正统的Rootkits病毒，JM.SYS驱动很危险

驭龙

君陌潇 发表于 2015-11-11 14:21
断网 关闭监控  自定义扫描  结果跟之前一样  解压不会隔离

自定义扫描报双毒


监控解压以后报两次，也是双杀

wjy19800315

驭龙 发表于 2015-11-11 14:30
自定义扫描报双毒

avira只检测到1个
实机操作。不会有漏毒吧

驭龙

wjy19800315 发表于 2015-11-11 14:33
avira只检测到1个
实机操作。不会有漏毒吧

.VIR后缀应该不会被执行，应该没事，这个样本被多重保护，WD需要动用VFS才能挖掘出里边的JM.SYS，所以很多杀软是直接删除，应该问题不大

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 14:30
自定义扫描报双毒

反恶意软件客户端版本: 4.8.10240.16384
引擎版本: 1.1.12205.0
防病毒定义: 1.209.2403.0
反间谍软件定义: 1.209.2403.0
网络检查系统引擎版本: 2.1.11804.0
网络检查系统定义版本: 115.26.0.0

驭龙

君陌潇 发表于 2015-11-11 14:48
反恶意软件客户端版本: 4.8.10240.16384
引擎版本: 1.1.12205.0
防病毒定义: 1.209.2403.0

版本完全一样的

反恶意软件客户端版本: 4.8.10240.16384
引擎版本: 1.1.12205.0
防病毒定义: 1.209.2403.0
反间谍软件定义: 1.209.2403.0
网络检查系统引擎版本: 2.1.11804.0
网络检查系统定义版本: 115.26.0.0

你看看C:\ProgramData\Microsoft\Windows Defender\Scans位置，有没有二三百MB的特征缓存和VFS虚拟化数据，另外你是X86还是X64系统？

古兰韩国

反恶意软件客户端版本: 4.9.10586.0
引擎版本: 1.1.12205.0
防病毒定义: 1.209.2403.0
反间谍软件定义: 1.209.2403.0
网络检查系统引擎版本: 2.1.11804.0
网络检查系统定义版本: 115.26.0.0

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 14:53
版本完全一样的

你看看C:\ProgramData\Microsoft\Windows Defender\Scans位置，有没有二三百MB的特征 ...

WIN10 64位

驭龙

君陌潇 发表于 2015-11-11 15:20
WIN10 64位

你看26楼的WD 4.9也双杀的呀，难道是因为你是X64系统？

ELOHIM

XP SCEP 两种病毒分类。
Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 63&enterprise=1
        名称: VirTool:Win32/Rootkit.BU
        ID: 2147625363
        严重性: 严重
        类别: 工具
        路径: containerfile:_C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir;file:_C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir->(UPX)->(VFS:JM.sys#1)
        检测原点: 本地计算机
        检测类型: 具体
        检测源: 系统
        用户: NT AUTHORITY\SYSTEM
        进程名称: Unknown
        签名版本: AV: 1.209.2410.0, AS: 1.209.2410.0, NIS: 0.0.0.0
        引擎版本: AM: 1.1.12205.0, NIS: 0.0.0.0

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
---------------------------
Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 68&enterprise=1
        名称: Trojan:Win32/Toga!rfn
        ID: 2147696168
        严重性: 严重
        类别: 特洛伊木马
        路径: containerfile:_C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir;file:_C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir->(UPX);file:_C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir->(UPX)->(VFS:TXP1atform.exe)->(UPX);file:_C:\DOCUME~1\kafan\LOCALS~1\Temp\7zE4027B497\Rootkits.vir->(UPX)
        检测原点: 本地计算机
        检测类型: 具体
        检测源: 实时保护
        用户: \kafan
        进程名称: C:\Program Files\7-Zip\7zFM.exe
        签名版本: AV: 1.209.2410.0, AS: 1.209.2410.0, NIS: 0.0.0.0
        引擎版本: AM: 1.1.12205.0, NIS: 0.0.0.0

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
-------------------------------------
Microsoft 反恶意软件 已检测到可疑行为。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 89&enterprise=1
        名称: Behavior:Win32/DroppedKnownMalware
        ID: 2241802861
        严重性: 低
        类别: 可疑行为
        路径: file:_C:\Program Files\7-Zip\7zFM.exe;process:_516
        检测原点: 本地计算机
        检测类型: 可疑
        检测源: 实时保护
        状态: 执行
        用户: \kafan
        进程名称: C:\Program Files\7-Zip\7zFM.exe
        签名 ID: 41453017067075
        签名版本: AV: 1.209.2410.0, AS: 1.209.2410.0
        引擎版本: 1.1.12205.0
        保真标签:  低
        目标文件名:  C:\Documents and Settings\kafan\Local Settings\Temp\7zE4027B497\Rootkits.vir

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

EnZhSTReLniKoVa

驭龙 发表于 2015-11-11 15:25
你看26楼的WD 4.9也双杀的呀，难道是因为你是X64系统？

可能吧 刚才更新下  断网查杀 还是一样结果。。