查看: 23314|回复: 101
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
lifan88
发表于 2019-7-11 03:53:40 | 显示全部楼层 |阅读模式
本帖最后由 lifan88 于 2019-7-11 23:54 编辑

补充一个5年前进阶手段揪出这类ROOTKIT/BOOTKIT的技术记录贴(@Backstreetboy )详见:https://bbs.kafan.cn/thread-1716273-1-1.html(主题:可怕的TDSS Rootkit病毒

1,前言:在你们仅仅只是下载样本进行扫描时,这个SYS早就一万个杀软报毒了,当然是没有加载的条件下所以,扫描玩玩也行,实机测试需谨慎,该驱动可以在WIN8-64/WIN10-64直接用个驱动测试软件就可以随便加载!


2,正文:终于有一天实机被潜伏了,事实证明现在比较厉害的ROOTKIT,是以你发现不了为主要目标,给你安上这个ROOTKIT有的是办法,甚至可以用心理战。。。只要你发现不了加载后的ROOTKIT(无论免不免杀,保护做好一些基本没问题,我自己被潜伏这么久这个是PCHUNTER在文件层面上也不能真正地抓出加载驱动后的真身,就更不能指望用于消灭大众化VIRUS的杀软),ROOTKIT稳定不出BUG,入侵者不做出触发警惕的作死操作,你甚至不会拿出PCHUNTER和TDSSKILLER去检查,只要这样他就成功了!


再之后大家可以思考和讨论一个问题:保护和免杀,孰轻孰重?如何防范心理层面上的“免杀”?

心理层面上的“免杀”有一个非常经典的例子:我说我这个ROOTKIT的驱动是为了Bypass某游戏的外{过}{滤}挂监测,报毒是正常现象,你用还是不用?


3,经历:前天老友来我家happy,老友的Laptop是WIN10-X64,TX管家为安软。他提到流氓软件有点多,断网的条件下,
一查看见了***zip/****zip:
记得以前这东西有驱动来搞一手,所以心血来潮用最新的PChunter-V1.56看看有什么东西。。。
一开始查看进程System的线程,加载的驱动,内核部分看异常,也没有某ZIP的SYS,但是检查钩子的时候发现partmgr项全部标红,我感觉这种全部标红的也太暴力了,于是怀疑老友机子有Rootkit,然后新版本TDSSKILLER上去扫一下,发现两个威胁,一个是没有签名认证的校园网,另外一个是Forged文件:MTMzYz.sys,看起来应该是随机名字,PChunter也没看到这个东西加载在哪,在所有的内核项都没看见这个诡异的SYS,然后去找了一下TDSSKILLER的日志,搜索MTMzYz的名字,发现这个东西就直接在System32下站着,挖出来一看,文件没有隐藏,创建时间2019-6-22,修改时间是2012年的,大小(2.4M)和占用空间(100+K)也是不一样的,然后挂的东西全部是partmgr.sys的内容,占用空间,签名,证书。

最后一试,复制粘贴到桌面,然后他送了个真的partmgr.sys给我,也就是说,把假的文件的替身拿出来了,压缩到压缩包也是,压缩个替身给我。(都是100K的那个),现在就可以非常确定是毒了,最后到PChunter已加载驱动一查,好家伙,和Rovnix一样,出现了二重存在的partmgr.sys,整个System里一堆partmgr.sys的线程。。。对象劫持也表示这个partmgr有问题,但是就是看不到那个MTMzYz.sys,尝试用pchunter的dump驱动,被识破,dump个100+K驱动给我,然后用pchunter的文件功能复制,被识破,又把替身拿出来了。

OK,管家扫描,扫不出来,加载后的东西基本就碰不了了,最后查了卡饭,2018年就有这种劫持伪装成partmgr的Rootkit了,但是360急救箱也只能第一步破掉ROOTKIT的注册表保护部分,直接删了注册表(实际上断网条件下没能正确识别文件主体,当时慌得一笔,怕是没真穿透注册表保护把真的partmgr的注册表项给灭了),重启之后检查内核,加载的驱动和partmgr钩子/对象劫持,发现全部恢复正常,System中的线程正常也是没有一堆
partmgr.sys的,再到System32下看那个MTMzYz.sys,真正的内容就出来了,管家就能扫出来。
ROOTKIT存活时间:2019-6-22至2019-7-9,17天。。。


你们以为结束了吗?不这才刚刚开始!
然后我开始问老友这个东西创建那些天的日期干了什么(不知道创建时间可否造假),老友给出了两个可以目标,一个是KMS,一个是极品飞车:

然后我测试之后排除了极品飞车,因为我发现我机子的partmgr内核钩子也是全部挂红的。。。。同样方法干掉ROOTKIT后,火绒才能正确识别出SYS是一个ROOTKIT.Startpage。。。把极品飞车的安装包到主程序都翻了个遍,火绒都没有都没有报警,然后看到了我那个驱动的时间。。。创建2019年1月17日,一开始以为创建时间可能是编的,然后我发现我的一个KMS也是1月17日,然后一想,当时为了游戏不卡机子恢复了出厂设置,系统和MSoffice需要重新激活,结果,就中招了不对,再次确认了之后才发现是1月17日的激活系统的KMS是被我在虚拟机中用Malware Defender解了捆绑的,那就追溯到了2018年4月13日的OFFICE的激活KMS,一看和老友给我的体积差不多,完蛋了。。。


心理战大法好,本着360沙盘跑那个OFFICE的激活KMS没问题,结果就信以为真关了360,结果捆绑个ROOTKIT,驱动一加载,GG,加载后几乎所有东西都不能正确读出这个随机名字驱动的真实信息。。。。然后,估算了这个ROOTKIT的存活时间。。。

从2018-4-13(看了一下日志发现360没有发现,有可能是免杀,有可能是被社工安利关闭360了,从2019年1-17日开始后可以确定是火绒和360组合,但是都没有发现这个潜伏驱动的存在)可以说一直存活到了2019-7-9,然后这个Rootkit的存活时间:451天,恭喜这个B(我应该找发现的,一个ROOTKIT活这么久肯定会有不稳定的时候,在19年2月份到5月份做实验期间经常闪屏死机)



第二部分是免杀部分,用的最简单的方法:7z压缩包加密码,和论坛一样。
通过MD的分步可以发现(请把重点放在命令行上):
2019/7/11 03:03:55    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
命令行: "C:\Users\j8qq_000\Desktop\(OFFICE激活)kms-bf.exe"
规则: [应用程序]c:\windows\explorer.exe



2019/7/11 03:04:04    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsProcess.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:05    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\System.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe


2019/7/11 03:04:07    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\7z.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:09    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\Base64.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:10    创建文件    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsExec.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:04:31    创建新进程    允许------压缩密码为aabbccdd,将包内文件重命名为YTY3OT.SYS
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns20FF.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*



2019/7/11 03:04:35    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns20ff.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "YTY3OT.sys"
规则: [应用程序]*



2019/7/11 03:04:38    创建新进程    允许--------压缩密码为aabbccdd,将YTY3OT.SYS解压到System32目录下
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns84EA.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*



2019/7/11 03:04:41    创建新进程    允许
进程: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns84ea.tmp
目标: c:\users\j8qq_000\appdata\local\temp\7z.exe
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play32.dat" -o"C:\Windows\system32\"
规则: [应用程序]*



2019/7/11 03:05:02    创建文件    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys



2019/7/11 03:05:17    读文件 (2)    允许
进程: c:\users\j8qq_000\appdata\local\temp\7z.exe
目标: C:\Windows\System32\YTY3OT.sys
规则: [应用程序]* -> [文件]*; *.sys

2019/7/11 03:05:20    创建文件    允许

进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\nsSCM.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll



2019/7/11 03:05:21    安装驱动程序或服务    允许
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: C:\Windows\system32\YTY3OT.sys
规则: [应用程序]*



2019/7/11 03:05:23    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\Start
值: 0x00000001(1)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start



2019/7/11 03:05:24    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\YTY3OT\ImagePath
值: \??\C:\Windows\system32\YTY3OT.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath



2019/7/11 03:05:27    加载驱动程序    阻止
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\yty3ot.sys
规则: [应用程序]c:\windows\system32\services.exe



2019/7/11 03:05:40    创建新进程    阻止并结束进程
进程: c:\users\j8qq_000\desktop\(office激活)kms-bf.exe
目标: c:\users\j8qq_000\appdata\local\temp\nskf3.tmp\ns4e46.tmp
命令行: "C:\Users\j8qq_000\AppData\Local\Temp\nskF3.tmp\ns4E46.tmp" "C:\Users\j8qq_000\AppData\Local\Temp\7z.exe" x -aoa -paabbccdd "C:\Users\j8qq_000\AppData\Local\Temp\Play14.dat" -o"C:\Users\j8qq_000\AppData\Local\Temp"
规则: [应用程序]*



用了这个套路之后,你扫描的时候是不能发现这个KMS里面藏的驱动究竟有没有毒


告诫大家,千万不要小看这类ROOTKIT,轻则BUG/冲突导致宕机,重则数据泄露!




提取驱动样本:
链接: https://pan.baidu.com/s/1yCWpUQJidYyyH_iCq0WI8w 提取码: vyga 密码:virus
(PS:驱动可以直接加载,加载后PCHUNTER看不见真实加载驱动,你能看到的是最后加载驱动变成了fltmgr.sys,而不是病毒驱动,手杀方法:进安全模式把驱动删了就行,有没有老哥试试正常情况下用ark手杀掉?这个东西的特征我最早见到的是TDSSKILLER开始扫描上面的文字说明上的一个ROOTKIT-----ROOTKIT.Reloader.A,等我找样本)

捆绑ROOTKIT的KMS:
链接:链接: https://pan.baidu.com/s/1OpYwH8A3G4jqmg3eScyz5w 提取码: ysmm 密码:virus

欢迎大家讨论!



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 10经验 +10 魅力 +1 人气 +16 收起 理由
windows7爱好者 + 1 版区有你更精彩: )
Kaspersky用户 + 3 版区有你更精彩: )
hr157 + 1 赞一个!
左手 + 1 加分鼓励
Jirehlov1234 + 1

查看全部评分

wowocock
发表于 2019-7-11 10:38:59 | 显示全部楼层
很老的木马了,360急救箱扫描轻松处理。这种ROOTKLIT技术,在最新流行的主页保安类保护技术面前如同小儿科。后者更是吊打除360急救箱外的所有杀软。包括卡巴。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
小Q机器人 + 1
lifan88 + 1 赞一个!

查看全部评分

温馨小屋
头像被屏蔽
发表于 2019-7-11 12:27:20 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 12:43 编辑

BD两个驱动都杀,但两个exe miss,双击exe释放的驱动被监控杀掉

稍后测试带毒清除
可预见的凉凉

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢TEST: )

查看全部评分

温馨小屋
头像被屏蔽
发表于 2019-7-11 13:02:18 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 14:20 编辑

卡巴关闭保护后运行病毒

重启成功加载病毒驱动,partmgr全红



卡巴运行快速扫描,在这个病毒驱动上卡了一两分钟



扫描完成后提示清除



在选择不重新启动的情况下卡巴依然删掉了驱动



重启劫持项消失



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
Picca + 1 版区有你更精彩: )
lifan88 + 1 哇,卡巴有点东西啊

查看全部评分

www-tekeze
发表于 2019-7-11 13:30:40 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-11 13:32 编辑
www-tekeze 发表于 2019-7-11 12:57
退出绒智双击,会在C:%users\.....\AppData\Local\Temp下释放文件,当中的KMSpico1才是真正的暴风激活V17 ...

退出绒智运行激活工具,重启后智量快扫只发现一个释放的uninst.exe,火绒无发现,说明黑驱动劫持后已被隐藏!但用火绒专杀发现三项风险,处理后重启,绒智两者都发现了黑驱动YWZiNW.sys 。
处理后再次重启,用绒智以及火绒专杀扫描,没发现任何问题,相信已完美解决!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢测试

查看全部评分

AlphaRabbit
头像被屏蔽
发表于 2019-7-19 17:03:29 | 显示全部楼层
本帖最后由 AlphaRabbit 于 2019-7-19 17:08 编辑

昨晚的测试结果:360 MalwareBytes 瑞星 金山 火绒 腾管 ESET,全部翻车(感染后无法检测到RTK的驱动文件,虚拟机配置:Windows 7 x64,扫描配置:直接点全盘扫描)。
Avast可以检测到这个Rootkit,但是,没有办法在系统运行时清除掉这个RTK。


(以下是私货)
似乎上面有人提到在感染这种顽固Rootkit时用急救箱,但是这里有个问题:就我见过的小白连PCHunter都不知道,他们首先要依赖的就是自己电脑里的反恶意软件。
在这里就出现了问题:如果他们手上的反恶意软件检测不到,那么他们还会继续用急救箱查吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 来了来了!^_^

查看全部评分

windows7爱好者
发表于 2019-7-19 23:28:05 | 显示全部楼层
本帖最后由 windows7爱好者 于 2019-7-19 23:29 编辑

虚拟机win7 x64环境
BD 2020 24.0.3.15版本
双击运行重启后中招

安装BD,更新后直接System Scan,最后就杀了个这玩意

我不死心,再次重启后quick scan



唉,BD啊BD,我记得前几年有个ROOTKIT,BD处理的还很好来着,现在怎么缩水这么严重了




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +3 收起 理由
lifan88 + 1 惨烈LOL
静影沉璧 + 2 神马都是浮云

查看全部评分

windows7爱好者
发表于 2019-7-19 23:37:20 | 显示全部楼层
本帖最后由 windows7爱好者 于 2019-7-20 12:41 编辑
静影沉璧 发表于 2019-7-19 23:31
上救援模式应该能搞定

NS选手准备上场

好的,我们知名的ns选手来了,老规矩,双击and重启,我手动开了主动启发式
在我运行liveupdate的时候,启发就杀掉了桌面上的两个EXE


然后运行扫描,发现了没卵用的cookie和一个temp下KMS释放的EXE,KMS卸载程序从隔离区放出来双击一次,被sonar杀掉


好吧,我没辙了,NPE!启动(重启了)
NPE扫描出TEMP目录里的一个不知名的玩意,估计仍然是主体释放的?同时还误报了我的Proxifier汉化安装程序...



最后云鉴定还显示是安全的....NS失败告终


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 GG

查看全部评分

windows7爱好者
发表于 2019-7-20 12:08:54 | 显示全部楼层
本帖最后由 windows7爱好者 于 2019-7-20 12:42 编辑

awsMBR需要下载小A的引擎

快速扫描什么也没发现,尝试扫描整个C盘,但是......一到这个驱动就会报错退出,不过显示已经扫描过System32了,并没发现什么






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
windows7爱好者
发表于 2019-7-20 12:47:45 | 显示全部楼层
本帖最后由 windows7爱好者 于 2019-7-20 12:58 编辑

我大EEK威武!!!
扫描配置:自定义C盘,勾选直接磁盘访问(快速和智能无法检测到)

成功隔离



扫描配置


没重启看了一下,两个Partmgr 已经显示文件不存在了,挂钩处显示获取信息失败



Oh My God...........



@lifan88
你说的那种情况出现了,EEK搞死了我本来的Partmgr
然后软斯林给了来一一波神乎其技的操作!,我的虚拟机没有关闭系统还原
微软直接给我还原到了我测试BD的时候
并且,Rootkit已经消失了(当时这会已经中招)
证明1:系统还原还是很有用的
证明2:EEK搞死了系统,也搞死了Rootkit








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bbszy
发表于 2019-7-22 21:44:26 | 显示全部楼层
本帖最后由 bbszy 于 2019-7-24 00:28 编辑

win10 x64 v1803

分别测试mcafee livesafe 16.0R19、SEP14、小红伞pro、ZA Extreme

样本本身测试的杀软都已入库,故先安装杀软然后关闭监控、双击样本后重启,用PCH查看驱动被标红,感染成功,然后打开监控并扫描。咖啡、SEP和红伞除了激活本身的东西扫不出任何问题,红伞还特别设置了扫描所有文件类型、扫描前检测rootkit。ZA的话由于基本就是卡巴的驱动加引擎,所以结果和卡巴一样,顺利清除,就是这软件使用体验很差,没有卡巴的“在不重启的情况下尝试清除”,只能选高级清除,选了之后系统几乎动不了,等待清除完自动重启,用PCH看驱动正常,未见标红。

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢支持,欢迎常来: )

查看全部评分

欧阳宣
头像被屏蔽
发表于 2019-7-11 08:47:30 | 显示全部楼层
cylance

kill all
杀软病综合医院
发表于 2019-7-11 08:48:30 | 显示全部楼层
吓得我赶紧用360查一下
BE_HC
发表于 2019-7-11 08:52:33 | 显示全部楼层
本帖最后由 BE_HC 于 2019-7-11 12:57 编辑

CCAV
在沙盒里面跑了半天VS才弹出来




这个驱动跟LZ发的都不一样,而且火绒不报毒

蓝奏:https://www.lanzous.com/i4xjqah

MD5 : 520D0EDF6188C9A81AF0F981B6A0BB70





试着用NPE测试。。
结果虚拟机开一半都就蓝屏惹



用API看了下

kernel32.dll    RtlInitAnsiStringEx ( 0x0012f7dc, ""C:\Users\ADMINI~1\AppData\Local\Temp\nsz29DE.tmp\ns2AD9.tmp" "C:\Users\ADMINI~1\AppData\Local\Temp\7z.exe" rn -paabbccdd "C:\Users\ADMINI~1\AppData\Local\Temp\Play32.dat" "UfdsvtIopuy.sys" "M2Y4Nz.sys"" )   





飞塔沙盒结果
从飞塔沙盒里面提取的驱动跟新的是一样的







虽然飞塔直接运行那个KMS之后产生的rookit会扫描杀
沙盒测不出来





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +2 收起 理由
windows7爱好者 + 2 版区有你更精彩: )

查看全部评分

桑德尔
头像被屏蔽
发表于 2019-7-11 09:00:12 | 显示全部楼层
eset Miss
kaba666
发表于 2019-7-11 09:07:31 | 显示全部楼层
本帖最后由 kaba666 于 2019-7-11 09:30 编辑

卡巴全灭,一个云杀,双击一个PDM,和云混合杀,小样~~,应外两个驱动,也杀!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
小Q机器人 + 1 感谢支持,欢迎常来: )

查看全部评分

Jerry.Lin
发表于 2019-7-11 09:19:47 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2019-7-11 09:32 编辑

有 secure boot 或者驱动强制签名 会好很多……



火绒
剩余1个exe
  1. 病毒库时间:2019-07-10 18:27
  2. 开始时间:2019-07-11 09:17
  3. 总计用时:00:00:00
  4. 扫描对象:2
  5. 扫描文件:2
  6. 发现风险:2
  7. 已处理风险:0

  8. 病毒详情


  9. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\新的rootkit2019-6-22.sys, 病毒名:Rootkit/StartPage.f, 病毒ID:fad37121e1dbdb75, 处理结果:暂不处理
  10. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\两个貌似是同一个驱动(1)\老的rootkit2019-1-17.sys, 病毒名:Rootkit/StartPage.f, 病毒ID:fad37121e1dbdb75, 处理结果:暂不处理
复制代码
  1. 病毒库时间:2019-07-10 18:27
  2. 开始时间:2019-07-11 09:18
  3. 总计用时:00:00:03
  4. 扫描对象:50
  5. 扫描文件:2
  6. 发现风险:1
  7. 已处理风险:0

  8. 病毒详情


  9. 风险路径:C:\Users\zhong.000\Downloads\Compressed\卡饭\KMSX2\暴风激活V17.0-2019-6-22版本.exe >> [NSIS].nsi, 病毒名:TrojanDropper/FakeKMS.c, 病毒ID:3e6298cf38e1c723, 处理结果:暂不处理
复制代码


Jirehlov1234
发表于 2019-7-11 09:35:19 | 显示全部楼层
VIPRE

Trojan.GenericKD.30868919 - 新的rootkit2019-6-22.sys
Trojan.GenericKD.41222116 - 老的rootkit2019-1-17.sys
ELOHIM
发表于 2019-7-11 09:48:04 | 显示全部楼层
哪位大佬劳烦分流个蓝奏。
a233
发表于 2019-7-11 09:49:20 | 显示全部楼层
Avast



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:56 , Processed in 0.149728 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表