瑞星卡卡安全论坛
baohe - 2006-8-20 22:19:00
如果您的SREng日志中出现下列加载项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run>< > []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation],
那么——您中了此马。
手工查杀流程如下:
1、
附件:
1558472006820221152.jpg
baohe - 2006-8-20 22:20:00
baohe - 2006-8-20 22:20:00
3、从“启动”组中删除“腾讯QQ”的快捷方式,暂时禁止其随系统启动自动运行。如果系统是XP或ME,请关闭“系统还原”。
重启系统。显示隐藏文件。
baohe - 2006-8-20 22:21:00
deadmanzj - 2006-8-20 23:07:00
猫叔的东西都收。。收收
baohe - 2006-8-20 23:10:00
补充:
这个wdm.exe,前面的帖子曾经提到过(http://forum.ikaka.com/topic.asp?board=28&artid=8142848)。
那个帖子的背景是:我的系统中已经安装了SSM,所以可用SSM轻易将其制服。
后来,有网友先中招,后安装SSM,SSM不能运行(safemon.sys不能加载)。
今天,我自己试了一下。先卸载SSM,然后将木马植入系统。再安装SSM。果然,SSM无法运行。
因此,重新写了这个手工查杀帖子。
其实,删除那两个注册表项是个关键。
删除那两个注册表项后,重启系统。木马wdm.exe及其驱动ksld.sys就不能加载了。
这时,SSM才能正常运行。
看来,这个木马有点儿水平。
deadmanzj - 2006-8-20 23:19:00
其实现在很多人都不装SSM的,偶也是,可能是偶不会设置,哎,一直弹出日志,搞的手酸死,就干脆不运行
deadmanzj - 2006-8-20 23:22:00
晕死了,QQ的那2个也要删啊,今天教别人漏删了那QQ的那2个文件,怪不得不见好,哎,实在对不起那位朋友啊!~~这狡猾的马
baohe - 2006-8-20 23:23:00
| 引用: |
【deadmanzj的贴子】其实现在很多人都不装SSM的,偶也是,可能是偶不会设置,哎,一直弹出日志,搞的手酸死,就干脆不运行
……………… |
如果事先装了SSM,这个wdm.exe根本不能得逞。(每次启动系统,SSM都报警。)
我无邪 - 2006-8-20 23:25:00
ttmplatfrom.exe这个东东,真的有吗?
我到没有发现呢
baohe - 2006-8-20 23:25:00
| 引用: |
【deadmanzj的贴子】晕死了,QQ的那2个也要删啊,今天教别人漏删了那QQ的那2个文件,怪不得不见好,哎,实在对不起那位朋友啊!~~这狡猾的马
……………… |
那两个文件:一个是木马释放的;一个是经过木马改写的。都要删除。
baohe - 2006-8-20 23:27:00
| 引用: |
【我无邪的贴子】
ttmplatfrom.exe这个东东,真的有吗?
我到没有发现呢
……………… |
不是ttmplatfrom.exe,而是TIMPlateform.exe和TIMPlatefrom.exe。
嘢蠻丫头 - 2006-8-21 0:24:00
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗
坚强的烂泥 - 2006-8-21 0:44:00
【回复“baohe”的帖子】
我按你说的下载了几个版本的都没有用啊。。SSM 安装了N遍他还是 “the ssm driver was not found please reinstall ssm ” 我都把2.0 到2.2的版本下过几次了。。。有没有其他软件手工杀的啊。。谢谢你了LZ。。。这个病毒把我都搞晕了。。杀了两天了。。。
帮帮我a - 2006-8-21 7:31:00
我无法删除ksld.sys,请问先要结束哪个进程啊
baohe - 2006-8-21 8:16:00
| 引用: |
【坚强的烂泥的贴子】【回复“baohe”的帖子】
我按你说的下载了几个版本的都没有用啊。。SSM 安装了N遍他还是 “the ssm driver was not found please reinstall ssm ” 我都把2.0 到2.2的版本下过几次了。。。有没有其他软件手工杀的啊。。谢谢你了LZ。。。这个病毒把我都搞晕了。。杀了两天了。。。
……………… |
5楼已经回答你这个问题。
1、若是预先安装了SSM,后中这个木马,SSM可以轻易搞掂它。
2、如果是先中这个木马,后来才装SSM,SSM无法运行。这时,可以按照本帖的操作杀此马。
baohe - 2006-8-21 8:21:00
| 引用: |
【嘢蠻丫头的贴子】
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗
……………… |
中了这个木马后,[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]下的Load键值表面为空,实际上不是空的。它与ksld.sys加载有关。
具体表现为:不删除此键值,无论你重启多少次,ksld.sys仍无法删除。删除此键值后,重启,ksld.sys即可删除。
baohe - 2006-8-21 8:23:00
| 引用: |
【帮帮我a的贴子】我无法删除ksld.sys,请问先要结束哪个进程啊
……………… |
中了这个木马,你看不到它的进程(即便你用IceSword,也看不到木马进程)。
按照本帖的顺序操作,先删除那两个注册表项,再重启系统,即可删除之。
闪电风暴 - 2006-8-21 9:06:00
baohe版主,运行IceSword的情况如何??是否报"程序初始化失败[2]"???
引用PJF原话:
小小说明
以前说过不少恶意程序破坏IceSword的执行环境,特别是出现初始化失败[2]时,一般是因为有木马阻止IceSword释放驱动.出现这个错误号几乎可以肯定有问题.(当然你自己设置一些象麦咖啡这样的软件阻止驱动的释放另当别论).如果你不久前能用,突然出现[2],自己实在找不出原因而机器又比较重要,建议ghost或重装,当然能找到熟悉这方面的朋友帮忙更好.
闪电风暴 - 2006-8-21 9:08:00
这个木马应该会阻止LoadDriver的API调用和:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]
的键值读写
-----------------
可否发送样本??>>>>kxzhmc500@sina.com
baohe - 2006-8-21 9:11:00
| 引用: |
【闪电风暴的贴子】baohe版主,运行IceSword的情况如何??是否报"程序初始化失败[2]"???
引用PJF原话:
小小说明
以前说过不少恶意程序破坏IceSword的执行环境,特别是出现初始化失败[2]时,一般是因为有木马阻止IceSword释放驱动.出现这个错误号几乎可以肯定有问题.(当然你自己设置一些象麦咖啡这样的软件阻止驱动的释放另当别论).如果你不久前能用,突然出现[2],自己实在找不出原因而机器又比较重要,建议ghost或重装,当然能找到熟悉这方面的朋友帮忙更好.
……………… |
中了这只木马,最新版的IceSword依然可以加载(虽然加载过程中有报错)。但是IceSword已经失去往日的威风——进程列表中看不到木马进程。SSDT列表中只能看到ntoskrnl.exe,其它安全软件的那些显示为红色的内容全部消失了!
闪电风暴 - 2006-8-21 9:18:00
Ispub118.sys没有正确加载........
请问IS的注册表功能是否还能使用??
以前听说过比较阴险的一招,进入纯DOS,将它的wdm.exe和那个SYS文件删除,再进入安全模式做掉它.
baohe - 2006-8-21 9:21:00
| 引用: |
【闪电风暴的贴子】Ispub118.sys没有正确加载........
请问IS的注册表功能是否还能使用??
……………… |
应该可以用吧。
当时,我是用TuneUp的注册表编辑工具删除木马加载项的(这样可以在我截取的图片中显示注册表分支路径)。
闪电风暴 - 2006-8-21 9:22:00
可见这个木马还是没有保护那两个键值的读写,如果禁止了,怕是只能在纯DOS下进行注册表修改了.
闪电风暴 - 2006-8-21 9:24:00
http://www.yuxian.net/bbs/bbsxp/ShowPost.asp?ThreadID=8028
已经有人抄袭了
baohe - 2006-8-21 9:24:00
| 引用: |
【闪电风暴的贴子】Ispub118.sys没有正确加载........
请问IS的注册表功能是否还能使用??
以前听说过比较阴险的一招,进入纯DOS,将它的wdm.exe和那个SYS文件删除,再进入安全模式做掉它.
……………… |
我的系统分区是NTFS格式,又没有特殊的DOS,故无法在DOS下搞。DOS下搞出来的查杀方法——大多数人不能用(他们可能根本就不知道DOS是什么)。
蓝鸢rita - 2006-8-21 9:26:00
猫叔,那个~~~那个~~~,你前面写的步骤的第一个框框怎么打开的~~
我找不到~~~
T.T
baohe - 2006-8-21 9:26:00
| 引用: |
【闪电风暴的贴子】可见这个木马还是没有保护那两个键值的读写,如果禁止了,怕是只能在纯DOS下进行注册表修改了.
……………… |
木马的作者可能有自己的考虑:
1、这个木马比较隐蔽。
2、现在的安全软件,大多有注册表监控。如果木马不停的写注册表——反而容易暴露!
闪电风暴 - 2006-8-21 9:31:00
【回复“baohe”的帖子】我的分区也是NTFS的,具体情况:
CEF为NTFS,D为FAT32,我将MaxDOS5.5s装上,在开机时就可以看见MAXDOS的操作系统选择,进入后输入ntfsdos,就可以加载NTFS读写文件.
自动将C盘定位为H盘(在我的光驱之后.)输入命令:
dir H:\
成功显示C盘内容.
输入ghost
可以使用GHOST8.2.
功能不错..
下载:http://littlecat.ys168.com
闪电风暴 - 2006-8-21 9:32:00
| 引用: |
【baohe的贴子】
我的系统分区是NTFS格式,又没有特殊的DOS,故无法在DOS下搞。DOS下搞出来的查杀方法——大多数人不能用(他们可能根本就不知道DOS是什么)。
……………… |
像一般的用户,在DOS下操作会产生恐惧感
© 2000 - 2026 Rising Corp. Ltd.