改主页驱动木马一枚，运行后几乎免疫所有杀软

www-tekeze

wowocock 发表于 2018-12-6 10:14
我说过了，之所以说这个病毒吊打无视很多杀软，就是因为知道他们根本动不了他，所以无视，反正你也杀不掉 ...

124楼我说“彻底明白是咋回事了”。。。我有两个看法，请大佬指教对不对？

1. 正像你说的各种无视，要呢扫不到，比如重启前火绒智量都能杀，但重启后就发现不了了，并且直接对它右键扫描也检测不到，白着呢。。。即使扫到了也杀不掉，比如火绒的专杀工具，当时处理了但重启后又回来了，打不死的小强！

2. 还有个看法，我觉得刚出来的样本火绒就做过通杀，并且专杀工具也能检测出来 (虽然杀不掉)，而这个专杀是一个多月前的，之后没更新过，这说明火绒也跟踪了这个黑驱动，但做为常规杀软，如果硬性去杀很可能把系统搞瘫，驱动对抗的结果就是把用户电脑做战场，所以火绒似乎还做了某些回避，因为这个只是劫持IE主页，危害性并不大，用IE的人实在很少很少。

但急救箱的定位不同，遇到这种硬骨头就是显示自己价值的时候，不可能要求用户去PE里玩手杀，或者是重装系统了事。。。PS：火绒专杀毕竟只有900KB，和你的急救箱确实没法比！！

www-tekeze

幽冥の龙 发表于 2018-12-6 09:27
有没试过火绒剑的强制删除  和  重启删除

火绒剑直接看不到，但可能是我没找到方法（@wowocock 大佬有空能用火绒剑试下吗，如何才能找到这个黑驱动或服务的踪迹？） PowerTool可以看到，在内核模块里，只是名字为空，不过PCH和PT也就是看到而已，仍然删不了，仿佛化身为ACPI了，定位之后都是微软的驱动，不可能删，还是只能到PE里处理。。。

www-tekeze

神算子 发表于 2018-12-6 10:40
建议用腾讯管家试试，管家对改主页行为还是很上心的

实际试一下再来提建议，凭想象说话？ 真是个神算子。。

神算子

www-tekeze 发表于 2018-12-6 13:43
实际试一下再来提建议，凭想象说话？ 真是个神算子。。

因为我以前首页被篡改，其他杀软没有腾讯管家在这方面厉害彻底

wowocock

www-tekeze 发表于 2018-12-6 13:38
火绒剑直接看不到，但可能是我没找到方法（@wowocock 大佬有空能用火绒剑试下吗，如何才能找到这个黑驱动 ...

是的，之所以说吊打是因为目前用所有的ARK工具都无法处理，用了比较猥琐的技术。深层的保护，多重保护，而且即使绕过保护，目前虽然只我们做到了，但还有无穷尽的破坏，关机，重启，或者其他什么。所以还是建议去WINPE下解决比较稳妥。

kaba666

神算子 发表于 2018-12-6 14:08
因为我以前首页被篡改，其他杀软没有腾讯管家在这方面厉害彻底

你实机运行一下!然后再到论坛来,交流哈!

wowocock

wowocock 发表于 2018-12-6 14:09
是的，之所以说吊打是因为目前用所有的ARK工具都无法处理，用了比较猥琐的技术。深层的保护，多重保护， ...

补充下虽然建议到WINPE下处理，但考虑到不懂PE启动的人，还是增加了中毒系统下的查杀，替换急救箱FIX目录下的对应文件，32，64不同，然后再扫描即可。360这边的测试发布流程比较繁琐，大家可以先测试下，没问题的话，我们也会尽快发布，有问题也欢迎大家反馈，我们及时修正。
链接：https://pan.baidu.com/s/1cAygBRSzvVkA0GrDvi1AlQ
提取码：x6qe

www-tekeze

wowocock 发表于 2018-12-6 14:09
是的，之所以说吊打是因为目前用所有的ARK工具都无法处理，用了比较猥琐的技术。深层的保护，多重保护， ...

感谢解答！ 所以我也觉得火绒目前这种处理还是明智的，毕竟驱动对抗没尽头，像前面某些杀软重启后无法进系统，那就真不好玩了。。。但还是希望火绒专杀能给力点，目前这种能发现问题但解决不了，还得找官人帮忙搞定。。

   @火绒工程师

aperk

wowocock 发表于 2018-12-6 14:09
是的，之所以说吊打是因为目前用所有的ARK工具都无法处理，用了比较猥琐的技术。深层的保护，多重保护， ...

请问如果一般人遇到这种木马只能重装系统了吗？这么多的急救箱都没用啊？

kaba666

今天我准备再次作死!现在卡巴已经入库了!我准备关掉所有杀软,来运行~~!最后来清毒!看看有什么其它方法没有