这个方法是告诉大家如何在用第三方工具无效的情况下，用手工操作，摆平那些连杀毒软件也无法搞定的顽固木马（病毒）。

自从发表有关Rootkit木马清除方法的帖子以来，有部分网友给我留言说，按那帖子介绍的方法去处理还是杀不掉病毒。系统每次启动时杀毒软件都仍然发现病毒，但也总杀不了，只能“隔离”。

经 过研究发现，原来这些木马隐藏得更加深，把自己伪装成了系统的底层设备的驱动程序，这样，就算在安全模式下也系统同样加载这些木马程序，杀毒软件奈何它不 得，只好“隔离”了事。也许有人会想到用Unlocker等的工具去删除它们，但实际上根本不行，这些工具会提示说“重启后删除”，但重启后木马程序“岿 然不动”。

既然杀毒软件和第三方工具都无效，那就只有靠我们自己啦。俗话不是说“物是死的、人是活的”嘛，人总该比杀毒软件要聪明些吧。要删除这些木马，方法只剩两个了，一是重装系统，一是手工清除。如果不喜欢重装系统的话，那么手工清理自然是唯一选择。

当 然，手工清理也是颇有难度的，因为这些木马变成了最底层的系统设备，一旦系统启动（包括安全模式），这个设备（木马程序）也被启用，木马文件不能删除（因 为正在被系统使用），它在系统中注册的服务也是不可以被删除的。别以为这是“权限”不够，即使赋予Everyone“完全控制”权限，也是无济于事的，只 可以删除其中一部份“键值”，但那个“默认”键值总是删除不了的，而且，刷新注册表后那些被删掉的东西又会恢复过来。

要搞定它们，就必须用“釜底抽薪”的办法——删除木马伪装的系统设备。可是，说的容易，做的难，因为木马作者也不是傻子，不再像http://softbbs.pconline.com.cn/topic.jsp?tid=6066133这个帖子中的那样，虚拟的系统设备的名称跟木马程序的名称相同，他会给虚拟设备另起一个名字，在众多的虚拟系统设备中，你看得晕乎乎的，很难分别出哪个是木马伪装的设备（除非你平时对这些设备非常了解）。

难道就没办法了吗？当然不是啦，因为“人是活的”啊！我们可以用“枚举”法，这是高中时代老师教我们的逻辑推理方法！呵呵，就用这个，虽然方法有点笨，但非常简单、有用。

方 法是这样的：右击“我的电脑”→属性→硬件→设备管理→查看→显示隐藏的设备，点一下“非即插即用驱动程序”前边的＋号，就会列出所有的虚拟设备。找到你 认为可疑的设备，然后右击→属性→驱动程序→驱动程序详细信息，就可以看到它是在调用哪一个设备驱动程序。（本例要找的是gxsynw98.sys）如下 图：

一个一个地找……，哈哈！功夫不负有心人，终于找到了！

接下来就好办啦。回过头来再右击那个设备，然后选“停用”或“卸载”，一般应选“卸载”，为保险起见，也可以先选“停用”，待确认后再“卸载”。

“ 停用”或“卸载”这些虚拟设备后，重启系统。这样就可以到相应的文件夹里手工删除这些木马的源程序；再打开注册表，也能够顺利地删除木马在系统中注册的服务。至此，顽固的木马就被彻底清除掉了。

最后，再教大家一招：如何删除木马在系统中注册的服务。因为有好多网友不是很清楚这个，所以顺带说一下。

说明：这个是以删除hilkon50.sys木马为例的，你中的木马源程序的名称不会是这个，所以不要完全照搬，要懂得举一反三的哦。

1、单击“开始”→运行，输入regedit，然后确定，打开注册表编辑界面；

2、点击“编辑”→查找，输入hilkon50，点“查找下一个”，开始查找；

3、好，找到了第一个，右击它，选“删除”时，出错，因为“权限”不够；

4、提升权限：右击，选“权限”→点用户“Everyone”→点“完全控制”的“允许”；

5、提升了权限后，再像第3步那样右击那个“项”，选“删除”，就可以删掉了；

6、删除第一个后，按F3键（或者“编辑”→查找下一个），继续查找，把找到的删除掉（如果提示出错，按第4步的方法提升权限），然后再继续查找、删除，直至查找完毕。

这样，木马在系统中注册的服务就被删除干净了，重启系统后，木马源程序就再也不会被调用，你就可以顺利地删除木马文件了。

补充：          

总觉得教大家“赤手空拳”的太“危险”，还是手里有样东西拿着心里踏实些。

经过试验，现在找到一款可以显示各设备的驱动程序名称，而且也能停用设备的软件。

它叫utoruns，下载地址：http://www.crsky.com/soft/5285.html

用了它，就不用一个一个地查看设备的驱动程序这样麻烦了。