bootkit挖矿病毒

⑴ Bootkit.CnsProt.a是什么病毒

病毒资料http://viruslist.rising.com.cn/viruslist.asp?id=280204
您好不用担心；
既然杀毒软件能查出来就一定能杀，所谓杀不了，是因为病毒在运行；正在运行的程序不能修改或删除的。
重新启动，按住F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请一定要清理一下你的临时文件夹<建议使用超级兔子清理系统垃圾.更方便>

建议你安全模式下使用主流杀毒软件的最新版杀毒
祝您好运。

⑵ bootkit.cnsport.a是什么病毒啊,用瑞星杀出来的

1、首先禁用所有杀毒软件
2、下载费尔木马强力清除助手 [url]http://dl.filseclab.com/down/powerrmv.zip[/url]；
释放 PowerRmv.zip 到一个目录
3、重启机器到安全模式 （按完开机按钮后不断按F8就能进入）
4、执行PowerRmv.exe ，启动“费尔木马强力清除助手”。在“文件名”中输入要清除的 rdriv.sys木马文件名。但要加上文件路径c:windows\system32\rdriv.sys，请选中程序中的“抑制文件再次生成”选项按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，点否，接着程序会继续提示是否确定要清除它，选“是”；
之后，此木马被成功清除程序会提示成功。
5、重启机器后，rdriv.sys已经没有了啊，成功！！！

重要提示：
一定要禁用杀毒软件（尤其是诺顿），然后在安全模式下清除！！

网上找的方法：

以下方法可以参考
1．请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，
可以把“删除所有脱机内容”选上)。
2．普通模式不行的话，在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

如果还不行，试试看，启动到安全模式，在文件夹选项中，显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面，把能删除都删掉。

3．System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。

System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。

关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。
如前面指出的，这会将之前所有的还原点清除。单击“是”。
单击“确定”。
4．在注册表里搜”backdoor”把搜到的全部删除

如果还不行,再试试下面这些方法:

1.对xp－sp1：
我也中了这个病毒，在诺顿主页上发现此病毒和W32.Spybot.Worm蠕虫病毒有关，按提示装补丁WindowsXP-KB828035-x86-CHS ,安装完后诺顿就可以杀了，重启后也没问题，大家可以试一下。
2。如果你仍然清除不了。我说个方法，我是这样做的：
1.搜索C/winnt/system32/里是否有SSMS.EXE文件
2.如果有,进入注册表2000下在"运行"按REGEDIT
3.在HKEY_LOCAL_MACHINE中找到currentcontrolset里面有个子目录叫SERVICES
4.在SERVICES里寻找rdriv和SSMS 两个注册启动的东东 DEL掉
5.重新启动计算机,进入DOS(不论什么方法进DOS就行)
6.在你系统所在分区的提示符下输入DEL rdriv.sys 和del ssms.exe
7.重启动,回到WIN2000,搜索已经删除的那两个文件
8.我用这种方法清除的.

如果不行,注意检查是否有:
bling.exe
netwmon.exe
wuamgrd.exe
的存在,有则先删除其注册表中的注册信息,然后按我说的5-8条的方法,就可以清除.
PS001：
病毒文件在DOS下或在带命令行的安全模式下都可以比较顺利地直接删除。
可以用以下两个命令：
一个是ATTRIB，用来设置（去除）病毒文件属性，另一个就是删除文件的DEL命令了。

操作办法，在dos下：

c:/>attrib -s -h -r rdriv.sys
c:/>del rdriv.sys

如果你是Windows 2000或XP，还可以启动到“带命令行提示的安全模式”来尝试删除正常模式下甚至安全模式下无法删除的病毒文件。如下;

c:/>attrib -s -h -r rdriv.sys
c:/>del rdriv.sys

PS002：这个是专杀工具
向大家推荐微软的反间谍软件。大家应该知道微软的实力。该软件的测试版近期升级后已经很完善了。请大家试一下。前几天升级软件后检测3721，竟然发现那软件在机器里安装了十几个backdoor，后门！！！
microsoft Anti Spyware 下载地址：
[url]http://download.microsoft.com/do[/url] ... iSpywareInstall.exe

杀毒手册（送给对英文不太了解的人士）：
1、象普通软件那样一直安装后，点finish，并启动该软件。
2、前两项要选有yes的选项，最后一项是问你是否加入微软社区，要选no，否则又是一堆注册。
3、选择update now，进行版本更新，更新到5715版本（5月8日最新升级版）
4、选run quick scan now 进行检测！！！检测的时候右边会显示Item detected：数字。数字就表示你有多少文件或者键中了间谍软件。
5、检测完毕后，点view results详细查看内容。如我的电脑检测完后显示两项目
Cydoor (adware)
Shopnav(Browser Modifier)
可以根据你的意愿选择他们左边的项：remove（清除或卸载）、Ignore（忽略）、Quarantine(隔离)、alwayse Ignore(总是忽略）
我通常都是remove
6、点左下角的continue.

OK,3721和一些恶性间谍软件可以彻底清除了！！！

补充：通常，flashget也会被当作间谍软件查出来，但不要惊慌，因为flashget确实有间谍软件的成分，因为里面有在线广告等对外出口！！！选择Ignore就可以了。此外，微软的该软件在某些方面还有阻止木马的作用，比一般软件强多了，如果你的英文好，我建议您用微软的软件来防各种间谍软件和更改注册表的木马程序，绝对一点问题没有。我自从用了它，电脑没出过任何系统问题！！！

很多人要问，这个软件和ewido谁强，个人认为如果只用于杀间谍软件和防止注册表更改方面比ewido强，因为我两种都使用过！！！ewido容易使电脑出现过度保护，如浏览网络出现限制等。而微软自己出的软件没有这些问题，兼容性好！！！

⑶ 求助bootkit病毒如何彻底清除

如何有效应对Rootkit内核型病毒 ZDNet 安全频道

在诸多病毒类型里面最让人深恶痛绝的就是Rootkit（内核型）蠕虫病毒，许多时候杀毒软件能检测到该病毒，但却无法有效清除。此类病毒的特点是病毒文件为两个或多个，一个是扩展名为EXE的可执行类型文件，一个是扩展名为SYS的驱动类型文件。EXE可执行文件为传统的蠕虫病毒模块，负责病毒的生成、感染、传播、破坏等任务；SYS文件为Rootkit模块。
Rootkit也是一种木马，但它较我们常见的“冰河”、“灰鸽子”等木马更加隐蔽，它以驱动程序的方式挂入系统内核，然后它负责执行建立秘密后门、替换系统正常文件、进程隐藏、监控网络、记录按键序列等功能，部分Rootkit还能关闭杀毒软件。目前发现的此类模块多为病毒提供隐藏的机制，可见这两类文件是相互依赖的。既然病毒已经被隐藏了，我们从何处入手发现病毒呢？这里就以感染orans.sys蠕虫病毒的计算机为例，探讨如何检测和查杀该类病毒。
检测病毒体文件
Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒，这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢，答案是不行的。
首先在染毒的系统下该文件是受保护的，无法被删除。即使用户在安全模式下删除了文件，重新启动后，另外一个未被删除的病毒文件将随系统启动，并监控系统。一旦其发现系统的注册表被修改或病毒的SYS文件遭删除，病毒就会重新生成该文件并改回注册表，所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件，一并处理。但在受感染的系统中，真正的病毒体已经被Rootkit模块隐藏了，不能被杀毒软件检测到。这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能，不建议使用。这里向大家推荐IceSword或Process Explorer软件，这两款软件都能观察到系统中的各类进程及进程间的相互关系，还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。在分析过程中不仅要留意陌生的进程，一些正常系统进程也要仔细检查，因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程，往往是内核型木马的进程。
端口分析也是一种常用的方法，因为病毒常打开特殊的端口等待执行远程命令，部分病毒还会试图连接特定的服务器或网站，通过进程与端口的关联，检测到病毒进程。
在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程，该进程的映像文件为c:windowsrestore. exe，这样我们就找到了病毒体文件。而当找到这个文件时，发现Norton没有告警，可见病毒文件躲过了杀毒软件。进一步分析还发现病毒在系统中添加了一项服务，服务名称为“restore”，可执行文件路径指向病毒文件。
手工清除病毒
1.关闭系统还原功能，右键单击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”面版，勾选“在所有驱动器上关闭系统还原”，关闭系统还原功能。
2.重新启动计算机进入安全模式，在“控制面板”→“管理工具”中单击“服务”，病毒在这里添加了“restore”服务，将该服务禁用。
3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。
4.运行注册表管理器regedt32. exe，查找注册表病毒添加的表项。在
HKEY_LOCAL_
HKEY_LOCAL_
HKEY_LOCAL_

三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项，删除该表项。
5.重启动系统到正常模式，打开系统还原功能，并为系统安装补丁程序。
这类病毒的变种很多，从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同，这里主要提供一个思路，大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的，有些病毒还能同时利用多个漏洞，逐一尝试。因此大家要充分意识到打补丁的重要性，同时避免空或弱的管理员口令，降低病毒入侵的机会

⑷ bootkit.torn.u什么病毒

你是不是打错字了？
是不是Rootkit这个前缀？
如果是的话，这是一种通过系统Rootkit技术加载的底层驱动型病毒

⑸ BootKit是什么啊

bootkit是一个经常应用到木马中的技术，可以直接感染磁盘引导区

最新出的那个号称最复杂的暗云木马，就用了这个技术，来实现长期地潜伏在用户的计算机系统中。直接感染磁盘的引导区，感染后即使重装格式化硬盘也无法清除。它隐蔽性非常高，云思想在暗云木马中的使用的特点都决定了它的难以清除的特质。魔高一尺道高一丈的，这个暗云木马刚出现，就被电脑管家给率先发现了，现在已经有了查杀和防护的方法，只要你电脑上装个电脑管家就可以了

⑹ 如何有效针对Bootkit木马

1. 对于Bootkit，一旦它获得执行机会，它会比操作系统更早被加载，从而对杀毒软件后续的有效查杀造成很大的挑战，有时这种挑战甚至是强弱悬殊的。然而，如果把Bootkit加载的完整流程进行综合考虑，则在其获得执行机会之前，杀毒软件仍然有不少的机会将其扼杀于摇篮之中，这是建立在一个前提，即杀毒软件永远比病毒先被安装到系统里。

2. 因此，要对付Bootkit，不应该单纯从Bootkit被执行后的行为着眼，而应该以全局的观念，从源头到结果各个环节综合把关，也就是提高安全软件的全程综合监控能力，一旦在这个过程中Bootkit程序（或安装Bootkit的原始病毒体）的行为被病毒软件有效拦截，那么杀毒软件仍然可以与之一战。

3. 一般来说新的系统（例如：Windows 10）都是使用的GPT格式的硬盘结构，能在很大程度上防止Bootkit木马。感谢您对腾讯管家的支持与信任。

⑺ 异鬼II bootkit病毒怎么查杀呢

可以通过安全软件来清除电脑中的木马程序。

以腾讯电脑管家的“病毒查杀”功能为例，该功能可以扫描电脑中是否存在木马病毒文件，并且可以一键清理电脑中的风险，电脑管家提供三种查杀模式：

1. 闪电杀毒：快速扫描电脑中的各类启动项以及易被破坏位置，耗时较短；

2. 全盘杀毒：全面扫描电脑中的所有文件，耗时较长；

3. 指定位置杀毒：只扫描选择目录下的文件。