【历史】有一个x32的rootkit，在win8.1x64下竟调用sc.exe干掉了火绒4.0全部进程？！

www-tekeze

lifan88 发表于 2019-12-22 23:59
都没被杀掉吗？

啥意思？没看到是退出绒智双击的么，也就是裸奔。。。重启被火绒删了自启项也就残废了，何况快扫还杀了5个dll，已经斩草除根了吧。。。32位驱动x64里天生残废。。

www-tekeze

zay365 发表于 2019-12-23 00:05
用360扫会再扫出来几个

把文件传上来看看，绒智都只杀5个dll，大数字会不会误报？比如这个帖里的两个FLM文件，VT上只有大数字一家报，汗。。   https://bbs.kafan.cn/thread-2167740-1-1.html

lifan88

www-tekeze 发表于 2019-12-23 00:09
啥意思？没看到是退出绒智双击的么，也就是裸奔。。。重启被火绒删了自启项也就残废了，何况快扫还杀了5 ...

就关掉全部监控就行，测试自我保护。

这个东西表面看起来没什么亮点，关键是在于杀软能不能防住病毒不加载驱动情况下对于歪门邪道的攻击

www-tekeze

lifan88 发表于 2019-12-23 00:16
就关掉全部监控就行，测试自我保护

32位驱动在x64里天生残废，还能终止火绒进程？？ 有空再玩，睡觉，明天还上班。。

www-tekeze

zay365 发表于 2019-12-23 00:05
用360扫会再扫出来几个

看错了，编辑掉。。。

zay365

www-tekeze 发表于 2019-12-23 00:15
把文件传上来看看，绒智都只杀5个dll，大数字会不会误报？比如这个帖里的两个FLM文件，VT上只有大数字一 ...

我火绒两次都是报3个dll，360第一次又报了个exe，第二次多了个dll

智量都是报的
重启时360还会报错，但没实际影响

等等，这个路径不是安装目录啊

zay365

在VT上看了下已经存在多年了

www-tekeze

zay365 发表于 2019-12-23 13:17
我火绒两次都是报3个dll，360第一次又报了个exe，第二次多了个dll

智量都是报的

重启前杀2个dll、1个exe，重启后才杀5个，不过可能环境不完全一样，再试，这次重启后是4个dll、1个exe，反正绒智两者都保持同步。。。你那个k200.exe是哪来的？ 卫士的文件被破坏还得重新安装。。

www-tekeze

lifan88 发表于 2019-12-23 00:16
就关掉全部监控就行，测试自我保护。

这个东西表面看起来没什么亮点，关键是在于杀软能不能防住病毒不 ...

就按你说的办，只留火绒规则，看到4个动作，还会自删除。。。但始终没加驱动作，应该是32位驱动的原因。
重启前后快扫结果看楼上，被一网打尽了吧。。。也没发现火绒被破坏啊。。

zay365

www-tekeze 发表于 2019-12-23 13:52
重启前杀2个dll、1个exe，重启后才杀5个，不过可能环境不完全一样，再试，这次重启后是4个dll、1个exe， ...

我第一次重启前2个，第二次重启前3个dll重启后才出现那个K200.exe
360多报的那个dll用火绒扫了下又报了，看了下和上一次火绒杀的一个dll是同一个文件，这就很奇怪了
看到360报的是高危程序我就把那dll放到其他目录里去扫，果真不报了
卫士提示被破坏但实际上能正常打开，而且那个文件也不是卫士的，这也是很奇怪了