Rootkit.CallGate.a（wdm.exe）的手工查杀 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rootkit.CallGate.a（wdm.exe）的手工查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5 6 7 8 »

1 / 20 页

跳转页

Rootkit.CallGate.a（wdm.exe）的手工查杀

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-20 22:19 \| 只看楼主短消息资料字号：小中大 1楼 Rootkit.CallGate.a（wdm.exe）的手工查杀如果您的SREng日志中出现下列加载项： [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [] <run>< > [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation]，那么——您中了此马。手工查杀流程如下： 1、附件: 文件名:1558472006820221152.jpg 下载次数:523 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-20 22:19:49 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-08-25 11:21:22
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-20 22:20 \| 只看楼主短消息资料字号：小中大 2楼 2、附件: 文件名:1558472006820221233.jpg 下载次数:521 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-20 22:20:31 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-20 22:20 \| 只看楼主短消息资料字号：小中大 3楼 3、从“启动”组中删除“腾讯QQ”的快捷方式，暂时禁止其随系统启动自动运行。如果系统是XP或ME，请关闭“系统还原”。重启系统。显示隐藏文件。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-20 22:21 \| 只看楼主短消息资料字号：小中大 4楼 4、附件: 文件名:1558472006820221309.jpg 下载次数:534 文件类型:image/pjpeg 文件大小: 上传时间:2006-8-20 22:21:07 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-08-20 23:07 \| 短消息资料字号：小中大 5楼猫叔的东西都收。。收收
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-08-20 23:10 \| 只看楼主短消息资料字号：小中大 6楼补充：这个wdm.exe，前面的帖子曾经提到过（http://forum.ikaka.com/topic.asp?board=28&artid=8142848）。那个帖子的背景是：我的系统中已经安装了SSM，所以可用SSM轻易将其制服。后来，有网友先中招，后安装SSM，SSM不能运行（safemon.sys不能加载）。今天，我自己试了一下。先卸载SSM，然后将木马植入系统。再安装SSM。果然，SSM无法运行。因此，重新写了这个手工查杀帖子。其实，删除那两个注册表项是个关键。删除那两个注册表项后，重启系统。木马wdm.exe及其驱动ksld.sys就不能加载了。这时，SSM才能正常运行。看来，这个木马有点儿水平。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-08-20 23:19 \| 短消息资料字号：小中大 7楼其实现在很多人都不装SSM的，偶也是，可能是偶不会设置，哎，一直弹出日志，搞的手酸死，就干脆不运行
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:	发表于： 2006-08-20 23:22 \| 短消息资料字号：小中大 8楼晕死了，QQ的那2个也要删啊，今天教别人漏删了那QQ的那2个文件，怪不得不见好，哎，实在对不起那位朋友啊！~~这狡猾的马
deadmanzj 特邀体验者帖子:2592 注册: 2006-07-24 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

年度优秀版主奖

端午辟邪香囊

卡卡名人堂

就爱不长大

论坛9周年纪念

09欢乐圣诞

十周年

年度风云人物

2012我眼中的你们

茶馆劳模

瑞星金牌用户

十一周年勋章

发表于： 2006-08-20 23:23 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【deadmanzj的贴子】其实现在很多人都不装SSM的，偶也是，可能是偶不会设置，哎，一直弹出日志，搞的手酸死，就干脆不运行
………………

如果事先装了SSM，这个wdm.exe根本不能得逞。（每次启动系统，SSM都报警。）

gototop

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-08-20 23:25 \| 短消息资料字号：小中大 10楼 ttmplatfrom.exe这个东东，真的有吗？我到没有发现呢
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

<<上一主题|下一主题>>

12 3 4 5 6 7 8 »

1 / 20 页

跳转页

页面顶部

Powered by Discuz!NT