瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

123456   2  /  6  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:23 | 显示全部 短消息 资料
字号: 11楼

引用:
【帮帮我a的贴子】我无法删除ksld.sys,请问先要结束哪个进程啊
………………

中了这个木马,你看不到它的进程(即便你用IceSword,也看不到木马进程)。
按照本帖的顺序操作,先删除那两个注册表项,再重启系统,即可删除之。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:11 | 显示全部 短消息 资料
字号: 12楼

引用:
【闪电风暴的贴子】baohe版主,运行IceSword的情况如何??是否报"程序初始化失败[2]"???
引用PJF原话:
小小说明

    以前说过不少恶意程序破坏IceSword的执行环境,特别是出现初始化失败[2]时,一般是因为有木马阻止IceSword释放驱动.出现这个错误号几乎可以肯定有问题.(当然你自己设置一些象麦咖啡这样的软件阻止驱动的释放另当别论).如果你不久前能用,突然出现[2],自己实在找不出原因而机器又比较重要,建议ghost或重装,当然能找到熟悉这方面的朋友帮忙更好.
………………

中了这只木马,最新版的IceSword依然可以加载(虽然加载过程中有报错)。但是IceSword已经失去往日的威风——进程列表中看不到木马进程。SSDT列表中只能看到ntoskrnl.exe,其它安全软件的那些显示为红色的内容全部消失了!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:21 | 显示全部 短消息 资料
字号: 13楼

引用:
【闪电风暴的贴子】Ispub118.sys没有正确加载........

请问IS的注册表功能是否还能使用??
………………

应该可以用吧。
当时,我是用TuneUp的注册表编辑工具删除木马加载项的(这样可以在我截取的图片中显示注册表分支路径)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:24 | 显示全部 短消息 资料
字号: 14楼

引用:
【闪电风暴的贴子】Ispub118.sys没有正确加载........

请问IS的注册表功能是否还能使用??


以前听说过比较阴险的一招,进入纯DOS,将它的wdm.exe和那个SYS文件删除,再进入安全模式做掉它.
………………

我的系统分区是NTFS格式,又没有特殊的DOS,故无法在DOS下搞。DOS下搞出来的查杀方法——大多数人不能用(他们可能根本就不知道DOS是什么)。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:26 | 显示全部 短消息 资料
字号: 15楼

引用:
【闪电风暴的贴子】可见这个木马还是没有保护那两个键值的读写,如果禁止了,怕是只能在纯DOS下进行注册表修改了.
………………

木马的作者可能有自己的考虑:
1、这个木马比较隐蔽。
2、现在的安全软件,大多有注册表监控。如果木马不停的写注册表——反而容易暴露!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:34 | 显示全部 短消息 资料
字号: 16楼

引用:
【蓝鸢rita的贴子】猫叔,那个~~~那个~~~,你前面写的步骤的第一个框框怎么打开的~~
我找不到~~~
T.T
………………

用SREng
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:39 | 显示全部 短消息 资料
字号: 17楼

引用:
【闪电风暴的贴子】http://www.yuxian.net/bbs/bbsxp/ShowPost.asp?ThreadID=8028

已经有人抄袭了
………………

连有毛病的,带正确的——都抄去了。
如果中招前,系统中没装SSM,用SSM根本不能解决问题。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:42 | 显示全部 短消息 资料
字号: 18楼

引用:
【蓝鸢rita的贴子】那个,猫叔大侠~~~
我,我还是不会,~~~
菜的啊~~~
………………

SREng是个工具软件,不用安装。下载后直接使用。
下载地址:http://www.kztechs.com/sreng/download.html
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 09:56 | 显示全部 短消息 资料
字号: 19楼

引用:
【蓝鸢rita的贴子】猫叔,还是我,看到跟你的那个图片显示的有点不一样~
要删么~~
还有下面那一行红的是怎么了~~
刚刚好象有对话框出来说它不对的~~~
………………

那个红色的——别管它。
倒是那个蓝色的——不对劲儿!看看它的具体内容。
还有——正数第二个,也不对。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 10:01 | 显示全部 短消息 资料
字号: 20楼

引用:
【独孤豪侠的贴子】呵呵一个图片就能看出两个问题.建议楼主用SRENG扫个日志开个新贴......
………………

同意
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT