关于驱动级病毒的清理



1，DOS
如果你的系统分区是FAT
可以直接进DOS 在c:/windows/system32/drivers下找到对应的文件 删除之就可以了
例如 c:/windows/system32/drivers/peter.sys  且peter.sys是隐藏的系统文件
进DOS后
attrib -s -h c:/windows/system32/drivers/peter.sys
del c:/windows/system32/drivers/peter.sys

这样就可以删除该文件了。进系统后应该会有错误提示，找不到c:/windows/system32/drivers/peter.sys
你在注册表搜索 peter.sys  把找到的项全部删除即可

2，WINPE
如果你的系统分区是FAT，进去之后直接删除c:/windows/system32/drivers/peter.sys 即可
如果你的系统分区是NTFS，先将c:/windows/system32/drivers/peter.sys 的权限修改下（病毒一般都会将自己的权限设置为不可删除，包括admin）
具体办法：1 打开的我电脑-工具-文件夹选项-“使用简单文件共享”勾去掉
                  2 右点peter.sys- 属性-安全-高级-“从父项继承那些……”勾去掉，弹出对话框中点“复制”-确定
再将自己的用户权限设置为 “完全控制-允许”

3，注册表
通过注册表搜索peter.sys，你会在下面几项找到
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_peter
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/peter
用icesword的注册表工具删除对应项即可

PS：1)peter.sys是我虚构的，具体情况请具体分析，名字一般是和文件名差不多的
        2）搜索可以用regedit，但删除注册表项时，强烈建议使用icesword的
            理由2点：1，regedit删除的时候要修改权限；右点，权限……
                            2，木马一般都会监视着 regedit，甚至用regedit.com来顶替regedit.exe（com优先级比exe高）

小结：清理病毒的思路其实很简单，让病毒文件不运行，或者不被调用；且拥有足够的权限；再删除之
          具体完成方法很多很多了，不用拘泥与在下的拙见，其实这思路不局限于驱动级病毒的。