瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 QQ被盗了,RootKit.Win32.Callgate.f怎么杀啊?【求助】

1   1  /  1  页   跳转

QQ被盗了,RootKit.Win32.Callgate.f怎么杀啊?【求助】

收藏
Z棒棒糖Z
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2007-08-24
  • 来自:
发表于: 2007-08-24 13:15 | 只看楼主 短消息 资料
字号: 1楼

QQ被盗了,RootKit.Win32.Callgate.f怎么杀啊?【求助】

郁闷死了,QQ被盗了,RootKit.Win32.Callgate.f怎么杀啊?瑞星查出来杀不掉,总是显示重启后杀,下面是目录C:\WINDOWS\system32\drivers\usbinte.sys,请各位帮帮忙!!


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler ; .NET CLR 2.0.50727)



附件我已经发上来了,请大家看看啊!!!!!跪求!!!!!!

附件附件:

下载次数:84
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-24 13:15:20
描述:

最后编辑2007-08-24 14:51:18.560000000
分享到:
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-08-24 14:51 | 短消息 资料
字号: 2楼

首先重命名以下文件
C:\WINDOWS\system32\wlfpri.dll
C:\WINDOWS\system32\wddpri.dll
C:\WINDOWS\system32\file10.dll
C:\WINDOWS\system32\jzhpri.dll
然后重启计算机 进入
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng (就是你扫日志的软件)
启动项目  注册表 删除如下项目
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ravsons.exe>  []
  <AVPSrv><C:\WINDOWS\AVPSrv.exe>  []
    <MsIMMs32><C:\WINDOWS\MsIMMs32.exe>  []
    <ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe>  []
    <avpmy><C:\Program Files\NetMeeting\avpmy.exe>  []
<MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]
    <visin><C:\WINDOWS\system32\visin.exe>  [Microsoft Corporation]
    <{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt>  [N/A]
    <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  [N/A]
    <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll>  [N/A]
    <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>  [N/A]
    <{C51C4AFB-8A3A-6C7E-BA41-C20F02940707}><C:\WINDOWS\system32\file10.dll>  []
    <{859AFD5B-159F-ACD8-954C-ACD545FA6588}><C:\WINDOWS\system32\jzhpri.dll>  []


双击AppInit_DLLs把器键值改为空



双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击  菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件C:\WINDOWS\system32\jzhpri.dll
C:\WINDOWS\system32\file10.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\Program Files\NetMeeting\ravzxmon.exe
C:\Program Files\NetMeeting\avpmy.exe
C:\WINDOWS\system32\visin.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmt
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\WINDOWS\system32\wlfpri.dll
C:\WINDOWS\system32\wddpri.dll
C:\WINDOWS\system32\file10.dll
C:\WINDOWS\system32\jzhpri.dll
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe 重要!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT