瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.a(wdm.exe)的手工查杀

123456   1  /  6  页   跳转

Rootkit.CallGate.a(wdm.exe)的手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 22:19 | 显示全部 短消息 资料
字号: 1楼

Rootkit.CallGate.a(wdm.exe)的手工查杀

如果您的SREng日志中出现下列加载项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run>< > []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation],
那么——您中了此马。

手工查杀流程如下:

1、

附件附件:

下载次数:523
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-20 22:19:49
描述:
预览信息:EXIF信息



最后编辑2006-08-25 11:21:22
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 22:20 | 显示全部 短消息 资料
字号: 2楼

2、

附件附件:

下载次数:521
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-20 22:20:31
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 22:20 | 显示全部 短消息 资料
字号: 3楼

3、从“启动”组中删除“腾讯QQ”的快捷方式,暂时禁止其随系统启动自动运行。如果系统是XP或ME,请关闭“系统还原”。
重启系统。显示隐藏文件。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 22:21 | 显示全部 短消息 资料
字号: 4楼

4、

附件附件:

下载次数:531
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-20 22:21:07
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:10 | 显示全部 短消息 资料
字号: 5楼

补充:
这个wdm.exe,前面的帖子曾经提到过(http://forum.ikaka.com/topic.asp?board=28&artid=8142848)。
那个帖子的背景是:我的系统中已经安装了SSM,所以可用SSM轻易将其制服。
后来,有网友先中招,后安装SSM,SSM不能运行(safemon.sys不能加载)。
今天,我自己试了一下。先卸载SSM,然后将木马植入系统。再安装SSM。果然,SSM无法运行。
因此,重新写了这个手工查杀帖子。
其实,删除那两个注册表项是个关键。
删除那两个注册表项后,重启系统。木马wdm.exe及其驱动ksld.sys就不能加载了。
这时,SSM才能正常运行。
看来,这个木马有点儿水平。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:23 | 显示全部 短消息 资料
字号: 6楼

引用:
【deadmanzj的贴子】其实现在很多人都不装SSM的,偶也是,可能是偶不会设置,哎,一直弹出日志,搞的手酸死,就干脆不运行
………………

如果事先装了SSM,这个wdm.exe根本不能得逞。(每次启动系统,SSM都报警。)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:25 | 显示全部 短消息 资料
字号: 7楼

引用:
【deadmanzj的贴子】晕死了,QQ的那2个也要删啊,今天教别人漏删了那QQ的那2个文件,怪不得不见好,哎,实在对不起那位朋友啊!~~这狡猾的马
………………

那两个文件:一个是木马释放的;一个是经过木马改写的。都要删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-20 23:27 | 显示全部 短消息 资料
字号: 8楼

引用:
【我无邪的贴子】
ttmplatfrom.exe这个东东,真的有吗?
我到没有发现呢

………………

不是ttmplatfrom.exe,而是TIMPlateform.exe和TIMPlatefrom.exe。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:16 | 显示全部 短消息 资料
字号: 9楼

引用:
【坚强的烂泥的贴子】【回复“baohe”的帖子】
我按你说的下载了几个版本的都没有用啊。。SSM  安装了N遍他还是    “the ssm driver was not found please reinstall ssm ”  我都把2.0  到2.2的版本下过几次了。。。有没有其他软件手工杀的啊。。谢谢你了LZ。。。这个病毒把我都搞晕了。。杀了两天了。。。
………………

5楼已经回答你这个问题。
1、若是预先安装了SSM,后中这个木马,SSM可以轻易搞掂它。
2、如果是先中这个木马,后来才装SSM,SSM无法运行。这时,可以按照本帖的操作杀此马。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-08-21 08:21 | 显示全部 短消息 资料
字号: 10楼

引用:
【嘢蠻丫头的贴子】
[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows],其下的Load键好象系统默认的吧...代表自动加载的项目命令行,默认键值应为空。这项目有问题吗

………………

中了这个木马后,[HKEY_CURRENT_USER\Software\Microsoft \Windows NT\CurrentVersion\Windows]下的Load键值表面为空,实际上不是空的。它与ksld.sys加载有关。
具体表现为:不删除此键值,无论你重启多少次,ksld.sys仍无法删除。删除此键值后,重启,ksld.sys即可删除。
gototop
 
<<上一主题|下一主题>>
123456   1  /  6  页   跳转
页面顶部
Powered by Discuz!NT