瑞星卡卡安全论坛

今天一开机器到是没发现病毒，但是我一开QQ就出现：rootkit.callgate 而且是不停的出现 瑞星提示是重起后删除 可重起后一开QQ还是有  请问怎么才能彻底删除？

关于Rootkit.CallGate.a病毒的手动删除---补充
最近很多朋友都在说自己的电脑中了Trojan.PSW.LMir.atc和Rootkit.CallGate.a两种病毒..

这两个病毒或许是有联系的..

运行QQ之后会出现Rootkit.CallGate.a的杀毒提示

如果不运行总是会提示Trojan.PSW.LMir.atc(atb等等...)而且杀毒升到最新的版本也不行.

下面是清除Rootkit.CallGate.a的方法.

其实这个病毒是wdm.exe木马...挺烦的一个东东```瑞星提示重起后自动删除```开机后是删了ksld.sys文件``不过上网

开QQ后又提示有毒..不管它...看下面.

首先,重新启动计算机.现在不要再运行QQ.如果现在还提示传奇的病毒.就麻烦你先杀一会吧...不用管它.

病毒客户端是wdm.exe`文件存在于C:\WINDOWS\system32\wdm.exe.用瑞星查这个文件是查不出毒的``

而C:\WINDOWS\system32\drivers\ksld.sys这个才是有毒的文件...是wdm.exe利用拨号加载的...

首先,禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载(TIMPlatfrom.exe、TIMPlatform.exe这两个文件存在与QQ主

目录下..现已被病毒覆盖)

如何禁止这3个的加载,也就是不要运行QQ就ok了....重新启动你的电脑之后就别再运行QQ啦.

然后删除wdm.exe (这里补充一点,wdm.exe是一个隐藏文件,如果有些新人找不到该文件的话 这里教大家一下 在开始→运行输入 cmd然后在弹出来黑色的框框的光标中输入 del c:\windows\system32\wdm.exe 然后 回车) 删除掉之后再清理注册表

清理注册表方法:

找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删掉那个与wdm.exe

有关的键值(应该只有一个)..OK了`重起...

最后卸载QQ,卸载完之后,你安装的QQ目录下还有TIMPlatfrom.exe、TIMPlatform.exe 返回上一层.将此文件包全部删除.


急归急,但是如果在你的QQ号上有自己加的图片......别忘记了将?:\TENCENT\QQ\12346789 (也就是你的QQ号) 那个文件

夹复制出来噢


最后重新安装QQ,ok...运行不会再出现病毒提示!~

不对啊！！！我根本找不到wdm.exe啊  开始菜单 运行CMD 然后del c:\windows\system32\wdm.exe 然后 回车) 提示找不到c:\windows\system32\wdm.exe ？？怎么办啊？？

可能是瑞星已经把wdm.exe杀掉了.
看看瑞星的历史记录杀掉了哪个病毒名称.
杀掉了后再从注册表里清除!

历史记录里删除的是：rootkit.callgate  病毒

是不是把 注册表里的东西全部删除就OK了？？

jasdjashsdfsdhffs

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\System32\ctfmon.exe>  [(Verified)Microsoft Corporation]
    <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <PHIME2002ASync><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
    <helper.dll><C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32>  []
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\System32\twunk32.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]

是不我现在重下载个QQ试试看还有没有毒？？