123   1  /  3  页   跳转

Rootkit.CallGate.b的另类杀法

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-03 17:40 | 只看楼主 短消息 资料
字号: 1楼

Rootkit.CallGate.b的另类杀法



染上这个毒后,杀软报告Rootkit.CallGate.b,报告的病毒文件是C:\WINDOWS\system32\drivers\Rinld.sys。重启系统后,杀软还是杀不掉。关键在于这个Rinld.sys比较厉害。而且,Rinld.sys与Ravdm.exe、TIMPlatform.exe三位一体,互相勾连。
这个木马的手工查杀,已经发过几个帖子。但那都是借助其它工具的杀毒方法。有些网友掌握不好操作顺序(尤其是不关闭QQ就杀毒),往往是杀不掉,或发生一些其它诡异现象。
现在这个手工杀毒方法从另一个角度着手。就叫做“改名—重启—删除”法吧。

操作流程:

1、将木马文件改名。
将下列文件的后缀改为.txt:
(1)将C:\Program Files\Tencent\QQ\TIMPlateform.exe改为:C:\Program Files\Tencent\QQ\TIMPlateform.txt
(2)将C:\WINDOWS\system32\drivers\Rinld.sys改为:C:\WINDOWS\system32\drivers\Rinld.txt
(3)将C:\WINDOWS\system32\Ravdm.exe改为:C:\WINDOWS\system32\Ravdm.txt
2、重启系统。
3、删除:
C:\Program Files\Tencent\QQ\TIMPlateform.txt
C:\WINDOWS\system32\drivers\Rinld.txt
C:\WINDOWS\system32\Ravdm.txt

至此,木马已经被杀死。
剩下的就是注册表中的垃圾。用SREng等工具清理一下即可。

附件附件:

下载次数:279
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-3 17:40:27
描述:
预览信息:EXIF信息



最后编辑2006-09-20 20:20:04
分享到:
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-09-03 17:44 | 短消息 资料
字号: 2楼

呵呵,只要可以重命名成功的木马、后门,大多能用这种方法。不过的确另类了一点。
上次对付同学电脑里一个“刘麻子”,有注册表监控的,安全模式下它都加载,每添加一个进程它就插入一个,IceSword又用不了,难不成装SSM再设置,或是进DOS?于是试着把它改名,居然成功,重启后一举干掉了。
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-09-03 17:48 | 短消息 资料
字号: 3楼



汗一个..下次也改用这方法玩玩..
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-03 17:57 | 只看楼主 短消息 资料
字号: 4楼

引用:
【mopery的贴子】

汗一个..下次也改用这方法玩玩..
………………

不监控文件名——这是此马的一个软类。
“柿子拣软的捏”吗!
gototop
 
月亮飞沙
头像
初生襁褓狮
  • 帖子:54
  • 注册: 2006-09-04
  • 来自:
发表于: 2006-09-04 11:20 | 短消息 资料
字号: 5楼

版主.怎么改后缀? 那个EXE的后缀显示不出来
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-04 11:35 | 只看楼主 短消息 资料
字号: 6楼

引用:
【月亮飞沙的贴子】版主.怎么改后缀? 那个EXE的后缀显示不出来
………………

附件附件:

下载次数:304
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-4 11:35:19
描述:
预览信息:EXIF信息
gototop
 
月亮飞沙
头像
初生襁褓狮
  • 帖子:54
  • 注册: 2006-09-04
  • 来自:
发表于: 2006-09-04 11:38 | 短消息 资料
字号: 7楼

(3)将C:\WINDOWS\system32\Ravdm.exe改为:C:\WINDOWS\system32\Ravdm.txt

报告版主:这个文件我找不到
gototop
 
月亮飞沙
头像
初生襁褓狮
  • 帖子:54
  • 注册: 2006-09-04
  • 来自:
发表于: 2006-09-04 11:38 | 短消息 资料
字号: 8楼

用搜索功能也搜索过了.找不到
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-04 11:40 | 只看楼主 短消息 资料
字号: 9楼

引用:
【月亮飞沙的贴子】(3)将C:\WINDOWS\system32\Ravdm.exe改为:C:\WINDOWS\system32\Ravdm.txt

报告版主:这个文件我找不到
………………

仔细看4楼的图。
那样设置好以后,才能看到你要找的。
gototop
 
求助高手帮助
头像
初生襁褓狮
  • 帖子:43
  • 注册: 2006-09-04
  • 来自:
发表于: 2006-09-04 11:42 | 短消息 资料
字号: 10楼

Rootkit.CnsProt是不是也是这个病毒呢`?
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT