瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

«678910111213»   10  /  20  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 20:54 | 只看楼主 短消息 资料
字号: 91楼

引用:
【甛甛圏οo的贴子】...楼主,我碰到个问题,LOAD无法删除..
………………

附件附件:

下载次数:181
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 20:54:17
描述:
预览信息:EXIF信息
gototop
 
feifeier411
头像
初生襁褓狮
  • 帖子:104
  • 注册: 2006-08-11
  • 来自:
发表于: 2006-08-21 20:58 | 短消息 资料
字号: 92楼

眼都找花了,我很仔细的找了.还是没找到.一打开注册表,我的电脑下面有四个文件夹,分别是HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE,HKEY_USERS,HKEY_CURRENT_CONFIG.能不能具体说下在哪个里面?因为这每个里面的东东都好多,不好找哇....谢谢~~
gototop
 
甛甛圏οo
头像
健康舞勺狮
  • 帖子:318
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 21:00 | 短消息 资料
字号: 93楼

引用:
【baohe的贴子】
我一直没弄明白——你怎么知道你中了这个木马?
………………



  我前天安装珊瑚虫QQ 的时候,一个不小心没有把珊瑚虫工具栏勾掉,安装了YOK这个东西,百度上搜索一下,说这个是流氓软件,很可恶的,我在注册表里删了YOK,昨天在注册表又搜索YOK的时候,在昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys    wdm.exe    _hook.dll  YOK....

  这两个ksld.sys    wdm.exe在百度里搜了下,都列为病毒,马上来卡卡这里找了,也看到你以前发的帖子,还参考别的帖子,查了一下,无论是C盘还是注册表的其他地方,都没有ksld.sys和wdm.exe,只在我搜出来的那里有,发帖子问,也没有人告诉我.

 
    今天重新发了我的日志,有人告诉我说没有问题.但是我发现我日志启动项第一项和你这个帖子里发的那个是一样的.所以来问问你
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 21:02 | 只看楼主 短消息 资料
字号: 94楼

引用:
【feifeier411的贴子】眼都找花了,我很仔细的找了.还是没找到.一打开注册表,我的电脑下面有四个文件夹,分别是HKEY_CLASSES_ROOT,HKEY_CURRENT_USER,HKEY_LOCAL_MACHINE,HKEY_USERS,HKEY_CURRENT_CONFIG.能不能具体说下在哪个里面?因为这每个里面的东东都好多,不好找哇....谢谢~~
………………

看我给的那两个图。已经显示得很清楚了。不要着急。
gototop
 
甛甛圏οo
头像
健康舞勺狮
  • 帖子:318
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 21:03 | 短消息 资料
字号: 95楼

注册表最近才学会看的,想要多学点,老是重装电脑太辛苦了..
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 21:06 | 只看楼主 短消息 资料
字号: 96楼

引用:
【甛甛圏οo的贴子】


  我前天安装珊瑚虫QQ 的时候,一个不小心没有把珊瑚虫工具栏勾掉,安装了YOK这个东西,百度上搜索一下,说这个是流氓软件,很可恶的,我在注册表里删了YOK,昨天在注册表又搜索YOK的时候,在昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys    wdm.exe    _hook.dll  YOK....

  这两个ksld.sys    wdm.exe在百度里搜了下,都列为病毒,马上来卡卡这里找了,也看到你以前发的帖子,还参考别的帖子,查了一下,无论是C盘还是注册表的其他地方,都没有ksld.sys和wdm.exe,只在我搜出来的那里有,发帖子问,也没有人告诉我.

 
    今天重新发了我的日志,有人告诉我说没有问题.但是我发现我日志启动项第一项和你这个帖子里发的那个是一样的.所以来问问你
………………

HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有ksld.sys wdm.exe _hook.dll YOK....
看看这些注册表项分别指向那些程序(记下文件名及其路径)。
然后——删除他们。
接下来——重启系统。
显示隐藏文件。
根据刚才删注册表项前看到的文件名及其路径,找到并删除那些文件。
gototop
 
甛甛圏οo
头像
健康舞勺狮
  • 帖子:318
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 21:11 | 短消息 资料
字号: 97楼

引用:
【baohe的贴子】

看看这些注册表项分别指向那些程序(记下文件名及其路径)。
然后——删除他们。
接下来——重启系统。
显示隐藏文件。
根据刚才删注册表项前看到的文件名及其路径,找到并删除那些文件。
………………


  问个菜鸟问题,注册表指向怎么看?我是用XP自带的注册表编辑器的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 21:14 | 只看楼主 短消息 资料
字号: 98楼

引用:
【甛甛圏οo的贴子】

  问个菜鸟问题,注册表指向怎么看?我是用XP自带的注册表编辑器的
………………

附件附件:

下载次数:199
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-21 21:14:01
描述:
预览信息:EXIF信息
gototop
 
甛甛圏οo
头像
健康舞勺狮
  • 帖子:318
  • 注册: 2006-08-20
  • 来自:
发表于: 2006-08-21 21:18 | 短消息 资料
字号: 99楼

我的是这样的,没有路径的.数据那栏是mde,exe这些,名称是00X

附件附件:

下载次数:189
文件类型:application/octet-stream
文件大小:
上传时间:2006-8-21 21:18:06
描述:
gototop
 
feifeier411
头像
初生襁褓狮
  • 帖子:104
  • 注册: 2006-08-11
  • 来自:
发表于: 2006-08-21 21:19 | 短消息 资料
字号: 100楼

哈哈..找到了..接下来第四步当中的四个东东在什么地方?隐藏文件在哪里啊?是不是在C盘?说具体点啊~~~谢谢加菲猫~~
gototop
 
<<上一主题|下一主题>>
«678910111213»   10  /  20  页   跳转
页面顶部
Powered by Discuz!NT