瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 小女子跪求了!!RootKit.CallGate.s怎么杀掉?

1234   3  /  4  页   跳转

小女子跪求了!!RootKit.CallGate.s怎么杀掉?

收藏
subomaoming
头像
健康舞勺狮
  • 帖子:312
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-05-17 10:17 | 短消息 资料
字号: 21楼

运行sreng,删除注册表启动项
<Shell.exe><C:\WINDOWS\system32\Shell.exe> [N/A]
cmdbcs><C:\WINDOWS\WINLOGON.EXE> [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
<twin><C:\WINDOWS\system32\ctfnom.exe> [Microsoft Corporation
<fysa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\fyso.exe> [N/A]
<jtsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\jtso.exe> [N/A]
<Load><; ?粓T
?> [N/A]
mhsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\mhso.exe> [N/A]
<NeroFilterCheck><; C:\WINDOWS\system32\NeroCheck.exe> [Ahead Software Gmbh]
<qjsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\qjso.exe> [N/A]
<rxsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\rxso.exe> [N/A]
<testrun><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\testexe.exe> [N/A]
<tlsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\tlso.exe> [N/A]
<wdsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\wdso.exe> [N/A]
<wgsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\wgso.exe> [N/A]
<wlsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\wlso.exe> [N/A]
<wmsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\wmso.exe> [N/A]
<wosa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\woso.exe> [N/A]
<ztsa><; C:\DOCUME~1\窝窝头\LOCALS~1\Temp\ztso.exe> [N/A]


运行sreng->启动项目 -->服务-->win32服务,删除以下服务(如果删不掉,就设置类型为disabled!)
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\窝窝头\LOCALS~1\Temp\RAVWM.EXE><N/A>


删除以下文件
C:\WINDOWS\system32\Shell.exe
C:\WINDOWS\system32\ctfnom.exe[看准了,不是ctfmon.exe]
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\uninstall\rundl132.exe
清空: C:\DOCUME~1\窝窝头\LOCALS~1\Temp
gototop
 
subomaoming
头像
健康舞勺狮
  • 帖子:312
  • 注册: 2007-03-10
  • 来自:
发表于: 2007-05-17 10:20 | 短消息 资料
字号: 22楼

16楼的那几个不删也没事,正常的
gototop
 
网缘绝恋
头像
初生襁褓狮
  • 帖子:222
  • 注册: 2007-04-25
  • 来自:
发表于: 2007-05-17 10:21 | 短消息 资料
字号: 23楼

看来还有待加强。。。。。
把C:\WINDOWS\system32\ctfnom.exe[看准了,不是ctfmon.exe]
漏掉了 郁闷ing
gototop
 
寻找马仔
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-05-17
  • 来自:
发表于: 2007-05-17 10:23 | 短消息 资料
字号: 24楼

虽然不熟,也来凑凑热闹...
gototop
 
我叫窝窝头
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-05-17
  • 来自:
发表于: 2007-05-17 10:25 | 只看楼主 短消息 资料
字号: 25楼

sreng运行不了,是怎么回事

附件附件:

下载次数:100
文件类型:application/octet-stream
文件大小:
上传时间:2007-5-17 10:25:21
描述:
gototop
 
网缘绝恋
头像
初生襁褓狮
  • 帖子:222
  • 注册: 2007-04-25
  • 来自:
发表于: 2007-05-17 10:27 | 短消息 资料
字号: 26楼

简单点  重新下。。。。
gototop
 
我叫窝窝头
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-05-17
  • 来自:
发表于: 2007-05-17 10:37 | 只看楼主 短消息 资料
字号: 27楼

运行sreng->启动项目 -->服务-->win32服务,删除以下服务(如果删不掉,就设置类型为disabled!)
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\窝窝头\LOCALS~1\Temp\RAVWM.EXE><N/A>

删不掉,而且不能停用!!
gototop
 
网缘绝恋
头像
初生襁褓狮
  • 帖子:222
  • 注册: 2007-04-25
  • 来自:
发表于: 2007-05-17 10:40 | 短消息 资料
字号: 28楼

安全模式下试一下。。。。
gototop
 
我叫窝窝头
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-05-17
  • 来自:
发表于: 2007-05-17 10:53 | 只看楼主 短消息 资料
字号: 29楼

删除以下文件
C:\WINDOWS\system32\Shell.exe        这个文件没找到,有shell.dll,没敢删
C:\WINDOWS\system32\ctfnom.exe[看准了,不是ctfmon.exe]      删掉了了
C:\WINDOWS\WINLOGON.EXE                  这个文件没找到
C:\WINDOWS\uninstall\rundl132.exe            此文件夹中是空的
清空: C:\DOCUME~1\窝窝头\LOCALS~1\Temp      清空了
gototop
 
我叫窝窝头
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2007-05-17
  • 来自:
发表于: 2007-05-17 10:54 | 只看楼主 短消息 资料
字号: 30楼

运行sreng->启动项目 -->服务-->win32服务,删除以下服务(如果删不掉,就设置类型为disabled!)
[WinWMServiceNow / WinWMServiceNow][Stopped/Auto Start]
<C:\DOCUME~1\窝窝头\LOCALS~1\Temp\RAVWM.EXE><N/A>

这项OK了
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT