两只rootkit

wowocock

www-tekeze 发表于 2018-12-13 14:51
3. PE里删掉FDSOIvdaosifid.sys，重启后火绒专杀扫描没问题了，但火绒快速扫描发现一个系统修复项，就是B ...

早说了，不要用其他杀软，直接用急救箱扫描即可搞定，不知道你们为什么那么迷信某些不靠谱的东西。把本来简单的东西搞的很复杂。不靠谱的杀软一旦触发木马的保护性报复措施，后果是无法预测的。

kaba666

www-tekeze 发表于 2018-12-13 14:51
3. PE里删掉FDSOIvdaosifid.sys，重启后火绒专杀扫描没问题了，但火绒快速扫描发现一个系统修复项，就是B ...

呵呵！知道厉害了哈！我昨晚就给你说了会破坏系统，你几个还开玩笑说，病毒遇到我能力要翻倍！这哈在你电脑上翻倍了哈！

www-tekeze

wowocock 发表于 2018-12-13 15:01
早说了，不要用其他杀软，直接用急救箱扫描即可搞定，不知道你们为什么那么迷信某些不靠谱的东西。把本来 ...

重启后BFE服务就被破坏了，联不了网啊，就算不用火绒专杀，但急救箱离线模式能修复联网问题？ 这几天下午都要出门例行办点事，晚上再试！重启后直接用急救箱，看能否彻底解决。。

www-tekeze

kaba666 发表于 2018-12-13 15:10
呵呵！知道厉害了哈！我昨晚就给你说了会破坏系统，你几个还开玩笑说，病毒遇到我能力要翻倍！这哈在你电 ...

你说的没错，蛋疼的是BFE服务被破坏，联不了网。。

kaba666

www-tekeze 发表于 2018-12-13 15:51
你说的没错，蛋疼的是BFE服务被破坏，联不了网。。

那个是驱动级病毒，破坏了系统，你在系统下常规方法修复不了！驱动对抗，这玩意，哎不说了，以后没事少玩这些病毒！

wowocock

www-tekeze 发表于 2018-12-13 15:50
重启后BFE服务就被破坏了，联不了网啊，就算不用火绒专杀，但急救箱离线模式能修复联网问题？ 这几天下午 ...

我这里测试，加载好2个驱动重启，完全没有任何问题，然后急救箱查杀2次，轻松搞定。不知道你们是怎么测试的。

wowocock

落华无痕 发表于 2018-12-13 09:59
试了下win7 x64真没出现你说的情况。唯一有问题的是火绒剑添加两个驱动重启删除后，重启系统进不去了，提 ...

这里说的很清楚，一个重定向到PARTMGR，删了进不了系统，一个重定向到TCPIP删了上不了网。你们自以为是的用火绒剑删除，不死才怪。早说了带毒状态下的查杀，远没有你们想的那么简单。

落华无痕

wowocock 发表于 2018-12-13 16:06
这里说的很清楚，一个重定向到PARTMGR，删了进不了系统，一个重定向到TCPIP删了上不了网。你们自以为是的 ...

是的，一开始我以为火绒剑的强制删除不管用，就添加重启删除，以为重启删除删掉系统文件。

实际上是，强制删除那两个驱动时，被重定向删除那两个系统文件了，所以看起来没效果。强制删除完，我就看系统的drivers目录，那两个系统驱动被火绒剑删除了。

落华无痕

落华无痕 发表于 2018-12-13 16:15
是的，一开始我以为火绒剑的强制删除不管用，就添加重启删除，以为重启删除删掉系统文件。

实际上是， ...

所以最好是pe删除，或者用专杀工具（如急救箱）。

手删的话，删除注册表项就好了，如果回写，就删除所有相关回调，再删除？

系统出问题，只是删注册表的话，还可以最后一次正确配置。

wowocock

落华无痕 发表于 2018-12-13 16:22
所以最好是pe删除，或者用专杀工具（如急救箱）。

手删的话，删除注册表项就好了，如果回写，就删除所 ...

说的不错，不过木马一旦加载，想中毒状态下手杀很困难，别的不说，如果触发报复性对抗，判断被你删了，轻则回写后，立刻重启，重则无法回写的话，内存中的代码直接破坏硬盘，写垃圾数据都可以。因为内存中运行的代码你是很难完全中断他的执行的。不过这2个比较好杀，没什么猥琐的对抗。