文章大纲：

• 1、Rootkit病毒 是怎么回事？
• 2、电脑中了“rootkit”病毒了,怎么杀
• 3、啥是Rootkit恶性病毒？
• 4、电脑中了rootkit病毒该怎么办？

Rootkit病毒 是怎么回事？

你好：

简单的说，Rootkit是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和 *** 链接等信息，比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。Rootkit通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。

这种病毒，一般都很难清除，你可以访问腾讯电脑管家官网，下载安装一个电脑管家

使用电脑管家工具箱中的顽固木马克星来查杀一下

它专门为普通杀软检测不到，或者检测到无法清除的顽固威胁而设计

采用特别强力的查杀引擎，可以清除各种顽固的木马病毒

如果以后有什么问题，欢迎再来电脑管家企业平台询问，我们会尽心为您解答

电脑中了“rootkit”病毒了,怎么杀

可以用360安全卫士8.1正式版。

打开360安全卫士软件，点击系统修复，扫描后点击右下角的“一键修复”，点击清理插件，如有恶评插件把前面的勾选上。点击右下角的“立即清理”，再清理系统垃圾。再点击查杀木马，使用全盘扫描功能，如发现有威胁的程序，请点击右下角的“立即处理”。

啥是Rootkit恶性病毒？

一种很老的病毒了。一般安装杀毒软件防护就可以了。可以用腾讯电脑管家，电脑管家能够快速全面地检查计算机存在的风险，检查项目主要包括木马、高危系统漏洞、垃圾文件、系统配置被破坏及篡改等。发现风险后，通过电脑管家提供的修复和优化操作，能够消除风险和优化计算机的性能。电脑管家建议您每周体检一次，这样可以大大降低被木马入侵的风险。

电脑中了rootkit病毒该怎么办？

Norton防病毒软件报告c:windowssystem32orans.sys文件为Rootkit型病毒，这里可以看到使用Rootkit代码的SYS文件是无法逃过杀毒软件检测的。那么是否删除了该文件就能清除病毒呢，答案是不行的。

首先在染毒的系统下该文件是受保护的，无法被删除。即使用户在安全模式下删除了文件，重新启动后，另外一个未被删除的病毒文件将随系统启动，并监控系统。

一旦其发现系统的注册表被修改或病毒的SYS文件遭删除，病毒就会重新生成该文件并改回注册表，所以很多时候我们会发现病毒又重生了。因此需要同时找到这两个文件，一并处理。但在受感染的系统中，真正的病毒体已经被Rootkit模块隐藏了，不能被杀毒软件检测到。

这时就需要从系统中的进程找到病毒的蛛丝马迹。系统自带的任务管理器缺少完成这一任务的一些高级功能，不建议使用。这里向大家推荐IceSword或Process Explorer软件，这两款软件都能观察到系统中的各类进程及进程间的相互关系，还能显示进程映像文件的路径、命令行、系统服务名称等相关信息。

在分析过程中不仅要留意陌生的进程，一些正常系统进程也要仔细检查，因为病毒常以子进程插入的方式将自己挂到系统正常进程中。在IceSword软件中以红色显示的进程为隐藏进程，往往是内核型木马的进程。

端口分析也是一种常用的 *** ，因为病毒常打开特殊的端口等待执行远程命令，部分病毒还会试图连接特定的服务器或网站，通过进程与端口的关联，检测到病毒进程。

在上面的例子中我们通过比对正常运行的系统和染毒系统很快就判断出系统中的restore进程为异常进程，该进程的映像文件为c:windowsrestore. exe，这样我们就找到了病毒体文件。而当找到这个文件时，发现Norton没有告警，可见病毒文件躲过了杀毒软件。

进一步分析还发现病毒在系统中添加了一项服务，服务名称为“restore”，可执行文件路径指向病毒文件。

手工清除病毒

1.关闭系统还原功能，右键单击“我的电脑”，选择“属性”，在“系统属性”中选择“系统还原”面版，勾选“在所有驱动器上关闭系统还原”，关闭系统还原功能。

2.重新启动计算机进入安全模式，在“控制面板”→“管理工具”中单击“服务”，病毒在这里添加了“restore”服务，将该服务禁用。

3.手动删除c:windows restore.exe和c:windows system32orans.sys两个病毒文件。

4.运行注册表管理器regedt32. exe，查找注册表病毒添加的表项。在

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

HKEY_LOCAL_MACHINESYSTEMControlSet002Services

三个分支下发现病毒添加的 “orans.sys”和“restore” 注册表项，删除该表项。

5.重启动系统到正常模式，打开系统还原功能，并为系统安装补丁程序。

这类病毒的变种很多，从病毒生成的可执行文件到注册的系统服务、传播及危害方式都有所不同，这里主要提供一个思路，大家在遇到时能找准根源解决问题。另外这类病毒多数是利用操作系统的漏洞或猜解管理员的口令入侵的，有些病毒还能同时利用多个漏洞，逐一尝试。

因此大家要充分意识到打补丁的重要性，同时避免空或弱的管理员口令，降低病毒入侵的机会。Window PE和360系统急救箱杀毒原理说明

Windows预安装环境，它包括运行安装程序、磁盘文件操作、连接 *** 共享以及执行硬件验证所需的最小Windows 功能集。WinPE就是一个超级迷你版的 Windows。WinPE系统由于超级迷你，可以非常方便地安装在U盘中，或者刻录到光盘，从而可以通过U盘或光盘启动电脑。

通常情况下，当电脑中招后，在系统的启动序列上，杀毒软件位于木马病毒运行之后。这点导致杀毒软件在处理已感染病毒的电脑时存在技术劣势。因为木马优先运行的驱动可以造成杀毒软件加载失败，木马还会使用各种Rootkit技术隐藏自身的文件、进程、模块甚至使用ShellCode方式攻击系统和杀毒软件信任区、阻扰杀毒软件联网、修改杀软的云端查询结果，让杀软处于被动。而WinPE系统则为这种情况下彻底清除恶性木马病毒提供了崭新的思路。用带有WinPE系统的U盘或光盘引导电脑后，新的格局出现了：无论多么顽固的木马也是死马、废马，它的各种花招没有机会使用，现出原形，俨然成了杀毒软件的刀下鱼肉。

360系统急救箱依靠强大的研发实力解决了种种难题，首创了WinPE版的急救箱，既充分发挥了WinPE系统带来的优势，又妥善处置了系统中的各类高端木马，例如MBR病毒、驱动木马、 *** 劫持类木马、替换系统文件的木马以及白利用木马等等。

2/5

U盘安装WinPE系统

1.下载U盘启动工具

百度搜索 "u盘启动系统" 或者 "u盘pe系统" 找到相应工具后安装。

2. *** 启动U盘

运行安装好的U盘启动工具，将准备好的U盘插入电脑USB接口。以老毛桃pe工具为例说明,一键 *** USB启动盘

展开长图

3/5

电脑启动设置

将360系统急救箱WinPE版拷贝到 *** 好的启动U盘中。设置中了病毒的电脑BIOS引导序列，将启动项设为U盘优先。然后重新启动电脑，引导进入WinPE系统。

4/5

运行系统急救箱

进入PE系统后，找到并运行U盘内的360系统急救箱。开始杀毒。

查看剩余2张图

5/5

重启电脑

拔掉插在电脑上的U盘，重启电脑到正常系统，再用安全软件查杀，确保电脑没有病毒。