瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

123456   3  /  6  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 10:51 | 显示全部 短消息 资料
字号: 21楼

引用:
【蓝鸢rita的贴子】开了,没人回啊~~~~~
急死了啊~~~~
T。T
………………

已经回复你的帖子。去看。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 11:00 | 显示全部 短消息 资料
字号: 22楼

【回复“wuao1”的帖子】
DarkSpy——没用过。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:09 | 显示全部 短消息 资料
字号: 23楼

引用:
【se7en25的贴子】
猫叔叔,这个是什么软件来的~~还是什么?
谢谢
我也中这个招了现在就是这里不会删除
谢谢
………………

那是TuneUp的注册表编辑器。
你用WINDOWS自带的注册表编辑器也行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:24 | 显示全部 短消息 资料
字号: 24楼

引用:
【嘢蠻丫头的贴子】
请问猫版主,用ICESWORD查看注册表该项值也是空的吗?

………………

空的。
如果中了这个木马后,才打开IceSword,IceSword也傻!
这个木马告诉中招者——什么叫“系统控制权”、什么叫“先下手为强”。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:32 | 显示全部 短消息 资料
字号: 25楼

引用:
【嘢蠻丫头的贴子】
汗,,以前帮朋友看报告时候,印象中见过注册表这两个键值,当时纳闷,觉得怎么比正常的多了两个[],也见过那个K开头的驱动,不过不是在报告里看到的,是在冰刃的内核模块里..
再请教下版主,此木马在系统里活跃吗?都有什么行为
………………

行为?自动访问网络。
活跃与否,没仔细观察。
不管是否活跃,凡木马——杀无赦!
K开头的驱动?正常情况下,drivres文件夹中“K开头的驱动”不止一个。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:38 | 显示全部 短消息 资料
字号: 26楼

引用:
【嘢蠻丫头的贴子】
似乎SRE扫描出来的那项注册LOAD的值都带个[],至少我这边是这样的.
………………

是的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 13:44 | 显示全部 短消息 资料
字号: 27楼

引用:
【se7en25的贴子】按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
   
………………

你没动手删除那些木马文件,它们自己不会跑到回收站里去。
我那张回收站的截图是要告诉中招者:
1、按照本帖说的操作顺序处理,这些木马文件完全可以删除。
2、应该在哪些路径下找这些木马文件(如果不知文件的具体位置——你怎么删?)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 14:01 | 显示全部 短消息 资料
字号: 28楼

引用:
【se7en25的贴子】按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
   
………………

你说的现象与删除此马的这几个加载项无关。
尤其是那个load键。删除了,重启系统后,系统一样正常运行;一样上网。看图——我现在的情况

附件附件:

下载次数:250
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 14:01:03
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 14:59 | 显示全部 短消息 资料
字号: 29楼

引用:
【艾玛的贴子】本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]

wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
………………

附件附件:

下载次数:265
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 14:59:31
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 15:20 | 显示全部 短消息 资料
字号: 30楼

引用:
【宝贝如逸的贴子】我按照版主给的路径下载了SREng工具,找到了,但不能选中发上来怎么半呀?真是汗颜呀!!!!
………………

发上来干吗?
自己核对一下。
没问题,就删。
有问题,再问。
gototop
 
<<上一主题|下一主题>>
123456   3  /  6  页   跳转
页面顶部
Powered by Discuz!NT