【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

www-tekeze

www-tekeze 发表于 2019-7-11 12:45
双击火绒扫描MISS的激活工具，会释放一个黑驱动，被火绒报Rootkit，同时本体被智量主防杀！

退出绒智双击，会在C:\Users\.....\AppData\Local\Temp下释放文件，当中的KMSpico1才是真正的暴风激活V17，大小只有1.65MB，而原有激活工具接近8MB，早被加料了！(黑驱动等)  。。。对比我收藏的原版暴风，MD5相同。
PS：激活工具带毒，火绒去年5月份就发过安全播报，里面就有被加料的暴风激活。。

http://bbs.huorong.cn/thread-46656-1-1.html

温馨小屋

卡巴关闭保护后运行病毒

重启成功加载病毒驱动，partmgr全红



卡巴运行快速扫描，在这个病毒驱动上卡了一两分钟



扫描完成后提示清除



在选择不重新启动的情况下卡巴依然删掉了驱动



重启劫持项消失

www-tekeze

www-tekeze 发表于 2019-7-11 12:57
退出绒智双击，会在C:%users\.....\AppData\Local\Temp下释放文件，当中的KMSpico1才是真正的暴风激活V17 ...

退出绒智运行激活工具，重启后智量快扫只发现一个释放的uninst.exe，火绒无发现，说明黑驱动劫持后已被隐藏！但用火绒专杀发现三项风险，处理后重启，绒智两者都发现了黑驱动YWZiNW.sys 。
处理后再次重启，用绒智以及火绒专杀扫描，没发现任何问题，相信已完美解决！

lifan88

yjwfdc 发表于 2019-7-11 11:22
有md四d保护应该很容易发现啊。

我都是扔虚拟机测试看看捆绑情况，那次疏忽了，当时虚拟机没有WIN8的，就实机跑了360沙箱，结果沙箱中不发作

lifan88

温馨小屋 发表于 2019-7-11 12:27
BD两个驱动都杀，但两个exe miss，双击exe释放的驱动被监控杀掉

稍后测试带毒清除

感谢测试！！不过兄弟我发现了什么不得了的东西

温馨小屋

lifan88 发表于 2019-7-11 14:10
感谢测试！！不过兄弟我发现了什么不得了的东西

之前学爬虫从网上扒下来的图片，本来是测试勒索用的，已经被加密了好几拨了

lifan88

wowocock 发表于 2019-7-11 10:38
很老的木马了，360急救箱扫描轻松处理。这种ROOTKLIT技术，在最新流行的主页保安类保护技术面前如同小儿科 ...

老病毒那一套保护实际上中了之后就完蛋了，也没有人没事用专杀全盘砍，况且在没有明显动作的时候是非常难受的，大佬有什么解决方法和建议么。。杀毒软件一般是应用于广泛情况，而专杀是特殊情况，这点被利用还是挺伤的（要不是心血来潮用PCH和TDSSKILLER我还真没发现机子有ROOTKIT潜伏）

温馨小屋

lifan88 发表于 2019-7-11 14:17
老病毒那一套保护实际上中了之后就完蛋了，也没有人没事用专杀全盘砍，况且在没有明显动作的时候是非常难 ...

似乎卡巴会定期运行Rootkit扫描，应该能解决一部分问题，其他软件没见过类似功能

85683213

温馨小屋 发表于 2019-7-11 12:27
BD两个驱动都杀，但两个exe miss，双击exe释放的驱动被监控杀掉

稍后测试带毒清除

System Scan 呢？
Quick Scan 默认没有扫描Rootkit 吧