kevin beaver：我首先的建议是断开计算机的网络连接，不过，这只能在你能够承受这种损失的情况下才可以这样做（也就是说，如果这样做不影响主要的业务经营的话）。这样做有助于阻止任何恶意软件传播或者影响其它的网络计算机。第二，安装/运行我在诊断阶段提到的应用程序。你可能需要运行这些程序来监视系统的行动。然而，一旦系统受到感染，检测程序要发现异常或者正常的行为都是很困难的，如果不是不可能的话。这主要取决于具体的工具的工作情况。

　　专家教你清除rootkit之恢复系统：

　　kurt dillard：遗憾的是“用核打击让站点进入轨道”是最有力的恢复方法。一旦黑客攻破了你的计算机，你永远不会确定你发现并清除了每个一被修改的地方。

　　如果你拥有最新的备份，按下列步骤执行：

　　1.把硬盘从被感染的计算机中拆下来安装到另一台干净的计算机中；

　　2.从干净的系统备份数据；

　　3.删除受影响的计算机的操作系统，并且使用已知的良好的介质重新为受影响的计算机安装操作系统；

　　4.采取在预防措施阶段中介绍的步骤尽最大努力保证系统的安全；

　　5.把数据恢复到重建的计算机中；

　　6.使用最新的杀毒软件和反间谍软件全面扫描恢复的数据。

　　7.不要存储任何可执行文件。最佳方法是故意删除二进制、脚本、activex控件等任何可执行文件。

　　lawrence abrams：从rootkit的影响中恢复过来是很棘手的。如果rootkit是通过普通的没有针对性的恶意软件安装的，清除这种侵犯你的计算机的恶意软件应该比恢复你的计算机还要困难。

　　另一方面，如果你对付的是hacker defender、he4hook、vanquish或者fu等rootkit，那么，那就是黑客故意把这些rootkit安装到目标计算机中的。记住这个问题，你绝对想不到这些rootkit在你的计算机中安装了什么或者修改了什么。黑客也许会通过注册表修改安全设置，用黑客版本的文件替换你系统中的重要文件，或者以其它方式控制受害者的计算机或者网络。在这种情况下，我总是建议备份数据和重新安装操作系统。在你把数据复制到新安装的计算机之前，扫描一下数据，检查是否被感染。

　　如果重新安装计算机不是一种选择，你可以使用rootkit检测程序查找属于rootkit的文件。这类工具软件包括blacklight、rootkitrevealer和flister等。由于这些文件在rootkit程序之外很可能看不到，你可以使用可启动的linux发布版软件如knoppix、启动盘或者通过一个网络共享（不建议这样做）清除那些文件。

　　最后，如果你有资源重新安装计算机，那可能是你最佳的选择。

　　kevin beaver：如果你没有检测到任何rootkit，但是，异常的行为继续出现，你的最佳和最安全的选择是重新格式化和重新安装系统。在进行这种操作之前，你要确保备份一切必要的文件。由于目前大多数恶意软件（特别是rootkit）不感染二进制或者文本文件，这样做是很安全的。恶意软件主要感染可执行文件和操作系统以及应用程序使用的支持库文件。如果你能够清洁系统（如果发现了rootkit就很难做到），你需要经常扫描系统并且监视其它的可疑行为。再说一次，一定要使用我在诊断阶段所提到的那些工具。

　　kurt dillard：你可以采取很多应对措施。下面是最有效的五个措施：

　　1.避免使用具有管理员权限的账户登录。你可以使用windows内置的工具runas或者makemeadmin等工具软件做到这一点；

　　2.运行一个为你的整个网络设置的防火墙以及分配给每个端口的防火墙软件，如windows防火墙（包括windows xp sp2）；

　　3.保持你的windows和其它软件都是用最新的补丁和服务包。如果你只有少量的系统，你可以使用“automatic updates”（自动更新）等工具。如果你有很多系统，你可以使用windows服务器更新服务；