染毒环境清除测试---2021年的杀软能成功清除2018年版本的Rootkit吗？

a27573

ESET 14.2.19
Windows LTSC 2019 17763.2028


重启后IE被劫持

安全启动处于开启状态




想用PC Hunter看一下驱动模块，蓝屏了。。。试了两次都是这样
PC Hunter 1.57
@ANY.LNK

用OpenArk看到两个ACPI.sys


fltmc倒是能看到原本的名字


ESET无法扫描Rootkit本体


开启ELAM后该Rootkit仍然加载

失败


@00006666

a27573

a2120258 发表于 2021-7-11 20:51
测试一下微点主动防御对付这个病毒的效果！

你也可以自己试试

InApproaching

a27573 发表于 2021-7-11 21:03
放假了，占个楼，准备测试ESET在LTSC2019上的表现

其实我有些好奇 点击“以管理员身份进行扫描”应该是可以找到的吧
但是我对他的修复不大看好

a27573

InApproaching 发表于 2021-7-11 21:20
其实我有些好奇 点击“以管理员身份进行扫描”应该是可以找到的吧
但是我对他的修复不大看好[:08: ...

我准备给它安全启动+ELAM设置加持
如果还是清除不了就真没救了

InApproaching

a27573 发表于 2021-7-11 21:21
我准备给它安全启动+ELAM设置加持
如果还是清除不了就真没救了

2333333如果管理员身份还是杀不了可以撤资了

我先来个前排收留伤心粉丝

Nocria

Win 8.1 & NPE 测试：失败

a2120258

a27573 发表于 2021-7-11 21:03
你也可以自己试试

我的虚拟机只有XP系统的，请楼主测试一下微点主动防御对付这个病毒看看。

aboringman

a27573 发表于 2021-7-11 21:21
我准备给它安全启动+ELAM设置加持
如果还是清除不了就真没救了

坐等被锤

PS.NANO-Antivirus虽然扫描扫不出来，但是指定目标扫描还是可以精准打击，相反

NANO可以给个C级（四个等级，ABCD）

a27573

InApproaching 发表于 2021-7-11 21:25
2333333如果管理员身份还是杀不了可以撤资了

我先来个前排收留伤心粉丝

估计是挂了（以管理员身份扫描，ELAM默认设置）


应该是本体
上面一串注册表文件无法访问应该是样本为了阻止对注册表的直接解析

一不小心点了结束扫描，所以不知道最终结果，不过估计也差不多
选中system32又扫了一遍，确实扫不出来

明天再试试ELAM设置为仅“好”能不能处理


楼主用ESET扫出来那个估计只是下载缓存

@00006666

InApproaching

a27573 发表于 2021-7-11 23:56
估计是挂了（以管理员身份扫描，ELAM默认设置）

估计只能查到也杀不了……当然还是想看看他是不是真的能抓出来……

再不行还是老老实实的上急救箱了