瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

12345678»   2  /  20  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:25 | 只看楼主 短消息 资料
字号: 11楼

引用:
【deadmanzj的贴子】晕死了,QQ的那2个也要删啊,今天教别人漏删了那QQ的那2个文件,怪不得不见好,哎,实在对不起那位朋友啊!~~这狡猾的马
………………

那两个文件:一个是木马释放的;一个是经过木马改写的。都要删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:27 | 只看楼主 短消息 资料
字号: 12楼

引用:
【我无邪的贴子】
ttmplatfrom.exe这个东东,真的有吗?
我到没有发现呢

………………

不是ttmplatfrom.exe,而是TIMPlateform.exe和TIMPlatefrom.exe。
gototop
 
嘢蠻丫头
头像
拙长孩提狮
  • 帖子:64
  • 注册: 2005-02-01
  • 来自:
发表于: 2006-08-21 00:24 | 短消息 资料
字号: 13楼

引用:
【baohe的贴子】2、
………………

[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗
gototop
 
坚强的烂泥
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 00:44 | 短消息 资料
字号: 14楼

【回复“baohe”的帖子】
我按你说的下载了几个版本的都没有用啊。。SSM  安装了N遍他还是    “the ssm driver was not found please reinstall ssm ”  我都把2.0  到2.2的版本下过几次了。。。有没有其他软件手工杀的啊。。谢谢你了LZ。。。这个病毒把我都搞晕了。。杀了两天了。。。
gototop
 
帮帮我a
头像
初生襁褓狮
  • 帖子:26
  • 注册: 2006-08-15
  • 来自:
发表于: 2006-08-21 07:31 | 短消息 资料
字号: 15楼

我无法删除ksld.sys,请问先要结束哪个进程啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:16 | 只看楼主 短消息 资料
字号: 16楼

引用:
【坚强的烂泥的贴子】【回复“baohe”的帖子】
我按你说的下载了几个版本的都没有用啊。。SSM  安装了N遍他还是    “the ssm driver was not found please reinstall ssm ”  我都把2.0  到2.2的版本下过几次了。。。有没有其他软件手工杀的啊。。谢谢你了LZ。。。这个病毒把我都搞晕了。。杀了两天了。。。
………………

5楼已经回答你这个问题。
1、若是预先安装了SSM,后中这个木马,SSM可以轻易搞掂它。
2、如果是先中这个木马,后来才装SSM,SSM无法运行。这时,可以按照本帖的操作杀此马。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:21 | 只看楼主 短消息 资料
字号: 17楼

引用:
【嘢蠻丫头的贴子】
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗

………………

中了这个木马后,[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]下的Load键值表面为空,实际上不是空的。它与ksld.sys加载有关。
具体表现为:不删除此键值,无论你重启多少次,ksld.sys仍无法删除。删除此键值后,重启,ksld.sys即可删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:23 | 只看楼主 短消息 资料
字号: 18楼

引用:
【帮帮我a的贴子】我无法删除ksld.sys,请问先要结束哪个进程啊
………………

中了这个木马,你看不到它的进程(即便你用IceSword,也看不到木马进程)。
按照本帖的顺序操作,先删除那两个注册表项,再重启系统,即可删除之。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:06 | 短消息 资料
字号: 19楼

baohe版主,运行IceSword的情况如何??是否报"程序初始化失败[2]"???
引用PJF原话:
小小说明

    以前说过不少恶意程序破坏IceSword的执行环境,特别是出现初始化失败[2]时,一般是因为有木马阻止IceSword释放驱动.出现这个错误号几乎可以肯定有问题.(当然你自己设置一些象麦咖啡这样的软件阻止驱动的释放另当别论).如果你不久前能用,突然出现[2],自己实在找不出原因而机器又比较重要,建议ghost或重装,当然能找到熟悉这方面的朋友帮忙更好.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:08 | 短消息 资料
字号: 20楼

这个木马应该会阻止LoadDriver的API调用和:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]
的键值读写




-----------------
可否发送样本??>>>>kxzhmc500@sina.com
gototop
 
<<上一主题|下一主题>>
12345678»   2  /  20  页   跳转
页面顶部
Powered by Discuz!NT