12345678»   4  /  12  页   跳转

Rootkit.CallGate.gen的查杀流程

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 21:10 | 只看楼主 短消息 资料
字号: 31楼

引用:
【lordal的贴子】可能这病毒跟QQ有联系吧..我把QQ开开看看那个病毒能不能再出现。...
………………

什么叫可能跟QQ有关系啊?
这个木马将QQ的TIMPlatform.exe改成了它自己的文件。QQ只要加载,木马就活了。
看来,你根本就没仔细看这个帖子。
gototop
 
精灵水水
头像
初生襁褓狮
  • 帖子:122
  • 注册: 2006-08-03
  • 来自:
发表于: 2006-09-12 21:14 | 短消息 资料
字号: 32楼

展开:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除:9(指向C:\windows\system32\Ravdm.exe)

她的这个Run是在Policies下的
在Explorer下没有Run

她说一步一步的来

可是文件不一样

还有差一个字母的
gototop
 
lordal
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-12 21:16 | 短消息 资料
字号: 33楼

引用:
【baohe的贴子】【回复“lordal”的帖子】
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Tray><C:\WINDOWS\command\rundll32.exe> []
<Device Detector><; > []
<MoveSearch><; C:\Program Files\wsearch\Search.exe> []
<res><; C:\WINDOWS\System32\res.exe> []
<PigUpdate><; ; C:\DOCUME~1\w\LOCALS~1\Temp\~ex3.exe> []
<spoolsv><; ; > []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> []
服务
[Windows Install Helper / BARCASE]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
品种够丰富的啊!!汗死!!
你要是能杀净才怪!!

如果有系统GHOST备份,请用该备份恢复系统。也就几分钟的事。比杀毒省事多了。
………………


晕....我没GHOST备份.这可怎么办啊。....啊啊啊 .....郁闷........猫叔叔救救我啊...
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 21:18 | 只看楼主 短消息 资料
字号: 34楼

引用:
【精灵水水的贴子】展开:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除:9(指向C:\windows\system32\Ravdm.exe)

她的这个Run是在Policies下的
在Explorer下没有Run

她说一步一步的来

可是文件不一样

还有差一个字母的

………………

最好让她把那个Ravdm.exe打包、加密发给我(baohelin@yahoo.com.cn)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 21:19 | 只看楼主 短消息 资料
字号: 35楼

【回复“lordal”的帖子】
系统还原呢?
如果没关闭系统还原,可以尝试一下。
gototop
 
lordal
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-12 21:19 | 短消息 资料
字号: 36楼

引用:
【baohe的贴子】
什么叫可能跟QQ有关系啊?
这个木马将QQ的TIMPlatform.exe改成了它自己的文件。QQ只要加载,木马就活了。
看来,你根本就没仔细看这个帖子。
………………


55555我从早上起床就在弄这个..一天没吃饭。..除了重启和睡了会.我一直在论坛上等着的。...... http://forum.ikaka.com/topic.asp?board=28&artid=8156736这个帖子我也看过了.... 我反复弄几次确实是只要加载QQ木马就又出现了..只是小弟浅薄,不敢确定啊。..
gototop
 
lordal
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-12 21:24 | 短消息 资料
字号: 37楼

晕...前面中了橙色八月.当时不仅杀毒软件和防火墙没用了.所有的EXE文件都无法运行.系统还原也打不开。导致杀了成色八月之后现在系统还原还没有还原点。...哭了。 ............
gototop
 
lordal
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-12 21:25 | 短消息 资料
字号: 38楼

救命...........我不想重装系统。...
gototop
 
精灵水水
头像
初生襁褓狮
  • 帖子:122
  • 注册: 2006-08-03
  • 来自:
发表于: 2006-09-12 21:26 | 短消息 资料
字号: 39楼

C:\WINDOWS\system32\drivers\下没有morld.sys
要删除C:\Program Files\Tencent\QQ\TIMlatform.exe
这个文件
可是她那里没有TIMlatform.exe只有TIMPlatform.exe

她说给你打包后 她的那个原文件就不见了 打包后的她也删除了
汗啊 我不知道她那是怎么回事啊
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 21:28 | 只看楼主 短消息 资料
字号: 40楼

引用:
【精灵水水的贴子】C:\WINDOWS\system32\drivers\下没有morld.sys
要删除C:\Program Files\Tencent\QQ\TIMlatform.exe
这个文件
可是她那里没有TIMlatform.exe只有TIMPlatform.exe

她说给你打包后 她的那个原文件就不见了 打包后的她也删除了
汗啊 我不知道她那是怎么回事啊
………………

就是要那个打包的啊。
包要加密。否则,邮箱的诺顿查出病毒,我无法下载附件。
gototop
 
<<上一主题|下一主题>>
12345678»   4  /  12  页   跳转
页面顶部
Powered by Discuz!NT