Rootkit.CallGate.gen的查杀流程

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rootkit.CallGate.gen的查杀流程

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 17:13 \| 显示全部短消息资料字号：小中大 1楼 Rootkit.CallGate.gen的查杀流程 1、打开注册表编辑器。展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除右栏中的load 展开：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 删除：9（指向C:\windows\system32\Ravdm.exe） 2、临时取消QQ随系统启动（图） 3、重启系统。 4、显示隐藏文件。 5、找到并删除下列文件： C:\WINDOWS\system32\Ravdm.exe C:\WINDOWS\system32\drivers\morld.sys C:\Program Files\Tencent\QQ\TIMlatform.exe 6、将C:\Program Files\Tencent\QQ\TIMlatfrom.exe改名为TIMlatform.exe。附件: 文件名:1558472006912172656.jpg 下载次数:288 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 17:13:19 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-10-01 22:08:57
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 19:40 \| 显示全部短消息资料字号：小中大 2楼【回复“精灵水水”的帖子】干净啥呀！ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [] 木马！
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 19:43 \| 显示全部短消息资料字号：小中大 3楼【回复“lordal”的帖子】如果其它的，你都按顺序做了。把HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 中的load 删了。重启系统。就能删除morld.sys
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 20:38 | 显示全部 短消息资料

字号：小中大 4楼

引用:

【deadmanzj的贴子】猫叔这个好象写过的，只有一个morld.sys 这个文件有点出入
http://forum.ikaka.com/topic.asp?board=28&artid=8156736
………………

是的。
祖孙三代，我都宰过了。
因为木马常有变种。所以，每次遇到吵吵“杀不掉”时，我都索取样本，实战一下。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 20:48 \| 显示全部短消息资料字号：小中大 5楼【回复“lordal”的帖子】如果你仔细看明白这个帖子，按照顺序一步步去做，应该可以彻底铲除它。这个帖子是我的实战记录。成功的前提是：不要颠倒操作顺序，不要漏掉任何一步。另：这个帖子的所有操作——都不涉及“安全模式”。就在普通WINDOWS模式下搞。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 20:51 | 显示全部 短消息资料

字号：小中大 6楼

引用:

【lordal的贴子】

因为我是在您发这帖之前在安全模式下删的那几个文件.步骤没按照您的来.后来删完了才看到您这个帖的.我现在只剩下morld.sys这个文件了..HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows中的load 也删了,可是morld.sys这个文件还是无法删除。..求救啊。...
………………

对照帖子提到的那些文件——一一检查。看看有没有漏掉的。
如果仅仅是一个morld.sys的问题，删除注册表中的那个load，重启系统之后，是可以删掉的。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 21:07 \| 显示全部短消息资料字号：小中大 7楼【回复“lordal”的帖子】 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Tray><C:\WINDOWS\command\rundll32.exe> [] <Device Detector><; > [] <MoveSearch><; C:\Program Files\wsearch\Search.exe> [] <res><; C:\WINDOWS\System32\res.exe> [] <PigUpdate><; ; C:\DOCUME~1\w\LOCALS~1\Temp\~ex3.exe> [] <spoolsv><; ; > [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [] 服务 [Windows Install Helper / BARCASE] <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A> 品种够丰富的啊！！汗死！！你要是能杀净才怪！！如果有系统GHOST备份，请用该备份恢复系统。也就几分钟的事。比杀毒省事多了。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 21:10 | 显示全部 短消息资料

字号：小中大 8楼

引用:

【lordal的贴子】可能这病毒跟QQ有联系吧..我把QQ开开看看那个病毒能不能再出现。...
………………

什么叫可能跟QQ有关系啊？
这个木马将QQ的TIMPlatform.exe改成了它自己的文件。QQ只要加载，木马就活了。
看来，你根本就没仔细看这个帖子。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-09-12 21:18 | 显示全部 短消息资料

字号：小中大 9楼

引用:

【精灵水水的贴子】展开：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除：9（指向C:\windows\system32\Ravdm.exe）

她的这个Run是在Policies下的
在Explorer下没有Run

她说一步一步的来

可是文件不一样

还有差一个字母的

………………

最好让她把那个Ravdm.exe打包、加密发给我（baohelin@yahoo.com.cn）。

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 21:19 \| 显示全部短消息资料字号：小中大 10楼【回复“lordal”的帖子】系统还原呢？如果没关闭系统还原，可以尝试一下。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-09-12 17:13 \| 显示全部短消息资料字号：小中大 1楼 Rootkit.CallGate.gen的查杀流程 1、打开注册表编辑器。展开：HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 删除右栏中的load 展开：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 删除：9（指向C:\windows\system32\Ravdm.exe） 2、临时取消QQ随系统启动（图） 3、重启系统。 4、显示隐藏文件。 5、找到并删除下列文件： C:\WINDOWS\system32\Ravdm.exe C:\WINDOWS\system32\drivers\morld.sys C:\Program Files\Tencent\QQ\TIMlatform.exe 6、将C:\Program Files\Tencent\QQ\TIMlatfrom.exe改名为TIMlatform.exe。附件: 文件名:1558472006912172656.jpg 下载次数:288 文件类型:image/pjpeg 文件大小: 上传时间:2006-9-12 17:13:19 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-10-01 22:08:57
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.CallGate.gen的查杀流程

Rootkit.CallGate.gen的查杀流程

Rootkit.CallGate.gen的查杀流程

附件:

文件名:1558472006912172656.jpg 下载次数:288 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(216809); 上传时间:2006-9-12 17:13:19 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:1558472006912172656.jpg

下载次数:288

文件类型:image/pjpeg

文件大小:

上传时间:2006-9-12 17:13:19

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01