瑞星卡卡安全论坛

引用:

【甛甛圏οo的贴子】...楼主,我碰到个问题,LOAD无法删除.. ………………

附件: 1558472006821204619.jpg

眼都找花了，我很仔细的找了．还是没找到．一打开注册表，我的电脑下面有四个文件夹，分别是HKEY_CLASSES_ROOT，HKEY_CURRENT_USER，HKEY_LOCAL_MACHINE，HKEY_USERS，HKEY_CURRENT_CONFIG．能不能具体说下在哪个里面？因为这每个里面的东东都好多，不好找哇．．．．谢谢～～

引用:

【baohe的贴子】 我一直没弄明白——你怎么知道你中了这个木马？ ………………

  我前天安装珊瑚虫QQ 的时候,一个不小心没有把珊瑚虫工具栏勾掉,安装了YOK这个东西,百度上搜索一下,说这个是流氓软件,很可恶的,我在注册表里删了YOK,昨天在注册表又搜索YOK的时候,在昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys    wdm.exe    _hook.dll  YOK....

  这两个ksld.sys    wdm.exe在百度里搜了下,都列为病毒,马上来卡卡这里找了,也看到你以前发的帖子,还参考别的帖子,查了一下,无论是C盘还是注册表的其他地方,都没有ksld.sys和wdm.exe,只在我搜出来的那里有,发帖子问,也没有人告诉我.

 
    今天重新发了我的日志,有人告诉我说没有问题.但是我发现我日志启动项第一项和你这个帖子里发的那个是一样的.所以来问问你

引用:

【feifeier411的贴子】眼都找花了，我很仔细的找了．还是没找到．一打开注册表，我的电脑下面有四个文件夹，分别是HKEY_CLASSES_ROOT，HKEY_CURRENT_USER，HKEY_LOCAL_MACHINE，HKEY_USERS，HKEY_CURRENT_CONFIG．能不能具体说下在哪个里面？因为这每个里面的东东都好多，不好找哇．．．．谢谢～～ ………………

看我给的那两个图。已经显示得很清楚了。不要着急。

注册表最近才学会看的,想要多学点,老是重装电脑太辛苦了..

引用:

【甛甛圏οo的贴子】   我前天安装珊瑚虫QQ 的时候,一个不小心没有把珊瑚虫工具栏勾掉,安装了YOK这个东西,百度上搜索一下,说这个是流氓软件,很可恶的,我在注册表里删了YOK,昨天在注册表又搜索YOK的时候,在昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys    wdm.exe    _hook.dll  YOK....   这两个ksld.sys    wdm.exe在百度里搜了下,都列为病毒,马上来卡卡这里找了,也看到你以前发的帖子,还参考别的帖子,查了一下,无论是C盘还是注册表的其他地方,都没有ksld.sys和wdm.exe,只在我搜出来的那里有,发帖子问,也没有人告诉我.       今天重新发了我的日志,有人告诉我说没有问题.但是我发现我日志启动项第一项和你这个帖子里发的那个是一样的.所以来问问你 ………………

HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys wdm.exe _hook.dll YOK....
看看这些注册表项分别指向那些程序（记下文件名及其路径）。
然后——删除他们。
接下来——重启系统。
显示隐藏文件。
根据刚才删注册表项前看到的文件名及其路径，找到并删除那些文件。

引用:

【baohe的贴子】 看看这些注册表项分别指向那些程序（记下文件名及其路径）。 然后——删除他们。 接下来——重启系统。 显示隐藏文件。 根据刚才删注册表项前看到的文件名及其路径，找到并删除那些文件。 ………………

  问个菜鸟问题,注册表指向怎么看?我是用XP自带的注册表编辑器的

引用:

【甛甛圏οo的贴子】   问个菜鸟问题,注册表指向怎么看?我是用XP自带的注册表编辑器的 ………………

附件: 1558472006821210603.jpg

我的是这样的,没有路径的.数据那栏是mde,exe这些,名称是00X

附件: 7334202006821211009.BMP

哈哈..找到了..接下来第四步当中的四个东东在什么地方?隐藏文件在哪里啊?是不是在C盘?说具体点啊~~~谢谢加菲猫~~

引用:

【甛甛圏οo的贴子】我的是这样的,没有路径的.数据那栏是mde,exe这些,名称是00X ………………

统统可删！

引用:

【baohe的贴子】 统统可删！ ………………

 
只要直接删了就行了吗?我在显示所有文件状态下在C盘搜索过这些文件,都没有,需不需要自己再重新在电脑里找这些文件?

引用:

【feifeier411的贴子】哈哈..找到了..接下来第四步当中的四个东东在什么地方?隐藏文件在哪里啊?是不是在C盘?说具体点啊~~~谢谢加菲猫~~ ………………

你的系统和QQ安装在哪个盘，就在那个盘找。

附件: 1558472006821211822.jpg

引用:

【甛甛圏οo的贴子】   只要直接删了就行了吗?我在显示所有文件状态下在C盘搜索过这些文件,都没有,需不需要自己再重新在电脑里找这些文件? ………………

你说的这些——注册表中的垃圾。删除就行了。

谢了*^_^*

加菲猫，我没有找到wdm.exe这个东东，我确定路径是对的．还有我的ＱＱ下没有TTMplatfrom,只有TTMplatform,我已经把这个删了，还有，那个ksld.sys删不掉，说什么磁盘写保护什么的拒绝访问．反正删不掉，怎么办啊？一堆问题，辛苦加菲猫斑竹了，谢谢～

老兄,俺只做了你的第二步(因第一步不懂打开),重启,就将困扰俺多日的Rootkit．Ｃａｌｌｇａｔｅ．ａ删除啦,多谢啦!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

引用:

【feifeier411的贴子】加菲猫，我没有找到wdm.exe这个东东，我确定路径是对的．还有我的ＱＱ下没有TTMplatfrom,只有TTMplatform,我已经把这个删了，还有，那个ksld.sys删不掉，说什么磁盘写保护什么的拒绝访问．反正删不掉，怎么办啊？一堆问题，辛苦加菲猫斑竹了，谢谢～ ………………

如果你仔细看了这个帖子，尤其是我说的那几个启动项，如果你在你的SREng日志中看到那几个启动项，那么，你可以按照这个帖子的步骤，一步一步，执行手工杀毒。
如果你的实际情况与我说的对不上号，你按这个帖子操作——没有任何意义。因为你中没中这个木马——依然是个问题。

我当然是看过的呀，以前你也给我讲过是中了wdm.exe这个东东的．要不我重开个，麻烦你进来帮我看看日志就知道到底是不是了．谢谢～

引用:

【feifeier411的贴子】我当然是看过的呀，以前你也给我讲过是中了wdm.exe这个东东的．要不我重开个，麻烦你进来帮我看看日志就知道到底是不是了．谢谢～ ………………

请单独开帖子，贴SREng日志。

请问呢个 Rootkit.CallGate.a 名的病毒要怎样清除？瑞星清除吾到！请指教。谢谢

我也中了这个,用瑞星杀不了,重启后又有,而且瑞星的监控也不能用了,小绿伞都变成小红伞了.看到这个贴子高兴死了,可是我是菜鸟,没看懂.唉,不知版主可以赐教否?

ksld.sys  无法删除。load又回来了。wdm没找到。QQ的只有一个。晕了

我下载了你介绍的那个小软件,可是我只看到有一个load,不知道还应该删那个注册表.麻烦您了,回一下好吗?

版主为什么我找不到你第一个画面的工具？？在win哪个位置的？？help

请教:
我已经按LZ说的1,2,3步都做了,可打开回收站的时候里面没有出现如你所说的那些东西.
重启后那两个注册表项并没有被删除......

我要怎么做?
PS;我的电脑同时还中了落雪系列木马...8知道是否与这有关....
谢谢~

KernelFaultCheck><C:\WINDOWS\system32\wdm.exe跟load我都刪了，为什么从启以后想删除ksld.sys居然不见了。。。现在的伞子还是红色，版主麻烦救救55555555555

第2步我就会了,但第一步还是搞不明[img][/img]

附件: 734253200682263515.bmp

引用:

【z6678807的贴子】第2步我就会了,但第一步还是搞不明[img][/img] ………………

1、一个很难缠的木马。如果你是新手，建议执行“系统还原”或用以前的系统GHOST备份恢复系统，这比杀毒省事、省时。
2和3、其它木马。你给的图中并未显示你中了此帖讨论的木马。

附件: 155847200682283134.JPG

斑竹啊

注册表里我找到wdm.exe了

可是没有路径啊

虽然知道他在系统盘下
但是显示所有文件，显示系统文件等等之类的我全开了，也没有找到他，怎么做啊？