瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

«23456789»   6  /  20  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
嘢蠻丫头
头像
拙长孩提狮
  • 帖子:64
  • 注册: 2005-02-01
  • 来自:
发表于: 2006-08-21 13:23 | 短消息 资料
字号: 51楼

引用:
【baohe的贴子】
引用:
【嘢蠻丫头的贴子】
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗

………………

中了这个木马后,[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]下的Load键值表面为空,实际上不是空的。它与ksld.sys加载有关。
具体表现为:不删除此键值,无论你重启多少次,ksld.sys仍无法删除。删除此键值后,重启,ksld.sys即可删除。

………………

请问猫版主,用ICESWORD查看注册表该项值也是空的吗?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:24 | 只看楼主 短消息 资料
字号: 52楼

引用:
【嘢蠻丫头的贴子】
请问猫版主,用ICESWORD查看注册表该项值也是空的吗?

………………

空的。
如果中了这个木马后,才打开IceSword,IceSword也傻!
这个木马告诉中招者——什么叫“系统控制权”、什么叫“先下手为强”。
gototop
 
旧伤口
头像
快乐黄口狮
  • 帖子:137
  • 注册: 2003-02-19
  • 来自:
发表于: 2006-08-21 13:28 | 短消息 资料
字号: 53楼

你们是不是用迅雷就中这毒啊?反正我就是.
前段时间在迅雷官网下了个迅雷5,软件本身是没毒,但一连网就中这个毒,怀疑是迅雷滴广告有毒.
gototop
 
嘢蠻丫头
头像
拙长孩提狮
  • 帖子:64
  • 注册: 2005-02-01
  • 来自:
发表于: 2006-08-21 13:29 | 短消息 资料
字号: 54楼

引用:
【baohe的贴子】
空的。
如果中了这个木马后,才打开IceSword,IceSword也傻!

………………

汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:32 | 只看楼主 短消息 资料
字号: 55楼

引用:
【嘢蠻丫头的贴子】
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
………………

行为?自动访问网络。
活跃与否,没仔细观察。
不管是否活跃,凡木马——杀无赦!
K开头的驱动?正常情况下,drivres文件夹中“K开头的驱动”不止一个。
gototop
 
嘢蠻丫头
头像
拙长孩提狮
  • 帖子:64
  • 注册: 2005-02-01
  • 来自:
发表于: 2006-08-21 13:37 | 短消息 资料
字号: 56楼

引用:
【baohe的贴子】
引用:
【嘢蠻丫头的贴子】
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
………………

行为?自动访问网络。
活跃与否,没仔细观察。
不管是否活跃,凡木马——杀无赦!
K开头的驱动?正常情况下,drivres文件夹中“K开头的驱动”不止一个。
………………

多谢猫叔赐教...当时看端口连接网络访问等情况,觉得有点象死马,就漏过了..呵.
猫叔,似乎SRE扫描出来的那项注册LOAD的值都带个[],至少我这边是这样的.
gototop
 
se7en25
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 13:37 | 短消息 资料
字号: 57楼

按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:38 | 只看楼主 短消息 资料
字号: 58楼

引用:
【嘢蠻丫头的贴子】
似乎SRE扫描出来的那项注册LOAD的值都带个[],至少我这边是这样的.
………………

是的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:44 | 只看楼主 短消息 资料
字号: 59楼

引用:
【se7en25的贴子】按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
   
………………

你没动手删除那些木马文件,它们自己不会跑到回收站里去。
我那张回收站的截图是要告诉中招者:
1、按照本帖说的操作顺序处理,这些木马文件完全可以删除。
2、应该在哪些路径下找这些木马文件(如果不知文件的具体位置——你怎么删?)
gototop
 
se7en25
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 13:51 | 短消息 资料
字号: 60楼

一时糊涂了
都删了~但是任务管理器还是一打开就马上消失的~~??
gototop
 
<<上一主题|下一主题>>
«23456789»   6  /  20  页   跳转
页面顶部
Powered by Discuz!NT