【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

windows7爱好者

我大EEK威武！！！
扫描配置：自定义C盘，勾选直接磁盘访问（快速和智能无法检测到）

成功隔离



扫描配置


没重启看了一下，两个Partmgr 已经显示文件不存在了，挂钩处显示获取信息失败



Oh My God...........



@lifan88
你说的那种情况出现了，EEK搞死了我本来的Partmgr
然后软斯林给了来一一波神乎其技的操作！，我的虚拟机没有关闭系统还原
微软直接给我还原到了我测试BD的时候
并且，Rootkit已经消失了（当时这会已经中招）
证明1：系统还原还是很有用的
证明2：EEK搞死了系统，也搞死了Rootkit

kxmp

windows7爱好者 发表于 2019-7-20 12:47
我大EEK威武！！！
扫描配置：自定义C盘，勾选直接磁盘访问（快速和智能无法检测到）

gmer能不能直接看到那个sys呢

windows7爱好者

静影沉璧 发表于 2019-7-19 23:31
上救援模式应该能搞定

前面没测双击，双击成功击杀

windows7爱好者

kxmp 发表于 2019-7-20 13:16
gmer能不能直接看到那个sys呢

Be deceived

kxmp

windows7爱好者 发表于 2019-7-20 13:47
Be deceived

这个工具也可以扫描的. 你用快速扫描了么

windows7爱好者

kxmp 发表于 2019-7-20 13:50
这个工具也可以扫描的. 你用快速扫描了么

我前面那张图就是扫描的，勾了全部的，能扫出来内核被hook，但是不判定为rootkit

lifan88

AlphaRabbit 发表于 2019-7-19 17:03
昨晚的测试结果：360 MalwareBytes 瑞星 金山 火绒 腾管 ESET，全部翻车（感染后无法检测到RTK的驱动文件， ...

所以我一段时间在实验室里面忙没无聊PCH看看，结果就潜伏了1年多

lifan88

windows7爱好者 发表于 2019-7-20 12:47
我大EEK威武！！！
扫描配置：自定义C盘，勾选直接磁盘访问（快速和智能无法检测到）

PCH一样嘿嘿

AlphaRabbit

lifan88 发表于 2019-7-20 17:12
所以我一段时间在实验室里面忙没无聊PCH看看，结果就潜伏了1年多

还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动，PCH一眼看过去根本不会发现异常（忽视掉会出现两个ACPI.SYS的情况）。

温馨小屋

AlphaRabbit 发表于 2019-7-21 05:19
还好不是那种PCH一眼看不出来的RTK。
就像那个主页保安的Rookit驱动，PCH一眼看过去根本不会发现异常（ ...

怎么会看不到异常呢，你都看了什么啊，在内核页面下的对象劫持，本帖里的病毒运行后PCH会提示partmgr被劫持，主页安保病毒那个会提示acpi.sys被劫持，一下就看出来了