如何删除病毒Trojan RootKit修改的注册表键值

Trojan.Rootkit.k\u8fd9\u662f\u4e2a\u75c5\u6bd2\u3002

\u7528\u745e\u661f2006\uff0c\u53ef\u4ee5\u76f4\u63a5\u6740\u7684\uff01
\u6211\u4e5f\u88ab\u8fd9\u4e2a\u75c5\u6bd2\u9a9a\u6270\u8fc7

\u8fd9\u662f\u7f51\u53cb\u63d0\u4f9b\u7684\u4e00\u4e2a\u6837\u672c\u7684\u89c2\u5bdf\u7ed3\u679c\u3002\u53ef\u6267\u884c\u6587\u4ef6.exe\u6587\u4ef6\u540d\u53ef\u80fd\u6709\u53d8\u3002\u5927\u5bb6\u67e5\u6740\u662f\u52a1\u5fc5\u6ce8\u610f\u8fd9\u70b9\u3002

\u8fd9\u662f\u4e00\u4e2a\u9a71\u52a8\u7ea7\u540e\u95e8\u3002\u5361\u5df4\u65af\u57fa\u62a5\uff1aBackdoor.Win32.SdBot.aad\uff1b\u745e\u661f\u597d\u50cf\u662f\u62a5\uff1aTrojan.Rootkit.m\u3002

\u4e00\u3001\u611f\u67d3\u7cfb\u7edf\u540e\u7684\u73b0\u8c61\uff1a
1\u3001HijackThis1.99.1\u65e5\u5fd7\u4e2d\u53ef\u89c1\uff1a
O23 - NT \u670d\u52a1: WIN32Sound - Unknown owner - C:\windows\sounddv.exe
2\u3001IceSword\u8fdb\u7a0b\u5217\u8868\u4e2d\u53ef\u89c1sounddv.exe\u3002\u6587\u4ef6\u4f4d\u7f6e\uff1aC:\windows\sounddv.exe\u3002
3\u3001\u91cd\u542f\u7cfb\u7edf\u540e\u53d1\u73b0\uff1asounddv.exe\u63d2\u5165winlogon.exe\u8fdb\u7a0b\u3002

\u4e8c\u3001\u521b\u5efa\u7684\u75c5\u6bd2\u6587\u4ef6\uff1a
1\u3001C:\windows\sounddv.exe
2\u3001C:\windows\system32\hpr34k8.sys\u3002

\u4e09\u3001\u6ce8\u518c\u8868\u6539\u52a8\uff1a
1\u3001\u5728HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\u548c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\\u4e24\u4e2a\u5206\u652f\u4e0b
\u6dfb\u52a0\u6ce8\u518c\u8868\u9879\uff1ahpr34k8\uff0c\u6307\u5411C:\windows\system32\hpr34k8.sys\u3002

2\u3001\u5728HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\\u548c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\\u4e24\u4e2a\u5206\u652f\u4e0b
\u6dfb\u52a0\uff1aWIN32Sound\uff0c\u6307\u5411C:\windows\sounddv.exe\u3002

\u56db\u3001\u67e5\u6740\u65b9\u6cd5\uff1a

1\u3001\u5148\u5728IceSword\u7684\u201c\u8bbe\u7f6e\u201d\u4e2d\u52fe\u9009\u201c\u7981\u6b62\u8fdb\u7a0b\u521b\u5efa\u201d\uff0c\u6309\u201c\u786e\u5b9a\u540e\uff0c\u624d\u80fd\u7ed3\u675fsounddv.exe\u8fdb\u7a0b\u3002
2\u3001C:\windows\system32\hpr34k8.sys\u53ef\u7528IceSword\u76f4\u63a5\u5220\u9664\u3002C:\windows\sounddv.exe\u5df2\u7ecf\u63d2\u5165winlogon.exe\u8fdb\u7a0b\uff0c\u56e0\u6b64\uff0c\u9700\u7528KillBox\u5f3a\u884c\u5220\u9664\u4e4b\uff08\u66ff\u6362\u5220\u9664\uff09\u3002
3\u3001\u5220\u9664\u75c5\u6bd2\u6dfb\u52a0\u7684\u4e0a\u8ff0\u6ce8\u518c\u8868\u9879\u3002


\u6700\u8fd1\u6728\u9a6c\u633a\u591a\u7684\uff0c\u6211\u4e0a\u7f51\u67e5\u7684\uff0c\u987a\u4fbf\u81ea\u5df1\u4e5f\u5b66\u4e60\u4e00\u4e0b\u3002

步骤1 启动计算机按F8键进入安全模式， 然后删除掉这三个文件
C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe
步骤2 修复注册表键值（修改之前请务必备份注册表）
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值System 为 空（即将键值System指向的数值数据删除）
2)删除注册表中与WinDefendor.dll相关的键值。
步骤3 重新启动计算机
参考资料：http://www.fanvista.com/soft/6868.html

扩展阅读：怎么判断自己有hpv ... 老是查出trojan病毒 ... 电脑顽固病毒删不掉 ... trojan win32病毒怎么删除 ... hpv为什么男的不用治 ... win32 trojan怎么来的 ... win32病毒怎么彻底清理 ... 如何彻底删除trojan病毒 ... trojan病毒删除不掉 ...