RootKit.Win32

病毒名稱:Rootkit.Vanti

中 文 名:“頑梯”變種

病毒長度:可變

病毒類型:惡意驅動程式

危害等級:★★

影響平台:Win 9X/ME/NT/2000/XP/2003

Rootkit.Vanti“頑梯”變種d是一個惡意驅動程式，開啟被感染計算機的後門，未經授權訪問用戶計算機。“頑梯”運行後，在系統目錄下或Windows目錄下創建病毒副本。修改註冊表，實現開機自啟。開啟被感染計算機的後門，未經授權訪問用戶計算機。用戶第一次運行該程式，螢幕顯示虛假錯誤信息，隱藏自我，在後台感染用戶計算機。

手動通殺辦法（建議在安全模式下操作）：

一、顯示所有檔案。

斷開網路連線，打開“我的電腦”，依次打開選單“工具/資料夾選項”，然後在彈出的“資料夾選項”對話框中切換到“查看”頁，去掉“隱藏受保護的作業系統檔案（推薦）”前面的對鉤，讓它變為不選狀態，在下面的“高級設定”列表框中改變“不顯示隱藏的檔案和資料夾”選項為“顯示所有檔案和資料夾”選項，去掉“隱藏已知檔案類型的擴展名”前面的對鉤，也讓它變為不選狀態，最後點擊“確定”。

二、尋找病毒註冊表信息。

打開“開始/運行”，輸入“regedit”後“確定”以打開註冊表編輯器，進入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵下，在右邊列中，找到一個名為“；Rundll”的值，如果找到請雙擊打開看，查看並記下“數值數據”中指示的檔案及路徑名，一般為“C:\WINNT\System32\XXXX.exe”的形式（但並不固定，這要根據具體的環境而變化），注意其中的“XXXX.exe”代表的是任意值，並不固定，而不是4個X，所以這時一定要記清這個“XXXX.exe”所代表的檔案名稱，記下後然後從註冊表中刪除這個“；Rundll”值；

三、結束病毒進程。

按Ctrl+Alt+Del鍵彈出任務管理器，找到在上面第二步中記下的“XXXX.exe”的進程（注意這裡的XXXX.exe是具體的名稱而不是4個X）。找到有相同的進程後選中它並點擊“結束進程”以結束掉木馬進程；

四、刪除病毒檔案。

打開資源管理器進入到系統目錄\Winnt\System32下（如果您的win2000/nt/安裝在C糟則就是 C:\Winnt\System32）。找到XXXX.exe和XXXX.dll檔案然後直接刪除它們（當然，這裡的XXXX所代表的仍然不是4個X，而是具體的名稱）；如果在刪除過程中發現XXXX.dll刪除不掉，而是報告“檔案正在使用中無法刪除”，則可以註銷或重啟一下電腦，然後再按此方法找到並刪除它就可以了。

五、問題已解決，系統恢復正常。