关于Rootkit.Vanti.gen病毒的查杀（原创，转载请声明）

最近给朋友杀毒时，碰到顽固的Rootkit.vanti.gen病毒，瑞星2006最新版本报rootkit.vanti.gen，可是却无法将其清除，十分顽固。而且在网上并没有看到具体的解决方案，只好自己动手。经过一系列的尝试，终于搞定，先将解决方案提供如下，不过由于手头没有工具，且病毒不能重现。只好根据记忆将步骤整理如下：

1. 准备两个工具rkdetector.exe和icesword（冰刃），由于rkdetector.exe只能查出有异常的sys或者dll，所以我们需要用icesword配合使用。不要用windows自带的进程服务，查不出来。

2.将rkdetector.exe查到的红色的文件记录下来，我当时发现三个，两个在windows/system32下，一个在temp下叫v5p.dll。打开icesword选进程，我们应该能看到红色的隐藏进程iexplore，右键点模块分析，在其中发现了v5p.dll，下面我们开始干掉他。

3.用icesword的注册表察看，也不要用windows自带的regedit。不过icesword的注册表察看无法查找，比较麻烦。没办法，只好一个一个的找了，具体做法：把current_local_machine--〉system的ControlSet00X和CurrentControlSet里面的Services查找你在rkdetector.exe下发现的可疑文件，全部删除。

4.不过当我重启机器后，发现瑞星仍然报rootkit.vanti.gen错误,有点泄气。再用rkdetector查找，这次又发现了另外的三个:LSA.exe、和media update 服务相关的一个文件还有一个temp下的dll文件。不过和原来三个不一样。我按照前面的方法把注册表中和temp下dll文件相关的记录全部删除。不过对于LSA.exe和media update服务我却停住了。在window的服务里显示 LSA.exe涉及window底层的一些东西，停掉可能不正常;media update是一个和media有关的服务，而且状态都是以停止。没办法，上网查一下吧。没想到这一查还真是有问题，有很多文章都提到LSA.exe实际上后门程序的东西，为了伪装自己，个自己写了一个"涉及window底层的一些东西，停掉可能不正常"等等的说明，真是败了。于是我又在icesword里的注册表在current_local_machine--〉system的ControlSet00X和CurrentControlSet里面的Services把和LSA.exe和Media Update相关的记录全部删掉，问题搞定。

以上只是个人在处理该病毒的一些经验记录，对于使用该方法操作出现的任何问题，本人不承担任何后果。

Technorati : rootkit vanti gen icesword rkdetector