瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

12345678»   3  /  20  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:11 | 只看楼主 短消息 资料
字号: 21楼

引用:
【闪电风暴的贴子】baohe版主,运行IceSword的情况如何??是否报"程序初始化失败[2]"???
引用PJF原话:
小小说明

    以前说过不少恶意程序破坏IceSword的执行环境,特别是出现初始化失败[2]时,一般是因为有木马阻止IceSword释放驱动.出现这个错误号几乎可以肯定有问题.(当然你自己设置一些象麦咖啡这样的软件阻止驱动的释放另当别论).如果你不久前能用,突然出现[2],自己实在找不出原因而机器又比较重要,建议ghost或重装,当然能找到熟悉这方面的朋友帮忙更好.
………………

中了这只木马,最新版的IceSword依然可以加载(虽然加载过程中有报错)。但是IceSword已经失去往日的威风——进程列表中看不到木马进程。SSDT列表中只能看到ntoskrnl.exe,其它安全软件的那些显示为红色的内容全部消失了!
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:18 | 短消息 资料
字号: 22楼

Ispub118.sys没有正确加载........

请问IS的注册表功能是否还能使用??


以前听说过比较阴险的一招,进入纯DOS,将它的wdm.exe和那个SYS文件删除,再进入安全模式做掉它.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:21 | 只看楼主 短消息 资料
字号: 23楼

引用:
【闪电风暴的贴子】Ispub118.sys没有正确加载........

请问IS的注册表功能是否还能使用??
………………

应该可以用吧。
当时,我是用TuneUp的注册表编辑工具删除木马加载项的(这样可以在我截取的图片中显示注册表分支路径)。
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:22 | 短消息 资料
字号: 24楼

可见这个木马还是没有保护那两个键值的读写,如果禁止了,怕是只能在纯DOS下进行注册表修改了.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:24 | 短消息 资料
字号: 25楼

http://www.yuxian.net/bbs/bbsxp/ShowPost.asp?ThreadID=8028

已经有人抄袭了
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:24 | 只看楼主 短消息 资料
字号: 26楼

引用:
【闪电风暴的贴子】Ispub118.sys没有正确加载........

请问IS的注册表功能是否还能使用??


以前听说过比较阴险的一招,进入纯DOS,将它的wdm.exe和那个SYS文件删除,再进入安全模式做掉它.
………………

我的系统分区是NTFS格式,又没有特殊的DOS,故无法在DOS下搞。DOS下搞出来的查杀方法——大多数人不能用(他们可能根本就不知道DOS是什么)。
gototop
 
蓝鸢rita
头像
初生襁褓狮
  • 帖子:43
  • 注册: 2006-07-21
  • 来自:
发表于: 2006-08-21 09:26 | 短消息 资料
字号: 27楼

猫叔,那个~~~那个~~~,你前面写的步骤的第一个框框怎么打开的~~
我找不到~~~
T.T
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:26 | 只看楼主 短消息 资料
字号: 28楼

引用:
【闪电风暴的贴子】可见这个木马还是没有保护那两个键值的读写,如果禁止了,怕是只能在纯DOS下进行注册表修改了.
………………

木马的作者可能有自己的考虑:
1、这个木马比较隐蔽。
2、现在的安全软件,大多有注册表监控。如果木马不停的写注册表——反而容易暴露!
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:31 | 短消息 资料
字号: 29楼

【回复“baohe”的帖子】我的分区也是NTFS的,具体情况:
CEF为NTFS,D为FAT32,我将MaxDOS5.5s装上,在开机时就可以看见MAXDOS的操作系统选择,进入后输入ntfsdos,就可以加载NTFS读写文件.
自动将C盘定位为H盘(在我的光驱之后.)输入命令:
dir H:\
成功显示C盘内容.
输入ghost
可以使用GHOST8.2.
功能不错..


下载:http://littlecat.ys168.com
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-21 09:32 | 短消息 资料
字号: 30楼

引用:
【baohe的贴子】
我的系统分区是NTFS格式,又没有特殊的DOS,故无法在DOS下搞。DOS下搞出来的查杀方法——大多数人不能用(他们可能根本就不知道DOS是什么)。
………………

像一般的用户,在DOS下操作会产生恐惧感
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  20  页   跳转
页面顶部
Powered by Discuz!NT