楼主: Mod123xsd
收起左侧

[讨论] 染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit?

  [复制链接]
swizzer
发表于 2022-1-11 09:36:20 | 显示全部楼层
gtc 发表于 2022-1-11 09:20
完了完了,我的64位8.1系统上不能正常打开ARK,提示错误,点确定后,所有标签内容空白,难道我中了rootkit ...

可能是因为这个ark的驱动(PYArkSafe.sys)签名被吊销了,所以过不了签名验证

不过如果怀疑Rootkit感染,急救箱走一遍流程也无妨
00006666
发表于 2022-1-11 10:27:38 | 显示全部楼层
gtc 发表于 2022-1-11 09:20
完了完了,我的64位8.1系统上不能正常打开ARK,提示错误,点确定后,所有标签内容空白,难道我中了rootkit ...

可以试试PCH能不能正常打开。
vaedzy
头像被屏蔽
发表于 2022-1-11 11:18:20 | 显示全部楼层
00006666 发表于 2022-1-11 10:27
可以试试PCH能不能正常打开。

当前在线
Mod123xsd
 楼主| 发表于 2022-1-11 11:20:01 | 显示全部楼层
本帖最后由 Mod123xsd 于 2022-1-11 11:29 编辑
wwwab 发表于 2022-1-11 06:49
火绒恶性木马专杀工具是会跳转到火绒安全官方论坛一个帖子下载的,里面说明了

使用注意事项:

已经重测,结果重新补充,使用火绒专杀后ARK工具能够正常打开。但奇怪的是昨天测试的时候扫描处理完后并未提示重启,今天扫描处理完后提示发现恶意驱动,重启后才能清除,然后根据提示操作后的确干掉了样本驱动
00006666
发表于 2022-1-11 11:27:01 | 显示全部楼层
本帖最后由 00006666 于 2022-1-11 11:28 编辑
Mod123xsd 发表于 2022-1-11 11:20
已经重测,结果重新补充,火绒成功干掉了样本。但奇怪的是昨天测试的时候扫描处理完后并未提示重启,今天 ...

你看一下驱动文件目录,那个文件是不是还在,我感觉火绒专杀可能只是移除服务,没有清除样本。
Mod123xsd
 楼主| 发表于 2022-1-11 11:28:30 | 显示全部楼层
00006666 发表于 2022-1-11 11:27
你看一下驱动目录,那个文件是不是还在,我感觉火绒专杀可能只是移除服务,没有清除样本。

驱动文件的确还存在,二次扫描后提示未发现威胁
00006666
发表于 2022-1-11 11:29:25 | 显示全部楼层
Mod123xsd 发表于 2022-1-11 11:28
驱动文件的确还存在

火绒专杀只是移除了服务,等于停止这个驱动的运行,没有清除驱动。
Mod123xsd
 楼主| 发表于 2022-1-11 11:32:19 | 显示全部楼层
ANY.LNK 发表于 2022-1-11 08:57
Microsoft Safety Scanner似乎是成功处理了驱动,但没有处理掉相关的注册表服务项,所以驱动移除后会报错
...

https://wss1.cn/f/7bmz9q67gm8 密码:63278120 复制链接到浏览器打开
ANY.LNK
发表于 2022-1-11 11:52:36 | 显示全部楼层
Mod123xsd 发表于 2022-1-11 11:32
https://wss1.cn/f/7bmz9q67gm8 密码:63278120 复制链接到浏览器打开

已收到样本,感谢
我是风我是风
发表于 2022-1-11 13:13:29 | 显示全部楼层
不看不知道,一看吓一跳,还有这么多种急救工具
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:30 , Processed in 0.103145 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表