| 引用: |
【渔人码头的贴子】用unlocker软件或许能删除***.sys文件(我发现所有中Rootkit.Ads.i病毒的.sys文件名都不一样,我的指向nctppot35.sys)。但问题是***.sys文件本身是不是系统文件,删除是否为影响系统运行.
……………… |
Rootkit.Ads.i的确是驱动级的病毒,而且是内核级驱动。sys文件伪装得很好,其创建时间和修改时间被修改得和你本机的系统文件一模一样,其签名,咋看下也是微软的,但是骗不过SREng和autoruns等工具的微软认证。
此驱动用一个线程挂在system进程中,所以一般删除方法没有办法去除。用unlocker即可解锁后删除。当然也可以用process explorer和autoruns结合,等等。不过对新手而言,用unlocker还是比较方便的。
