多数杀软已跪—化石级牛逼Rootkit

windows7爱好者

更新malwarebytes
测试结果：安装后监控和扫描都无法发现ROOTKIT
                 重启后继续扫描，仍然无法发现，右键扫描system32，无法发现，失败

shulun743

瑞星 云终端 成功清除 ， 但是 联盟版 失败了

电脑发烧友

shulun743 发表于 2017-1-27 12:48
瑞星 云终端 成功清除 ， 但是 联盟版 失败了

你的意思是说，染毒后修复所有受感染驱动，还是扫描后修复？截图看看。

pal家族

诶。。

@windows7爱好者 可以在测试下卡巴吗？还是升级之后重启再测试、、、、
我这里静态扫描复现不出来问题了，文件被修复了

电脑发烧友

shulun743 发表于 2017-1-27 12:48
瑞星 云终端 成功清除 ， 但是 联盟版 失败了

如果你说的完美清除是只染毒后对病毒驱动的清除，那么我这里的测试结果和你大相径庭，如果可以请把你那里的图贴过来，不然没有说服力。

测试环境 VM虚拟机 win7 *32

瑞星安全云终端，染毒后测试

一共杀了10个，然而



把我的工具杀了不少，病毒驱动依旧没有扫描出来（全盘查杀）

数字急救箱在瑞星扫完后扫描

天耀群星

2010/1/1 星期五 02:39:20    创建文件    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe

2010/1/1 星期五 02:41:38    修改其他进程的内存    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 02:41:38    在其他进程中创建线程    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*

电脑发烧友

天耀群星 发表于 2017-1-27 14:19
2010/1/1 星期五 02:39:20    创建文件    阻止
进程: c:%users\ljx\desktop\rootkit avatar\666-233.exe
...

建议按照原帖中的方法尝试，看看是否可以击穿MD

【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】_安全工具区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
http://bbs.kafan.cn/thread-2074479-1-1.html

@lifan88  238L，我好想没有说清，你来说一下 @lifan88

天耀群星

电脑发烧友 发表于 2017-1-27 14:29
建议按照原帖中的方法尝试，看看是否可以击穿MD

【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar ...

2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 03:09:14    在其他进程中创建线程    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*




2010/1/1 星期五 03:09:51    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe




2010/1/1 星期五 03:10:14    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\qxxftwqy.sys
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*


2010/1/1 星期五 03:10:28    修改其他进程的内存    允许
进程: c:\windows\system32\csrss.exe
目标: c:\users\ljx\desktop\666-233.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2010/1/1 星期五 03:10:34    删除注册表值    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [注册表]HKEY_CURRENT_USER*


2010/1/1 星期五 03:10:40    创建新进程    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c del C:\Users\ljx\Desktop\666-233.exe >> NUL
规则: [应用程序组]高危-《首道滤网》-————优先阻止！！10 -> [子应用程序]*

windows7爱好者

pal家族 发表于 2017-1-27 13:24
诶。。

@windows7爱好者 可以在测试下卡巴吗？还是升级之后重启再测试、、、、

稍等，马上测试，先更新一波MB反ROOTKIT工具测试
下来卡巴

pal家族

windows7爱好者 发表于 2017-1-27 15:33
稍等，马上测试，先更新一波MB反ROOTKIT工具测试
下来卡巴

不不不不不用测试了。。。。。。我刚才没有搞清楚情况
问题还是有的。