瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

123456   4  /  6  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 16:08 | 显示全部 短消息 资料
字号: 31楼

引用:
【艾玛的贴子】
引用:
【baohe的贴子】
引用:
【艾玛的贴子】本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]

wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
………………


………………



没有?汗,SSM不会挡了吧。。
………………

不是。
应该是“断网”与“连网”的区别。
我玩儿病毒,都是断网。杀净后,才连接网络。因此,我不可能看到后面的“戏”。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 16:39 | 显示全部 短消息 资料
字号: 32楼

引用:
【kiddietime的贴子】楼住大哥啊,图片2是什么软件打开的?
从哪下啊?

………………

那是TuneUp的注册表编辑器。
不一定非得用它。
用WINDOWS自带的注册表编辑器也行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 17:38 | 显示全部 短消息 资料
字号: 33楼

引用:
【kiddietime的贴子】老大第3步具体怎么操作
3、显示隐藏文件。
………………

附件附件:

下载次数:233
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 17:38:18
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 18:12 | 显示全部 短消息 资料
字号: 34楼

引用:
【kiddietime的贴子】猫叔~~
可我执行完第3步骤后
第4步,回收站里没有那些文件啊?
………………

您得自己一个一个找,一个一个删啊!
您相信木马会自尽?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 20:32 | 显示全部 短消息 资料
字号: 35楼

【回复“甛甛圏οo”的帖子】
load和run ——都删除!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 20:33 | 显示全部 短消息 资料
字号: 36楼

引用:
【feifeier411的贴子】谢谢,我打开了,可是找不到加菲猫斑竹在图二里说的那个东东.好像WINDOWS这个和他用的有点不一样吧,在哪里找啊?能不能发个图图上来我看看..我不会发也~~
………………

细心一点。OK?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 20:51 | 显示全部 短消息 资料
字号: 37楼

引用:
【甛甛圏οo的贴子】

  注册表删了以后,要重新启动电脑来清理那两个病毒吗?我现在显示了系统和所有文件以后,在C盘SYSTEM32下找不到那两个文件
………………

我一直没弄明白——你怎么知道你中了这个木马?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 20:54 | 显示全部 短消息 资料
字号: 38楼

引用:
【甛甛圏οo的贴子】...楼主,我碰到个问题,LOAD无法删除..
………………

附件附件:

下载次数:183
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 20:54:17
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 21:02 | 显示全部 短消息 资料
字号: 39楼

引用:
【feifeier411的贴子】眼都找花了,我很仔细的找了.还是没找到.一打开注册表,我的电脑下面有四个文件夹,分别是HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE,HKEY_USERS,HKEY_CURRENT_CONFIG.能不能具体说下在哪个里面?因为这每个里面的东东都好多,不好找哇....谢谢~~
………………

看我给的那两个图。已经显示得很清楚了。不要着急。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 21:06 | 显示全部 短消息 资料
字号: 40楼

引用:
【甛甛圏οo的贴子】


  我前天安装珊瑚虫QQ 的时候,一个不小心没有把珊瑚虫工具栏勾掉,安装了YOK这个东西,百度上搜索一下,说这个是流氓软件,很可恶的,我在注册表里删了YOK,昨天在注册表又搜索YOK的时候,在昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys    wdm.exe    _hook.dll  YOK....

  这两个ksld.sys    wdm.exe在百度里搜了下,都列为病毒,马上来卡卡这里找了,也看到你以前发的帖子,还参考别的帖子,查了一下,无论是C盘还是注册表的其他地方,都没有ksld.sys和wdm.exe,只在我搜出来的那里有,发帖子问,也没有人告诉我.

 
    今天重新发了我的日志,有人告诉我说没有问题.但是我发现我日志启动项第一项和你这个帖子里发的那个是一样的.所以来问问你
………………

HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys wdm.exe _hook.dll YOK....
看看这些注册表项分别指向那些程序(记下文件名及其路径)。
然后——删除他们。
接下来——重启系统。
显示隐藏文件。
根据刚才删注册表项前看到的文件名及其路径,找到并删除那些文件。
gototop
 
<<上一主题|下一主题>>
123456   4  /  6  页   跳转
页面顶部
Powered by Discuz!NT