调试易

我也是
病毒Win32.Troj.Rootkit.1.7168.
病毒文件rdriv.sys
杀不掉

http://bbs.kingsoft.com/list.php?reurl=http://bbs.db.kingsoft.com/redirect.php?fid=3162&tid=15473529&goto=nextnewset

http://forum.ycwb.net/showthread.php?s=c56103c503e0b3347917ea81f9a75af0&threadid=68435&goto=nextoldest

这是目前碰到最难杀的病毒，我用最传统而相对有效的杀毒方法：首先用杀毒软件，只要使用最新版本的杀毒软件，都可以查杀大部分的病毒，少数无法删除的，也都将被隔离。无法删除的病毒文件，再进入安全模式中将其删除，为了确保病毒的再次复发，在注册表中查找病毒文件的注册信息，而这次在工作中，这个病毒无法删除。而且即使删除了注册信息，也一样会再出现。
我首先在客户的计算机上，安装塞门铁克，然后升级到最新的版本，进入安全模式，使用全盘杀毒，找到病毒文件名为rdriv.sys ，执行操作，删除失败，隔离成功。
路径是：C：\WINNT\SYSTEM32\rdriv.sys
关闭开机时启动的所有可疑文件，在重起之后，塞门铁克实施防护提示发现病为rdriv.sys，执行操作，删除失败，隔离成功。
再次进入安全模式。手动删除该文件，在进入注册表编辑器，查找rdriv所有的相关信息，都将其删除，有一个rdriv项无法删除，右键打开注册表项的菜单，选择权限，把完全控制的钩选上，并删除。直到注册表中无法查找到rdriv信息。
重新启动后，依然出现该病毒文件。最后应客户要求，重新安装系统。才得解决。
在网上查找到资料
backdoor/sdbot.atp.rootkit 病毒
应该执行以下操作１．请清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，
可以把“删除所有脱机内容”选上)。
２．普通模式不行的话，在安全模式重复上述操作。
进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows如果还不行，试试看，启动到安全模式，在文件夹选项中，显示隐藏文件和取消“隐藏受保护的操作系统文件”。然后到C:\Documents and Settings\Local Settings\Temporary Internet Files\下面，把能删除都删掉。３．System Volume Information目录（文件夹）下(WinXP)，请关闭系统还原。System Volume Information目录（文件夹）(WinXP)都是系统还原用到的目录，要是病毒藏身在那里，需要关闭系统还原。关闭Windows XP 系统还原
单击“开始”。 右击“我的电脑”，然后单击“属性”。 
单击“系统还原”选项卡。 
选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。 
单击“应用”，然后单击“确定”。 
如前面指出的，这会将之前所有的还原点清除。单击“是”。 
单击“确定”。 
４．在注册表里搜＂backdoor＂把搜到的全部删除删除失败可能是因为没有关闭系统还原造成的-转电脑论坛