生命之树怎么设置中文:sysinternals adm sever 病毒怎么查杀！

最近病毒在厦大漳州校区大爆发！把我折腾死了！但是，呵呵，魔高一尺道高一丈哦！以下为杀毒亲身经历（激动ing……）：

把瑞星升级到最新，启动电脑时按F8，进入安全模式，用瑞星杀毒。done！
我是用瑞星和木马杀客一起杀的，但是，起关键作用的，还是瑞星。中毒后要尽快杀，听说一个星期后，此毒会变种，到时，就麻烦了……

金山、卡巴斯基，对此毒统统没用！Ewido也拿它没辙！这些我都试了。

但是，木马杀客和Ewido还是可以杀出很多木马的——这点值得肯定。

病毒分类 WINDOWS下的PE病毒
病毒名称 Rootkit.RegProt.a
别 名
病毒长度
依赖系统
传播途径
行为类型 WINDOWS下的木马程序
感 染
病毒发作
瑞星可查杀版 本 号
18.26.02

这是一个内核模式驱动程序。

该驱动程序的代码是通过修改SysInternals的RegMon.sys得来。并且，该驱动程序还冒充SysInternals的版本信息来欺骗用户。

该驱动程序加载后，会创建一个名为\Device\Anfad的设备和一个名为\DosDevices\Anfad的符号链接。然后该驱动程序初始化一些同步对象，并挂钩以下Kernel API：

ZwOpenFile, ZwDeleteValueKey, ZwDeleteKey, ZwSetValueKey

该驱动会保护含有以下字符串的注册表键值不被删除和修改：

Services\HidProcess
Services\Anfad
Services\Remote Log
Services\cdnprot
Services\cdntran
Run\SearchNet_Up
Run\SearchNet
{2A0176FE-008B-4706-90F5-BBA532A49731}

我们学校最近正流行这个病毒，你不会也是厦大的吧？这里有我们学校BBS上的杀毒方法，你试试吧：

这个病毒其实与Word无关，只是它把图标伪装成Word而已,右击察看它的属性，可以发现它的后缀名是.exe，也就是可执行文件。
可以这样杀：
1.开机时，不停地按F8进入安全模式（各种电脑进入安全模式的方式可能不同，看具体情况而定）。
2. 进入后，开始->搜索->点“所有文件和文件夹”->然后再点“更多高级选项”->再把“搜索隐藏的文件和文件夹”打上勾- >然后在“全部或部分文件名”框内输入“新建 Microsoft Word.doc”（引号不用输入，输入的越短越好，最好只输入“新建”）->然后，如果确认没有什么重要的文档的话，把搜索到的东西全删了。
3.然后，再在框内输入student,重新搜索，再把搜到的东西全删了。
再来，打开WinRAR压缩文件管理器，在里面依次打开C盘->WINDOWS->system32,看看，里面是否还有名为student或者有红黑相间的小红帽图标的文件（这是因为WinRAR可以察看到任何隐藏文件）。如果有，就把它们删了。如果没有，接着下一步。
4.最后，就是清理注册表了。开始->运行->输入regedit->回车或按确定打开注册表编辑器->菜单栏里按“编辑”->再按“查找”->在跳出来的框内输入student->再点“查找下一个”->然后在右侧的栏内就会出现被选中的键值，右击它，把它删除。

OK，然后重启电脑，进入正常模式。这样应该就杀干净了。

电脑启动时不停的按F8键,进去安全模式后,用你电脑中最新版本的杀毒软件,即可消灭那可恨的病毒了..

用瑞星杀啊 更新最新的版本

http://www.orsoon.com/Software/catalog184/2727.html