病毒叫remon.sys.隔离系统一直出现,基本是以秒钟增长,每秒都在隔离.一个小时就会出来上百个.怎么解决这个问题呢

rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。

攻击者通过远程攻击获得root访问权限，或者首先密码猜测或者密码强制破译的方式获得系统的访问权限。进入系统后，如果他还没有获得root权限，再通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装rootkit，然后他将经常通过rootkit的后门检查系统是否有其他的用户登录，如果只有自己，攻击者就开始着手清理日志中的有关信息。通过rootkit的嗅探器获得其它系统的用户和密码之后，攻击者就会利用这些信息侵入其它的系统。

建议：不要在网络上使用明文传输密码，或者使用一次性密码。这样，即使你的系统已经被安装了rootkit，攻击者也无法通过网络监听，获得更多用户名和密码，从而避免入侵的蔓延。

建议你上传个日志.用hijackthis软件

【回复“帅的被贼砍”的帖子】
日志在哪里啊?
我看瑞星的历史记录里什么都没有.

楼主我也是个菜鸟，听说百度知道里有高手，没准就能解决你的问题。

解决了.可是又出问题的.

一、创建的文件
Create file
Object:C:\windows\nvideogui.exe

Create file
Object:C:\WINDOWS\system32\remon.sys

二、注册表更改

1、启动项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon

2、其它项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\MSBCRM
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\Minstallvariable
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\Mupvariable
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableTaskMgr
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableRegistryTools
HKLM\SOFTWARE\Microsoft\Security Center\\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\AntiVirusDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\AntiVirusOverride
HKLM\SOFTWARE\Microsoft\Security Center\\FirewallOverride
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\\EnableFirewall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\\AUOptions
HKLM\System\CurrentControlSet\Services\wscsvc\\Start
HKLM\System\CurrentControlSet\Services\TlntSvr\\Start
HKLM\System\CurrentControlSet\Services\RemoteRegistry\\Start
HKLM\System\CurrentControlSet\Services\Messenger\\Start
HKLM\System\CurrentControlSet\Control\Lsa\\restrictanonymous
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\\AutoShareWks
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\\AutoShareServer
HKLM\System\CurrentControlSet\Services\lanmanworkstation\parameters\\AutoShareWks
HKLM\System\CurrentControlSet\Services\lanmanworkstation\parameters\\AutoShareServer
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\\DoNotAllowXPSP2
HKLM\SOFTWARE\Microsoft\Ole\\EnableDCOM
HKLM\System\CurrentControlSet\Control\\WaitToKillServiceTimeout


3、HJ日志内容：
O23 - NT 服务: Nvidia Graphic Displacement (nvideoGUI) - Unknown owner - C:\windows\nvideogui.exe

4、其它特点：
C:\windows\nvideogui.exe有进程守护功能（见附图）;SSM2.0.0555可禁止C:\windows\nvideogui.exe启动加载。

木马eraseme_13348.exe查杀：

1、如果安装了SSM2.0.0555，请在其“选项”面板中将其设置成“自动启动”、“自动连接用户界面”。
2、重启系统。
3、删除下列木马文件：
C:\windows\nvideogui.exe
C:\WINDOWS\system32\remon.sys
4、删除木马添加主要注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon
HKLM\System\CurrentControlSet\Control\\WaitToKillServiceTimeout

其它注册表改动，最好也改过来（不必在注册表中做）。如：安全中心的开启，自动更新和WINDOWS防火墙的开启——可在安全中心的设置中完成。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，"AutoShareWks"=dword:00000000。这样的键值是否改，自己决定。

可能和baohe斑竹试的这个病毒一样,结合了鸽子和驱动级

晕，又有厉害的东西问世了。金色，给偶一个样本。邮箱不用偶再说了吧。
喂，你楼上的图呢？？？？？