» 首页 » 电脑_数码 » 反病毒 » 请教崔衍渠先生！怎样杀Rootkit.CallGate.a病毒？

请教崔衍渠先生！怎样杀Rootkit.CallGate.a病毒？

瑞星提示：重新启动之后删除
但是每次重启后还是会查到
这个病毒存在于一个叫ksld.sys的文件中，正常模式无法删除
安全模式又找不到（已经勾选了显示隐藏文件） 问题补充：http://post.baidu.com/f?kz=126222086
http://post.baidu.com/f?kz=126221557
百度帖吧里有日志

如何修复？ http://post.baidu.com/f?kz=114677914

启动项目 -->注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ScanRegistry><C:\Program Files\Common Files\update\update.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IESAddr><> []
<TProgram><C:\WINDOWS\smss.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<Torjan Program><C:\WINDOWS\WINLOGON.EXE> [nwYG2CWqUeMdBD8xt5fZ]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\System32\wdm.exe> [Microsoft Corporation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{CF49F9F2-A8D3-464F-83EC-6AFC6573C267}><C:\WINDOWS\System32\CCG1.dll> []
<{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}><C:\WINDOWS\System32.dLl> []

下面的这个不是删除是编辑
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\Userinit.exe,C:\WINDOWS\System32\internst.exe> []
编辑成为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\Userinit.exe,> []

删除C:\WINDOWS\System32\internst.exe
C:\WINDOWS\System32.dll
C:\WINDOWS\System32.dLl
C:\WINDOWS\System32\CCG1.dll

落雪用专杀工具 http://www.newsmth.net/bbsanc.php?path=%2Fgroups%2Fcomp.faq%2FVirus%2FVintro%2Fhorse%2Flsass%2F9

专家提供：

回答者：

崔衍渠 - 反病毒 8-22 11:22

提问者对于答案的评价：还是有点问题

您觉得最佳答案好不好？

目前有 1 个人评价

100% （1）

0% （0）

其他回答共 3 条这个病毒是wdm.exe木马...挺烦的一个东东```瑞星提示重起后自动删除```开机后是删了ksld.sys文件``不过上网开QQ后又提示有毒..话不多说`现在开始
病毒客户端是wdm.exe`文件存在于C:\WINDOWS\system32\wdm.exe.用瑞星查这个文件是查不出毒的``
C:\WINDOWS\system32\drivers\ksld.sys这个才是有毒的文件...是wdm.exe利用拨号加载的...
首先,禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载(TIMPlatfrom.exe、TIMPlatform.exe这两个文件存在与QQ主目录下..现已被病毒覆盖)
然后,删除wdm.exe`清理注册表
注册表清理方法:开始→运行→输入Regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删掉那个与wdm.exe有关的键值..OK了`重起...
最后,卸载QQ重新安装。

最强的杀木马广告免费手工升级软件ewido4.0 anti-spyware不影响杀毒软件运行
 http://www.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
汉化补丁http://www.newhua.com/soft/41516.htm

这个病毒是wdm.exe木马...挺烦的一个东东```瑞星提示重起后自动删除```开机后是删了ksld.sys文件``不过上网开QQ后又提示有毒..话不多说`现在开始
病毒客户端是wdm.exe`文件存在于C:\WINDOWS\system32\wdm.exe.用瑞星查这个文件是查不出毒的``
C:\WINDOWS\system32\drivers\ksld.sys这个才是有毒的文件...是wdm.exe利用拨号加载的...
首先,禁止wdm.exe、TIMPlatfrom.exe、TIMPlatform.exe加载(TIMPlatfrom.exe、TIMPlatform.exe这两个文件存在与QQ主目录下..现已被病毒覆盖)
然后,删除wdm.exe`清理注册表
注册表清理方法:开始→运行→输入Regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run删掉那个与wdm.exe有关的键值..OK了`重起...
最后,卸载QQ重新安装。

最强的杀木马广告免费手工升级软件ewido4.0 anti-spyware不影响杀毒软件运行
http://www.grisoft.cz/softw/70/filedir/inst/ewido-setup_4.0.0.172b.exe
汉化补丁http://www.newhua.com/soft/41516.htm

打开windows任务管理器，察看是否有可疑的进程在运行，如果有把它结束。（Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他可能是病毒或恶意程序之类的东西。）
若无法结束，再察看控制面板〉管理工具〉服务，看有没有与之相关的服务（特别是“描述”为空的）在运行，把它停止。同时设法查找这些恶意程序文件（如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件），然后删去。

转载请注明原作者恋曲2010

用专杀工具。