专杀工具:ravsdbot.exe
扫  描  :安全模式下运行ravsdbot.exe
提示信息:内核中发现存在trojan.rootkit.k病毒,已清除.

可是下次运行该专杀工具时又会出现:内核中发现存在trojan.rootkit.k !!
哪位高手救我一下

这是一种集IRC后门、蠕虫功能于一体，通过网络共享和*作系统漏洞（MS03-026、MS02-061、MS03-007、MS04-011等）进行传播的病毒。病毒尝试通过弱密码登陆目标系统，在感染的电脑上打开后门接收指令，然后连接特定的IRC服务器通知攻击者病毒的存在。病毒会扫描网段内的机器并猜测共享密码，占用大量网络带宽资源，容易造成局域网阻塞；还将安装/卸载后门、下载并运行文件、结束进程、运行代理服务器、盗取流行游戏的帐号、对指定的IP进行DoS（拒绝服务）攻击等。同时病病毒使用高度隐藏技术，用户中招后很难察觉，最终沦为网络僵尸，被黑客完全*纵。

病毒将自身复制到以下目录：

%SystemRoot%\extel.exe

并释放以下驱动文件：

rdriv.sys(用于隐藏自身进程，及445端口)

每次开机时，启动自身运行。

trojan.rootkit.k （rdriv.sys）病毒的清除方法


1、首先禁用所有杀毒软件
2、下载费尔木马强力清除助手 http://dl.filseclab.com/down/powerrmv.zip；
  释放 PowerRmv.zip 到一个目录
3、重启机器到安全模式 （按完开机按钮后不断按F8就能进入）
4、执行PowerRmv.exe ，启动“费尔木马强力清除助手”。在“文件名”中输入要清除的 rdriv.sys木马文件名。但要加上文件路径c:windows\system32\rdriv.sys，请选中程序中的“抑制文件再次生成”选项按“清除”。这时程序会询问你是否要举报此病毒到费尔安全实验室，点否，接着程序会继续提示是否确定要清除它，选“是”；
之后，此木马被成功清除程序会提示成功。
5、重启机器后，rdriv.sys已经没有了啊，成功！！！
转抄

1．请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，
可以把“删除所有脱机内容”选上)。
2．普通模式不行的话，在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows

如果还不行，试试看，启动到安全模式，在文件夹选项中，显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面，把能删除都删掉。

3．System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。

System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。

关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。
单击“系统还原”选项卡。
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。
单击“应用”，然后单击“确定”。
如前面指出的，这会将之前所有的还原点清除。单击“是”。
单击“确定”。
4．在注册表里搜”backdoor”把搜到的全部删除