染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

ANY.LNK

tdsskiller 发表于 2021-7-3 11:36
应该都是随机名，加密驱动应该在system32下的随机名文件夹中，老古董rootkit，已经忘却了
白利用不确定 ...

这两个加密驱动不加载入内核时杀软会不会报毒？

喀反

ANY.LNK 发表于 2021-7-2 16:09
请问此时的测试结果如何呢？

Microsoft Defender脱机版的结果如何？（请先扫描桌面上的恶意文件，获取 ...

DG无法开启，MD也不杀drivers下的病毒驱动，无法进入脱机版扫描

ANY.LNK

喀反 发表于 2021-7-3 14:25
DG无法开启，MD也不杀drivers下的病毒驱动，无法进入脱机版扫描

我这边除了第一次脱机版扫描扫描完成后卡死无法重启外，剩下的时候就都不能重启进入脱机版扫描了，所以是这个rootkit反脱机版扫描还是微软本身的故障？

喀反

ANY.LNK 发表于 2021-7-3 14:51
我这边除了第一次脱机版扫描扫描完成后卡死无法重启外，剩下的时候就都不能重启进入脱机版扫描了，所以是 ...

不清楚

a8855942

看到第一页那么多失败。。

ANY.LNK

tdsskiller 发表于 2021-7-3 11:36
应该都是随机名，加密驱动应该在system32下的随机名文件夹中，老古董rootkit，已经忘却了
白利用不确定 ...

更新：MD快速扫描发现2个威胁，提示重启后驱动复生并更名，用脱机版成功查杀了这两个威胁，其中一个是注册表，另一个是驱动，随后重启，威胁未复生，完全扫描再次查出1个驱动和一个tmp文件，剩下一个exe和sys，这两个文件都可以手动删除，VT分别有1个和2个杀软报毒。
杀完后
TDSSkiller可以正常运行，未报错，可正常扫描，PCH提示许可过期，但可以打开页面，页面是空白的

a27573

ANY.LNK 发表于 2021-7-3 18:59
更新：MD快速扫描发现2个威胁，提示重启后驱动复生并更名，用脱机版成功查杀了这两个威胁，其中一个是注 ...

剩下的exe和sys也是病毒衍生物吗？
可以发上来看看吗？

ANY.LNK

a27573 发表于 2021-7-3 20:29
剩下的exe和sys也是病毒衍生物吗？
可以发上来看看吗？

这是剩下来的文件
https://ws28.cn/f/5te0t35zd28
请帮忙分析一下

tdsskiller

ANY.LNK 发表于 2021-7-3 18:59
更新：MD快速扫描发现2个威胁，提示重启后驱动复生并更名，用脱机版成功查杀了这两个威胁，其中一个是注 ...

看来确实是老了

a27573

ANY.LNK 发表于 2021-7-3 20:34
这是剩下来的文件
https://ws28.cn/f/5te0t35zd28
请帮忙分析一下

显然文件头被改过

那个sys也是这样

估计这个病毒有自制loader来加载这些文件，我不知道怎么修复

exe提取出的字符串里有大量OpenSSL的内容，应该和通信有关

还有一张列举了很多浏览器的表


sys里看不出什么来


应该没有加壳，但这种简单的手段就足够把我拒之门外了