerRmv.exe ，啟動「費爾木馬強力清除助手」。在「文件名」中輸入要清除的 rdriv.sys木馬文件名。但要加上文件路徑c:windows\system32\rdriv.sys，請選中程序中的「抑制文件再次生成」選項按「清除」。這時程序會詢問你是否要舉報此病毒到費爾安全實驗室，點否，接著程序會繼續提示是否確定要清除它，選「是」；
之後，此木馬被成功清除程序會提示成功。
5、重啟機器後，rdriv.sys已經沒有了啊，成功！！！

重要提示：
一定要禁用殺毒軟體（尤其是諾頓），然後在安全模式下清除！！

網上找的方法：

以下方法可以參考
1．請清空IE臨時文件(打開IE瀏覽器——工具——internet選項——刪除文件，
可以把「刪除所有離線內容」選上)。
2．普通模式不行的話，在安全模式重復上述操作。
進入安全模式的方法:重新啟動電腦, 開機檢測完後, 按[F8]鍵(可以一直按到啟動菜單出來為止), 選擇安全模式進入Windows

如果還不行，試試看，啟動到安全模式，在文件夾選項中，顯示隱藏文件和取消「隱藏受保護的操作系統文件」。然後到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面，把能刪除都刪掉。

3．System Volume Information目錄（文件夾）下(WinXP)，請關閉系統還原。

System Volume Information目錄（文件夾）(WinXP)都是系統還原用到的目錄，要是病毒藏身在那裡，需要關閉系統還原。

關閉Windows XP 系統還原
單擊「開始」。 右擊「我的電腦」，然後單擊「屬性」。
單擊「系統還原」選項卡。
選中「關閉系統還原」或「關閉所有驅動器上的系統還原」。
單擊「應用」，然後單擊「確定」。
如前面指出的，這會將之前所有的還原點清除。單擊「是」。
單擊「確定」。
4．在注冊表裡搜」backdoor」把搜到的全部刪除

如果還不行,再試試下面這些方法:

1.對xp－sp1：
我也中了這個病毒，在諾頓主頁上發現此病毒和W32.Spybot.Worm蠕蟲病毒有關，按提示裝補丁WindowsXP-KB828035-x86-CHS ,安裝完後諾頓就可以殺了，重啟後也沒問題，大家可以試一下。
2。如果你仍然清除不了。我說個方法，我是這樣做的：
1.搜索C/winnt/system32/里是否有SSMS.EXE文件
2.如果有,進入注冊表2000下在"運行"按REGEDIT
3.在HKEY_LOCAL_MACHINE中找到currentcontrolset裡面有個子目錄叫SERVICES
4.在SERVICES里尋找rdriv和SSMS 兩個注冊啟動的東東 DEL掉
5.重新啟動計算機,進入DOS(不論什麼方法進DOS就行)
6.在你系統所在分區的提示符下輸入DEL rdriv.sys 和del ssms.exe
7.重啟動,回到WIN2000,搜索已經刪除的那兩個文件
8.我用這種方法清除的.

如果不行,注意檢查是否有:
bling.exe
netwmon.exe
wuamgrd.exe
的存在,有則先刪除其注冊表中的注冊信息,然後按我說的5-8條的方法,就可以清除.
PS001：
病毒文件在DOS下或在帶命令行的安全模式下都可以比較順利地直接刪除。
可以用以下兩個命令：
一個是ATTRIB，用來設置（去除）病毒文件屬性，另一個就是刪除文件的DEL命令了。

操作辦法，在dos下：

c:/>attrib -s -h -r rdriv.sys
c:/>del rdriv.sys

如果你是Windows 2000或XP，還可以啟動到「帶命令行提示的安全模式」來嘗試刪除正常模式下甚至安全模式下無法刪除的病毒文件。如下;

c:/>attrib -s -h -r rdriv.sys
c:/>del rdriv.sys

PS002：這個是專殺工具
向大家推薦微軟的反間諜軟體。大家應該知道微軟的實力。該軟體的測試版近期升級後已經很完善了。請大家試一下。前幾天升級軟體後檢測3721，竟然發現那軟體在機器里安裝了十幾個backdoor，後門！！！
microsoft Anti Spyware 下載地址：
[url]http://download.microsoft.com/do[/url] ... iSpywareInstall.exe

殺毒手冊（送給對英文不太了解的人士）：
1、象普通軟體那樣一直安裝後，點finish，並啟動該軟體。
2、前兩項要選有yes的選項，最後一項是問你是否加入微軟社區，要選no，否則又是一堆注冊。
3、選擇update now，進行版本更新，更新到5715版本（5月8日最新升級版）
4、選run quick scan now 進行檢測！！！檢測的時候右邊會顯示Item detected：數字。數字就表示你有多少文件或者鍵中了間諜軟體。
5、檢測完畢後，點view results詳細查看內容。如我的電腦檢測完後顯示兩項目
Cydoor (adware)
Shopnav(Browser Modifier)
可以根據你的意願選擇他們左邊的項：remove（清除或卸載）、Ignore（忽略）、Quarantine(隔離)、alwayse Ignore(總是忽略）
我通常都是remove
6、點左下角的continue.

OK,3721和一些惡性間諜軟體可以徹底清除了！！！

補充：通常，flashget也會被當作間諜軟體查出來，但不要驚慌，因為flashget確實有間諜軟體的成分，因為裡面有在線廣告等對外出口！！！選擇Ignore就可以了。此外，微軟的該軟體在某些方面還有阻止木馬的作用，比一般軟體強多了，如果你的英文好，我建議您用微軟的軟體來防各種間諜軟體和更改注冊表的木馬程序，絕對一點問題沒有。我自從用了它，電腦沒出過任何系統問題！！！

很多人要問，這個軟體和ewido誰強，個人認為如果只用於殺間諜軟體和防止注冊表更改方面比ewido強，因為我兩種都使用過！！！ewido容易使電腦出現過度保護，如瀏覽網路出現限制等。而微軟自己出的軟體沒有這些問題，兼容性好！！！

⑶ 求助bootkit病毒如何徹底清除

如何有效應對Rootkit內核型病毒 ZDNet 安全頻道

在諸多病毒類型裡面最讓人深惡痛絕的就是Rootkit（內核型）蠕蟲病毒，許多時候殺毒軟體能檢測到該病毒，但卻無法有效清除。此類病毒的特點是病毒文件為兩個或多個，一個是擴展名為EXE的可執行類型文件，一個是擴展名為SYS的驅動類型文件。EXE可執行文件為傳統的蠕蟲病毒模塊，負責病毒的生成、感染、傳播、破壞等任務；SYS文件為Rootkit模塊。
Rootkit也是一種木馬，但它較我們常見的「冰河」、「灰鴿子」等木馬更加隱蔽，它以驅動程序的方式掛入系統內核，然後它負責執行建立秘密後門、替換系統正常文件、進程隱藏、監控網路、記錄按鍵序列等功能，部分Rootkit還能關閉殺毒軟體。目前發現的此類模塊多為病毒提供隱藏的機制，可見這兩類文件是相互依賴的。既然病毒已經被隱藏了，我們從何處入手發現病毒呢？這里就以感染orans.sys蠕蟲病毒的計算機為例，探討如何檢測和查殺該類病毒。
檢測病毒體文件
Norton防病毒軟體報告c:windowssystem32orans.sys文件為Rootkit型病毒，這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟體檢測的。那麼是否刪除了該文件就能清除病毒呢，答案是不行的。
首先在染毒的系統下該文件是受保護的，無法被刪除。即使用戶在安全模式下刪除了文件，重新啟動後，另外一個未被刪除的病毒文件將隨系統啟動，並監控系統。一旦其發現系統的注冊表被修改或病毒的SYS文件遭刪除，病毒就會重新生成該文件並改回注冊表，所以很多時候我們會發現病毒又重生了。因此需要同時找到這兩個文件，一並處理。但在受感染的系統中，真正的病毒體已經被Rootkit模塊隱藏了，不能被殺毒軟體檢測到。這時就需要從系統中的進程找到病毒的蛛絲馬跡。系統自帶的任務管理器缺少完成這一任務的一些高級功能，不建議使用。這里向大家推薦IceSword或Process Explorer軟體，這兩款軟體都能觀察到系統中的各類進程及進程間的相互關系，還能顯示進程映像文件的路徑、命令行、系統服務名稱等相關信息。在分析過程中不僅要留意陌生的進程，一些正常系統進程也要仔細檢查，因為病毒常以子進程插入的方式將自己掛到系統正常進程中。在IceSword軟體中以紅色顯示的進程為隱藏進程，往往是內核型木馬的進程。
埠分析也是一種常用的方法，因為病毒常打開特殊的埠等待執行遠程命令，部分病毒還會試圖連接特定的伺服器或網站，通過進程與埠的關聯，檢測到病毒進程。
在上面的例子中我們通過比對正常運行的系統和染毒系統很快就判斷出系統中的restore進程為異常進程，該進程的映像文件為c:windowsrestore. exe，這樣我們就找到了病毒體文件。而當找到這個文件時，發現Norton沒有告警，可見病毒文件躲過了殺毒軟體。進一步分析還發現病毒在系統中添加了一項服務，服務名稱為「restore」，可執行文件路徑指向病毒文件。
手工清除病毒
1.關閉系統還原功能，右鍵單擊「我的電腦」，選擇「屬性」，在「系統屬性」中選擇「系統還原」面版，勾選「在所有驅動器上關閉系統還原」，關閉系統還原功能。
2.重新啟動計算機進入安全模式，在「控制面板」→「管理工具」中單擊「服務」，病毒在這里添加了「restore」服務，將該服務禁用。
3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。
4.運行注冊表管理器regedt32. exe，查找注冊表病毒添加的表項。在
HKEY_LOCAL_
HKEY_LOCAL_
HKEY_LOCAL_

三個分支下發現病毒添加的 「orans.sys」和「restore」 注冊表項，刪除該表項。
5.重啟動系統到正常模式，打開系統還原功能，並為系統安裝補丁程序。
這類病毒的變種很多，從病毒生成的可執行文件到注冊的系統服務、傳播及危害方式都有所不同，這里主要提供一個思路，大家在遇到時能找准根源解決問題。另外這類病毒多數是利用操作系統的漏洞或猜解管理員的口令入侵的，有些病毒還能同時利用多個漏洞，逐一嘗試。因此大家要充分意識到打補丁的重要性，同時避免空或弱的管理員口令，降低病毒入侵的機會

⑷ bootkit.torn.u什麼病毒

你是不是打錯字了？
是不是Rootkit這個前綴？
如果是的話，這是一種通過系統Rootkit技術載入的底層驅動型病毒

⑸ BootKit是什麼啊

bootkit是一個經常應用到木馬中的技術，可以直接感染磁碟引導區

最新出的那個號稱最復雜的暗雲木馬，就用了這個技術，來實現長期地潛伏在用戶的計算機系統中。直接感染磁碟的引導區，感染後即使重裝格式化硬碟也無法清除。它隱蔽性非常高，雲思想在暗雲木馬中的使用的特點都決定了它的難以清除的特質。魔高一尺道高一丈的，這個暗雲木馬剛出現，就被電腦管家給率先發現了，現在已經有了查殺和防護的方法，只要你電腦上裝個電腦管家就可以了

⑹ 如何有效針對Bootkit木馬

1. 對於Bootkit，一旦它獲得執行機會，它會比操作系統更早被載入，從而對殺毒軟體後續的有效查殺造成很大的挑戰，有時這種挑戰甚至是強弱懸殊的。然而，如果把Bootkit載入的完整流程進行綜合考慮，則在其獲得執行機會之前，殺毒軟體仍然有不少的機會將其扼殺於搖籃之中，這是建立在一個前提，即殺毒軟體永遠比病毒先被安裝到系統里。

2. 因此，要對付Bootkit，不應該單純從Bootkit被執行後的行為著眼，而應該以全局的觀念，從源頭到結果各個環節綜合把關，也就是提高安全軟體的全程綜合監控能力，一旦在這個過程中Bootkit程序（或安裝Bootkit的原始病毒體）的行為被病毒軟體有效攔截，那麼殺毒軟體仍然可以與之一戰。

3. 一般來說新的系統（例如：Windows 10）都是使用的GPT格式的硬碟結構，能在很大程度上防止Bootkit木馬。感謝您對騰訊管家的支持與信任。

⑺ 異鬼II bootkit病毒怎麼查殺呢

可以通過安全軟體來清除電腦中的木馬程序。

以騰訊電腦管家的「病毒查殺」功能為例，該功能可以掃描電腦中是否存在木馬病毒文件，並且可以一鍵清理電腦中的風險，電腦管家提供三種查殺模式：

1. 閃電殺毒：快速掃描電腦中的各類啟動項以及易被破壞位置，耗時較短；

2. 全盤殺毒：全面掃描電腦中的所有文件，耗時較長；

3. 指定位置殺毒：只掃描選擇目錄下的文件。