Rootkit.CallGate.b的另类杀法 bbs.ikaka.com

baohe - 2006-9-3 17:40:00

染上这个毒后，杀软报告Rootkit.CallGate.b，报告的病毒文件是C:\WINDOWS\system32\drivers\Rinld.sys。重启系统后，杀软还是杀不掉。关键在于这个Rinld.sys比较厉害。而且，Rinld.sys与Ravdm.exe、TIMPlatform.exe三位一体，互相勾连。
这个木马的手工查杀，已经发过几个帖子。但那都是借助其它工具的杀毒方法。有些网友掌握不好操作顺序（尤其是不关闭QQ就杀毒），往往是杀不掉，或发生一些其它诡异现象。
现在这个手工杀毒方法从另一个角度着手。就叫做“改名—重启—删除”法吧。

操作流程：

1、将木马文件改名。
将下列文件的后缀改为.txt：
（1）将C:\Program Files\Tencent\QQ\TIMPlateform.exe改为：C:\Program Files\Tencent\QQ\TIMPlateform.txt
（2）将C:\WINDOWS\system32\drivers\Rinld.sys改为：C:\WINDOWS\system32\drivers\Rinld.txt
（3）将C:\WINDOWS\system32\Ravdm.exe改为：C:\WINDOWS\system32\Ravdm.txt
2、重启系统。
3、删除：
C:\Program Files\Tencent\QQ\TIMPlateform.txt
C:\WINDOWS\system32\drivers\Rinld.txt
C:\WINDOWS\system32\Ravdm.txt

至此，木马已经被杀死。
剩下的就是注册表中的垃圾。用SREng等工具清理一下即可。

附件: 155847200693173847.jpg

轩辕小聪 - 2006-9-3 17:44:00

呵呵，只要可以重命名成功的木马、后门，大多能用这种方法。不过的确另类了一点。
上次对付同学电脑里一个“刘麻子”，有注册表监控的，安全模式下它都加载，每添加一个进程它就插入一个，IceSword又用不了，难不成装SSM再设置，或是进DOS？于是试着把它改名，居然成功，重启后一举干掉了。

mopery - 2006-9-3 17:48:00

汗一个..下次也改用这方法玩玩..

baohe - 2006-9-3 17:57:00

引用:

【mopery的贴子】

汗一个..下次也改用这方法玩玩..
………………

不监控文件名——这是此马的一个软类。
“柿子拣软的捏”吗！

月亮飞沙 - 2006-9-4 11:20:00

版主.怎么改后缀? 那个EXE的后缀显示不出来

baohe - 2006-9-4 11:35:00

引用:

【月亮飞沙的贴子】版主.怎么改后缀? 那个EXE的后缀显示不出来
………………

附件: 155847200694112718.jpg

月亮飞沙 - 2006-9-4 11:38:00

（3）将C:\WINDOWS\system32\Ravdm.exe改为：C:\WINDOWS\system32\Ravdm.txt

报告版主:这个文件我找不到

月亮飞沙 - 2006-9-4 11:38:00

用搜索功能也搜索过了.找不到

baohe - 2006-9-4 11:40:00

引用:

【月亮飞沙的贴子】（3）将C:\WINDOWS\system32\Ravdm.exe改为：C:\WINDOWS\system32\Ravdm.txt

报告版主:这个文件我找不到
………………

仔细看4楼的图。
那样设置好以后，才能看到你要找的。

求助高手帮助 - 2006-9-4 11:42:00

Rootkit.CnsProt是不是也是这个病毒呢`？

baohe - 2006-9-4 11:53:00

引用:

【求助高手帮助的贴子】Rootkit.CnsProt是不是也是这个病毒呢`？
………………

不是。
是另外一个。
一直没有拿到这个样本。所以没法给出手工查杀方法。

CC猫儿 - 2006-9-4 11:53:00

（1）将C:\Program Files\Tencent\QQ\TIMPlateform.exe改为：C:\Program Files\Tencent\QQ\TIMPlateform.txt

斑竹。
我是这个找不到。
而且我照你这张帖子删除方法办的时候。
http://forum.ikaka.com/topic.asp?board=28&artid=8156736&page=1
图3的腾讯QQ我上面没。
我的是这样

我的怎么办啊？
而且在开始/运行/msconfig 里面有这样的情况。
http://forum.ikaka.com/topic.asp?board=28&artid=8162240
我在这张贴子里说了。

问题比较多。。
希望LZ能认真的看。告诉我怎么办。
我是中毒后实在没办法。昨天刚做的系统。
做完了还是有。。

baohe - 2006-9-4 12:00:00

引用:

【CC猫儿的贴子】（1）将C:\Program Files\Tencent\QQ\TIMPlateform.exe改为：C:\Program Files\Tencent\QQ\TIMPlateform.txt

斑竹。
我是这个找不到。
而且我照你这张帖子删除方法办的时候。
http://forum.ikaka.com/topic.asp?board=28&artid=8156736&page=1
图3的腾讯QQ我上面没。
我的是这样

我的怎么办啊？
而且在开始/运行/msconfig 里面有这样的情况。
http://forum.ikaka.com/topic.asp?board=28&artid=8162240
我在这张贴子里说了。

问题比较多。。
希望LZ能认真的看。告诉我怎么办。
我是中毒后实在没办法。昨天刚做的系统。
做完了还是有。。
………………

这个木马的查杀要点是：
1、禁止QQ自动加载。
2、事先关闭QQ。

开着QQ杀，我也试过。会出现一些诡异现象，最后把你自己搞晕。如果你是新手，务必注意这两个要点。

月亮飞沙 - 2006-9-4 12:01:00

斑主.剩下的就是注册表中的垃圾。用SREng等工具清理一下即可。

前面的我都弄好了.最后一步.我把SREng这个软件也下载下来了.是不是用自动修复一下就搞定了?

CC猫儿 - 2006-9-4 12:03:00

杀的时候没有开QQ~``
我是为了截图才开了QQ~`
我想我中的这个是不是和宽带有联系啊？
我开宽带的时候会先出现一个黑框框然后才出来宽带的登陆界面。
中毒之前没有这种状况。

baohe - 2006-9-4 12:04:00

引用:

【月亮飞沙的贴子】斑主.剩下的就是注册表中的垃圾。用SREng等工具清理一下即可。

前面的我都弄好了.最后一步.我把SREng这个软件也下载下来了.是不是用自动修复一下就搞定了?
………………

1、load：用SREng编辑一下。设置成空项。
2、9：用SREng删除。

westbeck - 2006-9-4 12:07:00

学习

CC猫儿 - 2006-9-4 13:02:00

哪位帅哥美女高手大人。看看我的情况吧。
我也是Rootkit.CallGate.b病毒。但和别人的情况又不太一样。

具体情况见11楼~``写的比较乱。
请大家帮我看看~`

飞舞扑爱 - 2006-9-5 11:11:00

（3）将C:\WINDOWS\system32\Ravdm.exe改为：C:\WINDOWS\system32\Ravdm.txt
我的没有这个文件啊 ,前两个有，文件设置了都是可见的

baohe - 2006-9-5 11:18:00

引用:

【飞舞扑爱的贴子】（3）将C:\WINDOWS\system32\Ravdm.exe改为：C:\WINDOWS\system32\Ravdm.txt
我的没有这个文件啊 ,前两个有，文件设置了都是可见的
………………

请用ICeSword核实一下：如果确实看不到你说的“没有的文件”，就别管它了。把能找到的木马文件改名，重启后删除之。

瑞星卡卡安全论坛