先用命令行工具RKDetector检测一下。用法简单,直接输入程序名后撤就可。如图1:
2.清除:如果检测出来,那么就要进一步清除了;
(1) net stop HackerDefender100 如果成功停止服务,就搜索hxdef100.exe和hxdef100.ini ;找到后删除就可以了.
(2) 如果使用(1)的方法不能删除,那么打开服务管理器和srvinstw.exe 两个一对照,有那个服务出现在 srvinstw.exe而没有出现在服务管理器里,记下这个文件的路径和文件名。
用软盘启动 ,这样不会启动 Rootkit ;,找一下有没有和那个文件名相同的ini ,然后把这两个文件删除。
或者从另外一台电脑通过windows的文件共享功能进入被安装后门的系统,然后然后根据找到的文件名和路径删除掉后门文件。
该工具 如果找不到,可以向我索取。
