多数杀软已跪—化石级牛逼Rootkit

电脑发烧友

目前跪掉的杀软有：美系三大，数字急救箱，ESET，红伞，蜘蛛，卡巴以及卡巴的TDSSKILLER,金山急救箱及其顽固木马专杀，AVG，瑞星安全云终端，malwarebytes及malwarebytes自家的反rootKit工具
成功的杀软有：BD以及更新后的360卫士


注：360卫士目前已经可以完美清毒，处理效率点赞。


原帖地址：http://bbs.kafan.cn/thread-2074479-1-1.html

请勿实机运行


2013年的毒，扫描无意义，请测试杀软的带毒杀毒能力，有能力者可测试手杀（楼主发现几乎所有ARK都不能用 不知有没有能人）【PE等开挂方式不算】
P S:卡巴的TDSSkiller清除失败

建议测试环境，win7*32。实在不行可以XP 其他系统无效
这毒检测虚拟机，如果是虚拟机的话，主要操作的线程全是挂起的，需要手动恢复



使用方法：虚拟机内以管理员权限运行666 233.exe，用PCH恢复该进程的红色线程，等待片刻，若进程消失，说明已经发作，重启虚拟机。运行PCH最新版，若加载驱动失败则说明成功运行，可以测试杀软在染毒环境中的清毒能力。
P S:非原版win7*32位系统可能无法正常发作，请使用原版系统测试


数字急救箱杀毒全过程













蜘蛛的结果请看二楼
最新消息：
1.据VM001测试，金山急救箱和顽固木马专杀均被完爆，前者无限蓝屏，后者什么也扫不出来。
2.2017年1月25日 刚刚测试完咖啡，完败，带毒安装蓝屏，感染扫描什么都没扫到。

windows7爱好者

蜘蛛最新测试结果：GG
全新测试无论IS版本还是扫描器，都会蓝屏
先安装蜘蛛，然后关闭防护双击，重启后开机几秒钟就蓝屏
使用扫描器扫描大概10多秒后蓝屏
安全模式扫描器10多秒后蓝屏
蜘蛛战败
下一位选手待定
注意！，在360急救箱杀到杀不出东西为止，是可以正常安装蜘蛛，并且补杀一个后，系统恢复正常
所以目前360和蜘蛛无法单独干掉这个rootkit，需要互相肛一下

驭龙

趋势科技快速扫描，没有发现威胁

wowocock

顺便做个广告，提供集成急救箱WINPE版本的ISO镜像，大家可以测试看看。
http://bbs.360.cn/thread-14581089-1-1.html
秒杀病毒的win8杀毒pe以及相应的u盘制作工具，当然也可以重装系统！

BE_HC

NPE扫描后发现一驱动，删除后电脑蓝屏，成功boom

第二次NPE尝试，NPE成功修复，并附上报告
@电脑发烧友
吃完饭回来补图

windows7爱好者

本人亲测，NS和NPE全跪
测试方法：完全干净的系统一份快照，感染后一份快照
先感染，双击完恢复线程后，感染成功
PCH我这里没有驱动加载失败提示，并且第一次染毒重启后，可以打开
但是查看驱动就会死机，然后注销，再次打开就白板了，驱动没有加载成功
PCH白板

PT我这里没有被干掉，勾选自保也不会蓝，用PT查看驱动，确定已经感染

然后在线安装NS，NS安装完后没有立马发现，更新完后监控发现了rootkit
然后提示自动防护处理成功

所有驱动都被处理
之后就有玄学的事情发生了，诺顿直接删除了这些被感染的驱动
系统死掉了，安全模式也进不去，无限蓝屏

NPE
恢复到感染后的快照，下载NPE，勾选rootkit扫描，重启，全部查出来
然后处理，处理结果呢，自己看图吧，无需多说了

下一位选手预计我要上卡巴2017
@驭龙

windows7爱好者

对，你们没有听错，BD是第一个完美清除此ROOTKIT的选手
接下来直播全程，安装过程非常艰难（网络太辣鸡了），跳过这一部分（带毒安装）
安装成功，安装这一步蓝屏的有dr.web

然后直接进行更新，更新完成后，已经出现了实时监控的警告
杀了6个驱动，看似没有杀全，这是后话



然后BD要求重启（更新和ROOTKIT的清除工作都需要）
重启过程中因为有开机扫描，还黑了一会，我还以为失败了
重启后BD显示结果

直接打开PT，没有发现可疑驱动（PT在我这里没有被这个rootkit干掉），PCH加载恢复正常
system线程没有异常



PCH和PT检查没有可疑驱动对象






最后上数字急救箱补杀，啥也没有（第一次有一个IE设置项，是win7的IE设置被急救箱认为不安全，进行恢复，与ROOTKIT无关）如图

最后重启增加急救箱驱动强度进行二次补杀，结果一切正常，世界和平


BD show time end! perfect！

BE_HC

windows7爱好者 发表于 2017-1-24 21:47
我已经叫我们群里的大佬再测一遍NPE了
他的是SP1，和你一样的，我的是最早的win7
我这边第一次就是删 ...

我觉得我电脑肯定有问题
我把原来的win7虚拟机删了重新去msdn下了个旗舰版
然后装上去，顺便装了NET4和各种vc库
然后吉尔扫不出来。。（农企Relive画质感人）

lifan88

摧残了N遍后，GG。。。
我的情况。。
系统情况：

最后TDSSKILLER的处理剩余情况。。。








。。。线程干扰仍然存在，未知内核钩子重启自动出现，而且那些内核钩子会让PCH和TDSSKILLER的内核钩子消失？？

windows7爱好者

更新malwarebytes
测试结果：安装后监控和扫描都无法发现ROOTKIT
                 重启后继续扫描，仍然无法发现，右键扫描system32，无法发现，失败

电脑发烧友

shulun743 发表于 2017-1-27 12:48
瑞星 云终端 成功清除 ， 但是 联盟版 失败了

如果你说的完美清除是只染毒后对病毒驱动的清除，那么我这里的测试结果和你大相径庭，如果可以请把你那里的图贴过来，不然没有说服力。

测试环境 VM虚拟机 win7 *32

瑞星安全云终端，染毒后测试

一共杀了10个，然而



把我的工具杀了不少，病毒驱动依旧没有扫描出来（全盘查杀）

数字急救箱在瑞星扫完后扫描

windows7爱好者

更新malwarebytes Anti ROOTKKIT工具测试结果
更新完全部勾选扫描查不到任何东西，重启后再次扫描，仍然找不到，失败

windows7爱好者

更新KTS 2018的结果
出了一点小问题，因为是最新版本，刚安装好就报毒了...当时我还没开跟踪
然后我没有点清除，开了跟踪后再点的，问题不大吧
@pal家族
剩下结果和上次相同，不过我发现PCH还报了一个可疑驱动....上次好像没有这玩意
WDF01000仍然无法处理，我分别运行了快速，全盘，driver 的自定义，这样可以了吧
图：










跟踪报告
链接：http://pan.baidu.com/s/1bpafsE7 密码：2qlm

aboringman

虚拟机测试，Rootkit成功运行，红伞能够检测但处理方法错误【被感染驱动直接被红伞隔离】，系统挂掉。。。。。。

fireherman

ESET 免测…… （被病毒）加驱后是无法清理的。

黑寡妇果然“心狠手辣”，赞！

windows7爱好者

fireherman 发表于 2017-1-24 10:38
ESET 免测…… （被病毒）加驱后是无法清理的。

黑寡妇果然“心狠手辣”，赞！

现在的情况是
360在杀了一堆之后，无法恢复正常
用蜘蛛IS版本补杀一个驱动，系统恢复正常
但是直接染毒，然后装蜘蛛，会直接蓝屏，可能的原因是拦截了蜘蛛的驱动
现在正在测试直接使用蜘蛛扫描器，全新测试，看能不能解决
卡巴已跪

vm001

我这里还是跑不起来。。
不过你截图里数字急救箱没有进入强力模式，进入以后这里应该是红色

fireherman

windows7爱好者 发表于 2017-1-24 11:28
现在的情况是
360在杀了一堆之后，无法恢复正常
用蜘蛛IS版本补杀一个驱动，系统恢复正常

毛子也被爆菊花。

电脑发烧友

vm001 发表于 2017-1-24 11:35
我这里还是跑不起来。。
不过你截图里数字急救箱没有进入强力模式，进入以后这里应该是红色

我已经确认勾选了

540923555

WD的offline模式，谁来测试一下

windows7爱好者

vm001 发表于 2017-1-24 11:35
我这里还是跑不起来。。
不过你截图里数字急救箱没有进入强力模式，进入以后这里应该是红色

表示测试已经重启5次
第三次之后已经杀不出东西了，然而PCH驱动无法加载（在之后用蜘蛛补杀一个后，完全恢复正常）
按理说重启一次后，就可以进入强力模式了
（强力模式一直是选上的）

vm001

windows7爱好者 发表于 2017-1-24 11:38
表示测试已经重启5次
第三次之后已经杀不出东西了，然而PCH驱动无法加载（在之后用蜘蛛补杀一个后，完 ...

我这里跑不出这个染毒效果，只是感染一个dll

windows7爱好者

fireherman 发表于 2017-1-24 11:35
毛子也被爆菊花。

目前蜘蛛情况不容乐观，扫描器扫描过程也蓝了
楼主吃饭中，稍后回来继续直播
卡巴的反rookit跪了是另一位测试的，不是我们群里测试的，待会可以再试试