Bootkit.Pitou (19.04.06)

，就一个.

wowocock 发表于 2019-4-8 10:57
没测过就不要乱说，只要选择急救箱强力模式，扫描2遍即可。

在试一次给你看 免得你乱咬人
测试打开影子系统完全模式 360 AMD核晶防护开启


双击样本以后  过一会系统自动重启  会成功重启进入系统

但这时病毒已经穿破影子系统 MBR被感染

此时运行KAVT工具进行扫描 会出现如下KAVT启发式报




扫描完成以后，高级清除技术会修复几分钟 自动重启系统 成功修复


昨天用360急救箱一扫确实扫描到了，但重装系统以后 一个全新的系统 安全更新不能用 安全中心也被禁用 avast安装失败 AVG安装失败 我不得不下载KAVT工具进行扫描，结果就是这东西居然还再在。
所以麻烦你不要在这哗众取宠。我没亲自试过我敢在样本区乱说话？我会无故叫嚣？我会乱咬人？

wowocock

，就一个. 发表于 2019-4-8 15:26
在试一次给你看 免得你乱咬人
测试打开影子系统完全模式 360 AMD核晶防护开启

急救箱勾选强力模式才能处理，看图，确保急救箱扫描的时候下面有红色闪电图标。这木马本身不难杀，主要是很隐蔽，导致用户无感知。
https://bbs.kafan.cn/thread-2146721-3-1.html

sec_morty

.......

，就一个.

wowocock 发表于 2019-4-8 15:41
急救箱勾选强力模式才能处理，看图，确保急救箱扫描的时候下面有红色闪电图标。这木马本身不难杀，主要是 ...

我勾选强力模式了的 天天万双击的人这点肯定清除  但是扫一次我这里没清除掉，而你那边你说你扫了两次，因为我只扫了一次，感觉系统功能不正常，就重装了一次，结果重装还是不行，就下了KAVT扫描，一次就解决了，没毛病。 虽然这个木马不难杀，但是穿透能力一流，影子系统都可以穿，很少有毒能穿影子系统。我一般自己电脑都是实机，大不了PE重装无所谓，但是单位电脑条件不允许，就只能影子系统，哪知道影子系统都给破了，算是不错了，你看样本区有多少能过影子系统的，简直是少之又少。

huang1111

kaba666 发表于 2019-4-7 23:10
你那个1.exe,报的PDM，你是双击了？

对的，我双击了

www-tekeze

.  2019-4-8 16:38
   Σ ...

急救箱确实需要重启后再扫一次，从32楼链接看，急救箱一年前就能杀。
另外问下你用的影子系统，SD还是PS？

，就一个.

www-tekeze 发表于 2019-4-8 20:02
急救箱确实需要重启后再扫一次，从32楼链接看，急救箱一年前就能杀。
另外问下你用的影子系统，SD还是PD ...

用的是这个单位电脑 第一次被穿
http://www.yingzixitong.cn/

www-tekeze

，就一个. 发表于 2019-4-8 20:32
用的是这个单位电脑 第一次被穿
http://www.yingzixitong.cn/

搞不懂怎么会选PS？ 最新的8.5.5版还是2014年底的，都不更新的东西了。。

PS：影子从09年用到现在整整十年，对我来说SD是不二之选。

yjwfdc

，就一个. 发表于 2019-4-8 13:59
直接执行底层磁盘访问的样本有很多情况是直接就蓝屏的，下面两个样本敢不敢实机双击玩玩？右键管理员身份 ...

很激动，wowocock是急救箱作者，应该比你更了解MBR样本。
这是他的工作。

yjwfdc

win7 64位实机，装了电脑速度卫士 火绒5.0.0.91 20190406版本。


火绒5.0.0.91 无反应。

电脑速度卫士 保护主引导记录 成功防御，运行1.exe等到它自动退出后，再运行2.exe,等到它自动退出后，重启，检查mbr是正常的。

关闭电脑速度卫士的保护主引导记录后运行，
火绒5.0.0.91 无反应。
运行后过一会，电脑自动重启。
重启后检查mbr被改，



用电脑速度卫士修复mbr后，重启，mbr正常。



更新火绒到最新版，扫描c盘，没有发现问题。

电脑速度卫士备份的病毒mbr