wow盒子德拉诺宝藏:Rootkit.Win32.agent.bo。我也中这个毒了!

来源:百度文库 编辑:杭州交通信息网 时间:2024/03/28 19:27:15
突然中的,卡巴斯基扫描得到
但是删不掉

C:\windows\system32\drivers\BDGuard.SYS
卡巴斯基提示是 特洛伊木马 Rootkit.Win32.agent.bo

再扫描那个文件夹还是有
我晕噢~~~~

手动删除,因为根本没有那个文件
至少我打开文件夹没看到那个文件

怎么办??
我看好多朋友都在问(这里最新的几个问题都是关于这个问题)

会不会又是什么大面积感染的病毒?
晕!!!!!

请问专家怎么办!!

我今天才中的那毒

在网上找半天发现别的那些都太麻烦了

就这个方法最简单了

直接用兔子就搞定了

此病毒BDGUARD其实是百度 搜霸安装时的一个文件,被卡巴认为是木马。用卡巴和Ewido我都试过,都不能删除。用超级兔子卸载工具先把百度搜霸卸载了,接着把IE工具栏百度插件卸载了,清除IE缓存区和cookie,重起就搞定了。

查找和清除木马

操作步骤:

1.通过自动运行机制查木马

一说到查找木马,许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”,具体的地方一般有以下几处:

1)注册表启动项:

在“开始/运行”中输入“regedit.exe”打开注册表编辑器,依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\],查看下面所有以"Run"开头的项,其下是否有新增的和可疑的键值,也可以通过键值所指向的文件路径来判断,是新安装的软件还是木马程序。

另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马,比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。

2)系统服务

有些木马是通过添加服务项来实现自启动的,大家可以打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值,并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。

然后禁用或删除木马添加的服务项:在“运行”中输入“Services.msc”打开服务设置窗口,里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务,双击打开它,把启动类型改为“已禁用”,确定后退出。也可以通过注册表进行修改,依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键,在右边窗格中找到二进制值“Start”,修改它的数值数,“2”表示自动,“3”表示手动,而“4”表示已禁用。当然最好直接删除整个主键,平时可以通过注册表导出功能,备份这些键值以便随时对照。

3)开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动,但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项,可以右击它选择“查找目标”到文件的目录下查看一下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],键名为Startup。