两只rootkit

www-tekeze

www-tekeze 发表于 2018-12-12 17:35
智量本地Heur清空，火绒 miss all，准备双击。。

32位8.1虚拟机里测试，加载失败，原来是64位程序还加了UPX和VMP，准备实机测试。。

www-tekeze

同时加载两个驱动，启动成功后，开启火绒快速扫描，miss，但用专杀工具检查出4项威胁，但重启后是否会复现，就不试了，那得退出影子，算了，不玩了。。。@kaba666  要不要试试。。

kaba666

www-tekeze 发表于 2018-12-12 18:02
同时加载两个驱动，启动成功后，开启火绒快速扫描，miss，但用专杀工具检查出4项威胁，但重启后是否会复 ...

病毒症状是哈子?

www-tekeze

kaba666 发表于 2018-12-12 19:47
病毒症状是哈子?

上次那个导入注册表会劫持主页，这个可能没啥症状，加载成功后drivers目录里也看不到，但火绒的木马专杀能扫描到威胁，重启是否还有威胁、是否杀不净我没试，不想退出影子玩了。

kaba666

www-tekeze 发表于 2018-12-12 19:54
上次那个导入注册表会劫持主页，这个可能没啥症状，加载成功后drivers目录里也看不到，但火绒的木马专杀 ...

我刚才测试了哈！卡巴解压杀，我退出卡巴运行~！有反应！第一个症状是，解压包目录那两个驱动运行成功后删不掉了！被保护了！杀毒软件单独扫描那两个驱动没有威胁，杀毒软件显示正常了，像是检测不到了，奇怪~！然后我重启电脑，进不了系统，一直卡在WINDOWS正在启动界面，进不了系统！我尝试进安全模式，也不行，进去就提示恢复系统，恢复不了！我现在只有进PE解决了！

ELOHIM

扫描，scep只处理了 file:F:\Virus\022\MjY3OW.sys

kaba666

www-tekeze 发表于 2018-12-12 19:54
上次那个导入注册表会劫持主页，这个可能没啥症状，加载成功后drivers目录里也看不到，但火绒的木马专杀 ...

全部测试完毕，这纯粹是搞破坏的驱动！我在PE下用应急盘把病毒驱动删掉了！再开机系统修复，进系统了，但是网络没有了，卡巴运行不了！这显然系统被破坏了！用火绒检测，查到两项系统错误，修复 ！完了后，再重启，网络和卡巴都还是错误！我也懒得修复了！反正虚拟机，快速重建！还有我刚才看大肉鸡的贴子，他说得很轻松也！我在怀疑他没重启电脑吧，我重启了电脑进不了系统，他怎么运行的360急救？？？？我连安全模式都进不了！

www-tekeze

kaba666 发表于 2018-12-12 21:00
全部测试完毕，这纯粹是搞破坏的驱动！我在PE下用应急盘把病毒驱动删掉了！再开机系统修复，进系统了，但 ...

BFE服务出错，网络肯定用不了，但火绒修复无效？沒试下专杀？

我是实机，就不玩了。。

落华无痕

kaba666 发表于 2018-12-12 21:00
全部测试完毕，这纯粹是搞破坏的驱动！我在PE下用应急盘把病毒驱动删掉了！再开机系统修复，进系统了，但 ...

哪有你说的那么严重？你什么系统？我win10 x64虚拟机测试正常，两个都运行了，重启，正常进入系统。

这两个驱动的注册表项完全没保护，系统自带注册表轻松删除，但是重启又出现。

pchunter内核选项卡删除红色的项目，再删除两个驱动的注册表项，重启，干掉了FDSOIvdaosifid.sys。另一个还在删除不掉，注册表项也恢复了。

再回到pchunter内核选项卡，删除所有fltmgr.sys，再删除驱动的注册表项，重启，另一个也干掉了。

跟wowocock说的一样

kaba666

www-tekeze 发表于 2018-12-12 21:31
BFE服务出错，网络肯定用不了，但火绒修复无效？沒试下专杀？

我是实机，就不玩了。。

我没式专杀，但是我在虚拟机里，还没重启电脑前到火绒官方去下载专杀，就是那个下载专杀页面打开显示不正常，看不到任何下载链接！其它页面显示正常！这都是搞针对性破坏的！没必要纠结！实机重装系统吧！像这样的病毒一旦破坏系统，不容易修复！杀毒软件提前入库拦截，是王道！