amy 發問時間: 電腦與網際網路其他:電腦 · 2 0 年前

中毒!檔名為rdriv.sys

請幫幫忙,我的電腦中了trojan horse,在c:\windows\system32\rdriv.sys檔,

1. 這個檔有何作用?

2. 可以直接在安全模式裡去把〞rdriv.sys〞檔直接刪除嗎?這個檔好像是〞系統檔案〞刪除會對電腦有影響?

已更新項目:

先謝謝你的建議。我之前也有照你說的步驟去做,不過,在登錄程式裡,步驟4.的設定好像本來就沒變啊,而且我也找不到要刪除的三個子目錄,可以在F8裡直接刪除rdriv.sys檔嗎,真傷腦筋

1 個解答

評分
  • 2 0 年前
    最佳解答

    嗯...

    1. 這個檔沒有作用... 只會開 "後門" 而已...

    2. 因為現在的病毒都比較聰明, 都會想辦法躲在系統檔的目錄裡面, 讓一般使用者不知道該不該殺...

    幫你看了 賽門鐵克,

    http://securityresponse.symantec.com/avcenter/venc...

    (如果看的懂英文, 最好直接看上面的網頁, "Removal Instructions" 的部分.)

    最好依照下面的步驟來掃毒...

    1. Disable System Restore (Windows Me/XP).

    如果是 ME/XP 的系統, 要先停止系統的自動還原功能.

    2. Update the virus definitions.

    更新病毒碼, 以確定防毒程式掃的到這個後門程式.

    3. Run a full system scan and delete all the files detected as W32.Spybot.NLX.

    進入安全模式, 打開你的防毒軟體, 全部給他掃一次~

    4. Delete any values added to the registry.

    找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE

    把 "EnableDCOM" 的值設成 "N"

    找到 HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa

    把 "restrictanonymous" 的值設成 "1"

    找到且刪掉以下三個 "子目錄":

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iTunesMusic

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

    5. Restore the Windows Security Center

    把 XP 的防火牆開啟, 並設成自動更新.

    6. Reset the Internet Security Zone Settings

    把 "網際網路設定" 裡面的安全性, 全部設回預設值.

    希望能幫到你.

    加油~

    Good Luck

    =========================

    嗯...

    可以砍阿~ 理論上, 第三步的時候, 你就已經把毒殺光了.

    通常這第四步算是預防再犯 & 避免跳出錯誤訊息

    (因為原本是一開機就自動跑~ 系統找不到檔案就會跳出錯誤訊息)

    就算你跳過第四步, 把五跟六做全了, 應該就已經不會出事了.

    (因為防火牆會擋住, IE 的安全性也夠了...)

    加油~

    Good Luck

還有問題?馬上發問,尋求解答。