Vitty'S Blog

   :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理 ::
  43 随笔 :: 221 文章 :: 215 评论 :: 0 Trackbacks

最近,电脑一启动,SAV就报说"Hacktool.Rootkit"病毒,目标文件位于用户的“TEMP”目录下,隔离成功,但每次重启电脑,又重新隔离。

上网查了一下资料,存在两种关于解决方案说法:

一、结束rtvscan.exe进程,并删除rtvscan.exe文件。

二、是由一个随机文件产生的,查找任务管理器的异常进程判断病毒文件,并删除进程,文件,及注册表中关于该文件的信息。

对于第一种方法,我看了,倒是有一个rtvscan.exe进程,但是是SAV的程序文件,以为是该文件染毒,由于无法结束该进程,因此,将该EXE文件改名,然后重新启动,果然无报告(但是,你想一想,RTVSCAN.EXE是实时监控的,没有运行该文件,如何报告病毒?),然后修复SAV,病毒出现了,所以,我不得不认为该解决方法是某些具有不良企图的人所为,目的在于让人关掉SAV的实时监控程序,其心何其黑也!!!

对于第二种方法,感觉应该是对的,但是,我在任务管理器中并没有发现可疑进程!所以,也无法使用。

没办法,只能自己想办法了。

首先判断病毒文件何时被调用,因些故意注销,再登录,发现有报告,说明是在登录时调用的,而不是未登录前的底层起作用。

因些,我将SSM设为自动启动,然后注销,再登录,SSM报告出了一系列权限对话框,仔细检查,发现有一个Ravdm.exe文件,以为是SAV的文件,在%system32%目录下,这些对话框过后,发现SAV警告照常出现,想到之所以没有病毒进程,很可能是运行过程中被拦截,又想到上面提到的第二种方法,因此,认为这个Ravdm.exe极可能为病毒文件,而且其属性为shr的,就更为可疑了,将其移到垃圾站,注销登录,没有病毒警告,看来元凶找到了。

彻底删除Ravdm.exe,然后在注同表查找ravdm.exe的项并删除,即可。

posted on 2007-04-30 09:35 Vitty 阅读(3412) 评论(0)  编辑 收藏 引用 所属分类: 1.电脑网络
只有注册用户登录后才能发表评论。