Rootkit.CallGate.gen的查杀流程

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rootkit.CallGate.gen的查杀流程

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

123

2 / 3 页

跳转页

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 21:28 | 显示全部 短消息资料

字号：小中大 11楼

引用:

【精灵水水的贴子】C:\WINDOWS\system32\drivers\下没有morld.sys
要删除C:\Program Files\Tencent\QQ\TIMlatform.exe
这个文件
可是她那里没有TIMlatform.exe只有TIMPlatform.exe

她说给你打包后她的那个原文件就不见了打包后的她也删除了
汗啊我不知道她那是怎么回事啊
………………

就是要那个打包的啊。
包要加密。否则，邮箱的诺顿查出病毒，我无法下载附件。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 21:51 | 显示全部 短消息资料

字号：小中大 12楼

引用:

【精灵水水的贴子】她说已经把原来那个打包给你了
麻烦你再看下了啊谢谢了
这个问题她弄了一天了啊
………………

她的邮箱地址？
我每天收到N个样本，怎么知道哪个是她发的？
她怎么这么慌慌张张的？你让她先冷静下来。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 21:59 | 显示全部 短消息资料

字号：小中大 13楼

引用:

【lordal的贴子】
我也慌慌张张的。...
这可怎么办... 猫叔叔救救我吧........
………………

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Tray><C:\WINDOWS\command\rundll32.exe> []
<Device Detector><; > []
<MoveSearch><; C:\Program Files\wsearch\Search.exe> []
<res><; C:\WINDOWS\System32\res.exe> []
<PigUpdate><; ; C:\DOCUME~1\w\LOCALS~1\Temp\~ex3.exe> []
<spoolsv><; ; > []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> []
服务
[Windows Install Helper / BARCASE]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
断网。
关闭所有应用程序。
删除上面这些启动项。
重启。
显示隐藏文件。
删除那些启动项指向的文件。
就这些。
够你折腾半天的。
先冷静下来。
否则，你就让病毒杀了算了。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 22:06 \| 显示全部短消息资料字号：小中大 14楼【回复“zlyinggg”的帖子】你这个日志——没用。 HijackThis根本扫不到这个木马。贴SREng扫的日志。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 22:10 | 显示全部 短消息资料

字号：小中大 15楼

引用:

【zlyinggg的贴子】楼主大哥，帮忙看看我的啊？
是怎么回事呢？
………………

看46楼的回复

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 22:32 \| 显示全部短消息资料字号：小中大 16楼【回复“zlyinggg”的帖子】 <9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation] 就是这个。不同的变种，只是那个.sys的文件名有所不同。其它的行为、后果————都一样。以下是不同变种的.sys文件名：变种a:ksld.sys 变种b:Rinld.sys 变种gen: morld.sys
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 22:40 | 显示全部 短消息资料

字号：小中大 17楼

引用:

【zlyinggg的贴子】按照我的日志，怎么个手动杀法，教下我！
………………

这个帖子的主帖有方法啊？
你不看。
那就算了！

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-13 08:20 \| 显示全部短消息资料字号：小中大 18楼【回复“lordal”的帖子】 65楼图中的两个程序是系统的，不是木马/病毒。别动它们。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-13 08:21 | 显示全部 短消息资料

字号：小中大 19楼

引用:

【雁塔晨钟的贴子】有没有这种可能啊？
因为我在按照做您的这个步骤之前已经杀过毒了，有可能是已经先前被杀掉了，所以就找不到这个文件了？
不知道这种说法有没有可能？
并且，我也搜索了下，在c盘中并未发现这个文件
谢谢回答
………………

只要杀软不再报毒，就行了。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-13 20:46 | 显示全部 短消息资料

字号：小中大 20楼

引用:

【manba的贴子】【回复“无限001”的帖子】

"展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除右栏中的load"

——右栏中无"load"这个单词啊？是指右栏中的“ab(默认”吗？
………………

不是“ab(默认”。
就是load。
如果确实没有load，你可以打开msconfig检查一下。看看有没有带乱码的启动项。
如果没有，就跳过这步。

<<上一主题|下一主题>>

123

2 / 3 页

跳转页