1、檢測病毒體文件Norton防病毒軟件報告c:windowssystem32orans.sys文件為Rootkit型病毒，這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測的。

2、那么是否刪除了該文件就能清除病毒呢，答案是不行的。

(資料圖片僅供參考)

3、首先在染毒的系統下該文件是受保護的，無法被刪除。

4、即使用戶在安全模式下刪除了文件，重新啟動后，另外一個未被刪除的病毒文件將隨系統啟動，并監控系統。

5、一旦其發現系統的注冊表被修改或病毒的SYS文件遭刪除，病毒就會重新生成該文件并改回注冊表，所以很多時候我們會發現病毒又重生了。

6、因此需要同時找到這兩個文件，一并處理。

7、但在受感染的系統中，真正的病毒體已經被Rootkit模塊隱藏了，不能被殺毒軟件檢測到。

8、這時就需要從系統中的進程找到病毒的蛛絲馬跡。

9、系統帶的任務管理器缺少完成這一任務的一些高級功能，不建議使用。

10、這里向大家推薦IceSword或Process Explorer軟件，這兩款軟件都能觀察到系統中的各類進程及進程間的相互關系，還能顯示進程映像文件的路徑、命令行、系統服務名稱等相關信息。

11、在分析過程中不僅要留意陌生的進程，一些正常系統進程也要仔細檢查，因為病毒常以子進程插入的方式將己掛到系統正常進程中。

12、在IceSword軟件中以紅色顯示的進程為隱藏進程，往往是核型木馬的進程。

13、端口分析也是一種常用的方法，因為病毒常打開特殊的端口等待執行遠程命令，部分病毒還會試圖連接特定的服務器或網站，通過進程與端口的關聯，檢測到病毒進程。

14、在上面的例子中我們通過比對正常運行的系統和染毒系統很快就判斷出系統中的restore進程為異常進程，該進程的映像文件為c:windowsrestore. exe，這樣我們就找到了病毒體文件。

15、而當找到這個文件時，發現Norton沒有告警，可見病毒文件躲過了殺毒軟件。

16、進一步分析還發現病毒在系統中添加了一項服務，服務名稱為“restore”，可執行文件路徑指向病毒文件。

17、手工清除病毒1.關閉系統還原功能，右鍵單擊“我的電腦”，選擇“性”，在“系統性”中選擇“系統還原”面版，勾選“在所有驅動器上關閉系統還原”，關閉系統還原功能。

18、2.重新啟動計算機進入安全模式，在“控制面板”→“管理工具”中單擊“服務”，病毒在這里添加了“restore”服務，將該服務禁用。

19、3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。

20、4.運行注冊表管理器regedt32. exe，查找注冊表病毒添加的表項。

21、在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMControlSet001ServicesHKEY_LOCAL_MACHINESYSTEMControlSet002Services三個分支下發現病毒添加的 “orans.sys”和“restore” 注冊表項，刪除該表項。

22、5.重啟動系統到正常模式，打開系統還原功能，并為系統安裝補丁程序。

23、這類病毒的變種很多，從病毒生成的可執行文件到注冊的系統服務、傳播及危害方式都有所不同，這里主要提供一個思路，大家在遇到時能找準根源解決問題。

24、另外這類病毒多數是利用操作系統的漏洞或猜解管理員的口令入侵的，有些病毒還能同時利用多個漏洞，逐一嘗試。

25、因此大家要充分意識到打補丁的重要性，同時避免空或弱的管理員口令，降低病毒入侵的機會。

本文就為大家分享到這里，希望小伙伴們會喜歡。

關鍵詞：