卡巴高级删除问题再次复现

kaba666

现在提供卡巴跟踪文件共分析！@Wesly.Zhang
文件下载：链接：https://pan.baidu.com/s/1F4f72J6I4X3qcmZSajjIuA
提取码：lr0w
压缩包密码：123

pal家族

论坛反馈有啥用？人家也是普通用户，怎么帮你？
发个邮件或者申请个my Kaspersky账号，正儿八经联系下技术支持，上报下问题，不好吗？

kv0707

支持楼主，期待下次升级补丁时能够解决
楼主还请邮件联系卡巴斯基官方，这样赶得上下次补丁时解决这个问题了

kfne12

楼主洗洗睡吧。

我虽然没有运行那个样本，但是我一猜也知道，那个rootkit拦截了卡巴的重启操作。

因为现在有的木马据说就是这么干的。

所以这应该不是卡巴的锅。

尽管我只是猜测，但是我对我的这个猜测有90%的把握。

台风12

大家和气讨论，我是来学习的

huang1111

不重启的原因我认为可能如下（猜测）
1、本bootkit在启动的时候会执行shutdown.exe，定时重启，卡巴斯基检测到以后，不发生重启行为
2、由于是bootkit，阻止了卡巴斯基的重启行为（当然，我认为不可行，因为其安装完成还需要重启才会生效，事实上他没有重启）

关于菜单变灰，我认为是此样本修改了系统配置导致的问题，卡巴即使回滚，也需要重启才能生效

kaba666

huang1111 发表于 2019-8-11 22:22
不重启的原因我认为可能如下（猜测）
1、本bootkit在启动的时候会执行shutdown.exe，定时重启，卡巴斯基检 ...

你猜测哈子？还猜测？你那么牛逼个嘛！分析代码撒！

记录微笑

huang1111 发表于 2019-8-11 22:22
不重启的原因我认为可能如下（猜测）
1、本bootkit在启动的时候会执行shutdown.exe，定时重启，卡巴斯基检 ...

卡巴会阻止用户在高级清除时通过开始菜单关机或重启，所以会变灰。

红色卡卡007

记录微笑 发表于 2019-8-11 23:57
卡巴会阻止用户在高级清除时通过开始菜单关机或重启，所以会变灰。

好像就是这个意思。在我的记忆中，很早就碰到这情况了，至于说具体什么时候，过去很久了，记不太清楚了。喜欢刚就慢慢刚吧，哈哈哈哈。。。

kaba666

记录微笑 发表于 2019-8-11 23:57
卡巴会阻止用户在高级清除时通过开始菜单关机或重启，所以会变灰。

是的，卡巴的高级删除都会让开始菜单重启键变灰，关键是这个时候高级删除扫描完了，卡巴不重启电脑！