手工清除Rootkit.win32.cq心得

互联网 | 编辑: 吴宏 2006-12-22 00:00:00转载

昨天,我的卡巴斯基报警,提示发现木马程序:Rootkit.win32.cq,我看了一下,病毒主程序是隐藏在C:\WINDOWS\Temp文件夹下的Msupd.exe,删除不了.用卡巴斯基也不行.重启后又有了,试了很多次,都没有删除成功.因此我在论坛发了贴子,但一直都没有好的方法.在忍受了一天的病毒折磨之后,没办法,只好试着用手工清除了.最后终于清除成功.好了,废话不多说,现在把我的方法写出来,和大家一起交流,分享.欢迎大家发表意见.

第一步,要想用手工清除,就要用到DOS,可大家都知道,XP没有纯DOS,而我的电脑也没有软驱,于是我只好去网上找了一个小软件,名字叫vfloppy,这是一个虚拟软驱的软件,完全免费,个人感觉还不错.下载地址是http://download.pchome.net/system/sysenhance/15880.html.

图1

第二步,打开下载的文件,这个软件是绿色的,不需要安装.把它解压即可.解压后的vfloppy包括5个文件,其中BOOTDISK.img和NTFS.img是电脑启动所需的映像文件,vFloppy.exe是它的主程序.运行vFloppy.exe,(如图).点击图中画红线的地方,然后在弹出的窗口中选择并打开NTFS.img文件(如果你的XP系统用的是NTFS格式,否则请选择BOOTDISK.img),然后点击应用.系统提示是否立即重新启动电脑,点击确定,系统自动重启. 

第三步,系统重启后,进入系统启动程序选择菜单,一个是用XP启动,另一个就是用虚拟软驱也就是我们刚装的VFloppy启动.选择用虚拟软驱启动.

第四步,几秒钟后,系统自动进入虚拟软驱程序.一路按回车,直到出现Folders和Files两个菜单,先在左边的Folders栏找到WINDOWS文件夹,按下回车,然后用上下箭头找到Temp文件夹;再按下键盘上的TAB键,跳到Files栏,找到病毒主程序Msupd.exe文件,这时候按下F3键,这时你会发现打开了这个主程序的文件,在屏幕右边一栏里你会看到跳动的鼠标,你现在可以随便对这个文件进行编辑(就是随便输入一些内容,什么都行,主要目的是通过修改让这个程序不能运行.),然后按下F10,保存并退出,在随后的主菜单里选择Reboot,重启计算机.

第五步,按住键盘上的F8键,选择运行安全模式.

第六步,进入桌面后,运行注册表,通过"编辑\搜索"找到Msupd.exe项,把它删除(在删除之前最好对注册表进行一下备份,以防万一).

第七步,打开我的电脑,找到C:\WINDOWS\Temp\Msupd.exe文件,把它改名,什么名都行,最好把扩展名也改了.其实这一步可有可无.再同时按下SHIFT+DEL键,把它删除.

最后,重启计算机,一切OK.

更多软件资讯请点击PCHOME首页

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑