岁月无忧愁:我的电脑中了Win32.Troj.Rootkit.7168,怎么办啊？请高手指教

中了病毒、木马不要着急，我来帮你：
我的方法是总结的前辈们的经验，所以可以放心使用，同时也感谢他们！！！
其实中毒后的处理方法就是那么几种，但是借助杀毒软件用手工方法处理是最为

有效的！！！！
木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀

毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸

或安全之星XP，它们在查杀木马方面很有一套！
由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。

方法是：

1.)检查注册表
看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有

以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的

键值，再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场

所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼

start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼

Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell
Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经

常检查这两个地方哦！
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么

程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的

Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看

到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可

能就是木马服务端程序！赶快检查吧。
4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里
C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否

打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木

马程序，只好再找一个这样的程序，重新安装一下了。
6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动
所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分

木马应该没问题的。

另外，你也可以试试用下面的办法来解决：
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用

。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服

务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是

无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html

病毒名称: Win32.Troj.RootKit （内核木马）
危害程度：中
受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
未受影响的系统: Windows 3.x, Macintosh, Unix, Linux
病毒危害：
1.隐藏木马的进程和文件等
2.生成病毒文件
3.窃取客户的个人资料
4.保存为文件后自动泄漏
5.接收外界发送的预定义指令
感染形式：
一个内核木马，它会把自己的进程、在注册表中的键值、创建的文件、创建的服务都隐藏起来，尽最不被受感染机器的用户发现，以便木马长久驻留在受害者机器中。该病毒会窃取用户的系统和个人资料，记录用户的键盘输入后保存在文件rt_passfile.txt中，并会通过该木马泄露出去。
同时，该病毒可以接收外界发送的预定义指令，如上传下载文件、运行程序、更新木马和配置文件、设置访问密码、对指定网址发动DDOS攻击等，用户一旦中了该木马就很难清除掉，对用户造成的危害是比较大的
预防和清除：
安装并启用网络和病毒防火墙，及时安装系统更新补丁。
金山毒霸以及瑞星杀毒软件当前版本即可防御或清除该病毒。
其他各类防病毒产品用户升级至当前病毒定义版本即可进行清除。

教你手动杀毒
这是我N次完善过的绝技呦!

1,问:rundll32这个进程是不是出现了两个就是中木马了?机子比以前慢了
,不一定很多流氓软件也用这个东东加载的,但是也不排除病毒伪装成软件的可能rundll32本身不是病毒,

2,如果用杀毒软件不能杀死:你可以手动把它找出来,1用Windows优化大师之类的软件看看什么程序会在

开机时启动(注意高级的病毒可以伪装成系统服务启动,所以服务也不可放过),如果有:一次点,开始-搜索

-输入可疑进程的名字然后搜索,找到后先把内存中的病毒结束掉,方法是一次按键,Ctrl+Alt+Delete=任

务管理器用它把进程结束然后删除文件,2若没有发现可疑进程则该病毒是*.DLL型嵌入式的病毒或木马,

一般是svchost.exe 和 explorer.exe发生关联,用Windows进程管理仔细看svchost.exe 和

explorer.exe加载的*.DLL,注意svchost.exe有很多是系统必须的只有对进程比较了解才能分出

svchost.exe上加载的东东,杀explorer.exe和svchost.exe上加载的毒得先退出explorer.exe或

svchost.exe然后删除病毒文件,如果杀毒后仍然不稳定说明系统被破坏只须修复安装就OK了

3,请注意:注册表中的相关信息最好也尽量弄干净,一般我是搜索病毒文件名

4,如果上面的方法不行则可能是由伪装成正常文件再由它释放病毒:所以有时候杀毒软件查不到但是病毒

总是出现,如果无法结束与病毒相关的进程就打开任务管理器-查看-选择列,在PID上打勾点确定,下面的

方法是指DOS命令,点-开始-所有程序-附件-命令提示符
ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为

“444”，那么可以执行“ntsd -c q -p 444”命令