改主页驱动木马一枚，运行后几乎免疫所有杀软

www-tekeze

kaba666 发表于 2018-12-6 14:37
你实机运行一下!然后再到论坛来,交流哈!

你按的好心啊。。

wowocock

aperk 发表于 2018-12-6 14:45
请问如果一般人遇到这种木马只能重装系统了吗？这么多的急救箱都没用啊？

补充下虽然建议到WINPE下处理，但考虑到不懂PE启动的人，还是增加了中毒系统下的查杀，替换急救箱FIX目录下的对应文件，32，64不同，然后再扫描即可。360这边的测试发布流程比较繁琐，大家可以先测试下，没问题的话，我们也会尽快发布，有问题也欢迎大家反馈，我们及时修正。
链接：https://pan.baidu.com/s/1cAygBRSzvVkA0GrDvi1AlQ
提取码：x6qe

幽冥の龙

www-tekeze 发表于 2018-12-6 13:38
火绒剑直接看不到，但可能是我没找到方法（@wowocock 大佬有空能用火绒剑试下吗，如何才能找到这个黑驱动 ...

火绒剑的文件删除能删吗？还是删了就会蓝屏重启？那如果选重启删除能不能有PE删除的效果呢
纯属好奇  = =
平时好像也没啥机会用的到这些功能，正好可以试试

落华无痕

www-tekeze 发表于 2018-12-6 13:27
124楼我说“彻底明白是咋回事了”。。。我有两个看法，请大佬指教对不对？

1. 正像你说的各种 ...

你从哪里得出只劫持ie的结论。我是因为虚拟机只有edge和ie，而edge不劫持，才用ie测试。





更多的浏览器开不了，我虚拟机内存不够，再开就蓝屏了。

乌龟dē海盗

wowocock 发表于 2018-12-6 14:58
补充下虽然建议到WINPE下处理，但考虑到不懂PE启动的人，还是增加了中毒系统下的查杀，替换急救箱FIX目录 ...

提取码不对耶~~~

cdwcctv

wowocock 发表于 2018-12-5 14:05
直接用驱动加载，然后重启电脑，用PCHUNTER看驱动列表里如果有2个ACPI.SYS那么说明起作用了。用急救箱的 ...

噗....他们图啥啊，就为了锁主页赚点流量...

www-tekeze

wowocock 发表于 2018-12-6 14:58
补充下虽然建议到WINPE下处理，但考虑到不懂PE启动的人，还是增加了中毒系统下的查杀，替换急救箱FIX目录 ...

帮你测试完成，汇报下：

1. 不置换那个360tdws64.sys，不到5秒就自动关机，无法截图。
2. 置换后就没问题了，杀完后重启，用PCH和PT查看，只有一条ACPI了，用火绒专杀看也没问题了。
随口问下，PCH的驱动服务不杀，只杀PT的，估计大佬不喜欢PT吧。。

www-tekeze

幽冥の龙 发表于 2018-12-6 15:43
火绒剑的文件删除能删吗？还是删了就会蓝屏重启？那如果选重启删除能不能有PE删除的效果呢
纯属好奇 ...

都试过了，不会蓝屏但删了白删！ 看大佬145楼说的：“.....目前用所有的ARK工具都无法处理”。。

wowocock

乌龟dē海盗 发表于 2018-12-6 15:51
提取码不对耶~~~

x6qe

wowocock

www-tekeze 发表于 2018-12-6 16:00
帮你测试完成，汇报下：

1. 不置换那个360tdws64.sys，不到5秒就自动关机，无法截图。

PT的驱动有可能被木马利用，所以被他们拉黑了。