Rootkit.CallGate.gen的查杀流程

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rootkit.CallGate.gen的查杀流程

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«5 6 789 10 11 12

8 / 12 页

跳转页

刁钻古怪初生襁褓狮帖子:1 注册: 2006-09-13 来自:	发表于： 2006-09-13 08:51 \| 短消息资料字号：小中大 71楼还好啊我的删了不过我没用QQ 只是用的TM
刁钻古怪初生襁褓狮帖子:1 注册: 2006-09-13 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-09-13 09:00 \| 短消息资料字号：小中大 72楼【回复“lordal”的帖子】我的电脑-右键-属性-系统还原-在所有磁盘上关闭系统还原勾上...重启..把勾取消..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

晓月残心初生襁褓狮帖子:78 注册: 2006-09-12 来自:	发表于： 2006-09-13 09:04 \| 短消息资料字号：小中大 73楼我的展开：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 删除：9（指向C:\windows\system32\Ravdm.exe）这步我的这个Run是在Policies下的在Explorer下没有Run 在C:\Program Files\Tencent\QQ\TIMlatform.exe下的是TIMPlatform.exe文件没有TIMlatform.exe 在C:\WINDOWS\system32\drivers\下没有morld.sys
晓月残心初生襁褓狮帖子:78 注册: 2006-09-12 来自:

luowuy123 初生襁褓狮帖子:2 注册: 2006-09-13 来自:	发表于： 2006-09-13 10:27 \| 短消息资料字号：小中大 74楼老虾本人菜鸟能交各简单方法吗／最好能全是图片一步步交，我搞拉一晚都没杀掉，急情况是开机就有好顽故的，求救呀
luowuy123 初生襁褓狮帖子:2 注册: 2006-09-13 来自:

炫舞の車訷初生襁褓狮帖子:7 注册: 2006-09-13 来自:	发表于： 2006-09-13 11:58 \| 短消息资料字号：小中大 75楼新手上路多多照顾
炫舞の車訷初生襁褓狮帖子:7 注册: 2006-09-13 来自:

初生襁褓狮

帖子:40
注册: 2006-09-12
来自:

发表于： 2006-09-13 12:45 | 短消息资料

字号：小中大 76楼

引用:

【baohe的贴子】【回复“lordal”的帖子】
65楼图中的两个程序是系统的，不是木马/病毒。
别动它们。
………………

难怪我结束进程就重启了... 谢谢猫叔叔..

初生襁褓狮

帖子:40
注册: 2006-09-12
来自:

发表于： 2006-09-13 12:47 | 短消息资料

字号：小中大 77楼

引用:

【mopery的贴子】【回复“lordal”的帖子】

我的电脑-右键-属性-系统还原-在所有磁盘上关闭系统还原
勾上...重启..把勾取消..

………………

弄好了..谢谢斑竹。 ...

初生襁褓狮

帖子:61
注册: 2006-09-12
来自:

发表于： 2006-09-13 19:03 | 短消息资料

字号：小中大 78楼

引用:

【晓月残心的贴子】我的展开：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除：9（指向C:\windows\system32\Ravdm.exe）这步
我的这个Run是在Policies下的
在Explorer下没有Run

在C:\Program Files\Tencent\QQ\TIMlatform.exe下的是TIMPlatform.exe文件没有TIMlatform.exe

在C:\WINDOWS\system32\drivers\下没有morld.sys

………………

跟我的情况一样，不过，我搞定了，
→HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 关于在Explorer下没有Run，你就在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows项目中找，看到有个run, 位置变得这里来老，（我电脑就是这样）

zlyinggg 初生襁褓狮帖子:61 注册: 2006-09-12 来自:	发表于： 2006-09-13 19:37 \| 短消息资料字号：小中大 79楼回复【晓月残心的贴子】，我把杀毒的过程列给你： 1：在电脑上彻底卸载QQ，用超级兔子把系统完整清理一下，重启机 2：启动后，什么都不动，（不要杀毒）直接点瑞星防火墙，里面有个“启动选项”点出来，可以看到，有一个启动项有问题，那就是run，位置是“9”,他的“描述”和“公司名称”都是乱码，不能认出来，点停止这个选项。 3：打开注册表编辑器。展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除右栏中的load和run 4:显示隐藏文件,找到并删除下列文件： C:\WINDOWS\system32\Ravdm.exe 如果找得到C:\WINDOWS\system32\drivers\morld.sys，也一并删除 5：再用超级兔子完整的清理系统，清理注册表，删除无用的垃圾文件等等。 6：重新启动，就规矩拉。可以按照上面的方法再查一次毒。再试一次。我是菜鸟，这是我的总结。
zlyinggg 初生襁褓狮帖子:61 注册: 2006-09-12 来自:

manba 初生襁褓狮帖子:54 注册: 2006-09-13 来自:	发表于： 2006-09-13 20:42 \| 短消息资料字号：小中大 80楼【回复“无限001”的帖子】 "展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除右栏中的load" ——右栏中无"load"这个单词啊？是指右栏中的“ab(默认”吗？
manba 初生襁褓狮帖子:54 注册: 2006-09-13 来自:

<<上一主题|下一主题>>

«5 6 789 10 11 12

8 / 12 页

跳转页