染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit？

Mod123xsd

前言：本文由00006666 6哥提供测试思路、测试样本，主要目的是想测试上个帖子内搜集的各大杀软自家急救箱对抗rootkit的能力。

前两期：
第一期：https://bbs.kafan.cn/thread-2211328-1-1.html
第二期：https://bbs.kafan.cn/thread-2211747-1-1.html


测试环境：Windows7 专业版64位


测试样本：https://bbs.kafan.cn/thread-2218929-1-1.html


环境准备：根据样本提示进行操作后重启，rootkit成功加载，此时电脑不能打开ARK工具，因此判定样本成功运行。



测试方法：在被感染的系统内运行各家系统急救箱工具，根据工具提示进行清理工作，若清理完毕后能够正常打开ARK工具，则证明rootkit被成功清除。（ARK工具下载地址：http://pysafe.cn/）


下面开始正式测试：
一号：360急救箱   结果：成功
360急救箱在启动后提示进入加强模式，随后成功扫描到样本，重启修复后二扫成功清除，ARK工具能够正常打开。


二号：KVRT   结果：成功

KVRT启动后成功发现样本，根据提示重启后二扫清除，ARK工具能够正常打开


三号：NPE（Norton Power Eraser）   结果：失败
NPE启动后未能扫描到样本，继续根据提示重启后二扫依旧无法扫到样本，ARK工具打开后报错。




四号：奇安信恶意木马专杀    结果：失败
奇安信启动后没能发现样本，根据软件提示继续操作后，ARK工具仍报错。


五号：火绒专杀工具   结果：参考二楼补充
感谢@wwwab 大佬的批评与指正，真的非常感谢。在测试火绒专杀的时候并未严格按照火绒论坛内补充说明的专杀工具操作规范来进行清除工作，盲目的得出了第一次测试火绒专杀工具失败的结果。对此我表示很抱歉，现已删除第一次的测试结果，在二次测试火绒专杀工具时按照操作规范进行后能成功查杀。

六号：HitmanPro   结果：成功
HitmanPro启动后扫描发现样本，但默认选择忽略威胁，手动选择隔离后提示重启，根据要求操作后重启电脑无法联网，但此时ARK工具能正常打开。


七号：Drweb CureIt!  结果：失败
Drweb CureIt!运行后发现样本，根据提示进行重启后系统无法进入。



八号：ESET Online Scan  结果：失败
ESET Online Scan未能发现样本。



九号：金山毒霸顽固病毒木马专杀   结果：成功
金山毒霸木马专杀启动后提示发现恶意驱动，扫描完毕根据提示重启成功清除样本，ARK工具能够正常打开。



十号：EmsisoftEmergencyKit   结果：EEK不支持win7



十一号：McAfee Stinger   结果：失败

毒刺扫描完毕后提示未发现任何威胁。



十二号：K7 Scanner   结果：失败
K7未能扫描到样本



十三号：F-SecureOnlineScanner   结果：失败
FSOS未发现样本。



十四号：Malwarebytes Anti-Malware    结果：失败
Malwarebytes Anti-Malware未能发现样本



十五号：腾讯电脑管家系统急救箱   结果：成功
管家急救箱运行后扫描发现威胁，重启后进入深度查杀，二次重启后成功清除样本。


十六号：eScan  结果：失败
eScan未能发现样本驱动。



十七号：Microsoft Safety Scanner   结果：失败
按照程序提示清理完重启后ARK工具依旧报错。


十八号：UltraAdwareKiller  结果：失败
UltraAdwareKiller未能发现样本。



十九号：PandaCloudCleaner  结果：失败
按照程序提示操作进行清除工作后，ARK工具依旧报错



二十号：CCE   结果：失败
没能发现样本驱动。。。


二十一号：S.O.S Security Suite  结果：失败
SOSSS可以发现样本本体，但无法扫描到样本驱动。

Mod123xsd

NPE在测试时忘记开启rootkit扫描了，因此这里重新进行测试。
确保rootkit扫描打开后立刻重启电脑，进行第一次扫描，但仍未发现样本，再次重启二扫显示威胁已清除，但ARK工具依旧报错。



补充：McAfee Stringer开启rootkit扫描   结果：失败



补充：火绒专杀工具（2022年1月11日）  结果：成功
扫描后发现样本驱动，点击一键处理后提示发现恶意驱动，重启后才能清除，根据操作重启后样本驱动被干掉，ARK工具正常打开。

wwwab

火绒恶性木马专杀工具是会跳转到火绒安全官方论坛一个帖子下载的，里面说明了

使用注意事项：
专杀工具在扫描过程中，如果检出了病毒处理项目，则建议在扫描完成后，重启再次使用火绒专杀进行扫描，以确认病毒清除是否成功。

如果重启后再次扫描，在专杀工具中没有病毒项目再被检出，则建议使用火绒安全软件进行全盘扫描，彻底解决病毒问题；

如果重启再次扫描后，专杀工具依然能够检出病毒，则请通过火绒论坛或者其他官方渠道向我们进行反馈。

意思就是说：重启后再次扫描非强制性，不作强制性要求，所以不进行弹窗说明或者自动弹出的，但是重启后再扫了之后出现的问题就是他们的问题，重启后没有再扫一遍导致的病毒没有处理成功就是用户的问题了

建议重测

paul_guo

感觉这样本是国内的啊

anthonyqian

好奇NPE有没有打开Rootkit扫描~ 这个默认是关闭的



火绒竟然失败了。。。。

傻猪猪米走鸡

这次都是用专杀工具来整哦~我没看清标题 误以为是杀软本体

Mod123xsd

anthonyqian 发表于 2022-1-10 14:37
好奇NPE有没有打开Rootkit扫描~ 这个默认是关闭的

真没注意，重新测一下
已经重测了

00006666

anthonyqian 发表于 2022-1-10 14:37
好奇NPE有没有打开Rootkit扫描~ 这个默认是关闭的

有没有打算在win10系统测试下NPE

dongbingtuo

竟然失败了这么多

dongbingtuo

Mod123xsd 发表于 2022-1-10 14:50
NPE在测试时忘记开启rootkit扫描了，因此这里重新进行测试。
确保rootkit扫描打开后立刻重启电脑， ...

这几个用过360、卡巴、诺顿；
诺顿那个原来给同事染毒机子用过，一言难尽，最后还是重装系统省事；
卡巴那个也用过，能加载的还可以，也遇到过不知为何原因不能正常启动的情况，当时也没深究，直接重装系统了

anthonyqian

Mod123xsd 发表于 2022-1-10 14:43
真没注意，重新测一下
已经重测了

咖啡也重测一下吧，默认也是不扫描rootkit的