染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit？

显示全部楼层 · 发表于 2022-1-11 09:36:20

gtc 发表于 2022-1-11 09:20
完了完了，我的64位8.1系统上不能正常打开ARK，提示错误，点确定后，所有标签内容空白，难道我中了rootkit ...

可能是因为这个ark的驱动(PYArkSafe.sys)签名被吊销了，所以过不了签名验证

不过如果怀疑Rootkit感染，急救箱走一遍流程也无妨

显示全部楼层 · 发表于 2022-1-11 10:27:38

gtc 发表于 2022-1-11 09:20
完了完了，我的64位8.1系统上不能正常打开ARK，提示错误，点确定后，所有标签内容空白，难道我中了rootkit ...

可以试试PCH能不能正常打开。

显示全部楼层 · 发表于 2022-1-11 11:18:20

00006666 发表于 2022-1-11 10:27
可以试试PCH能不能正常打开。

当前在线

显示全部楼层 · 发表于 2022-1-11 11:20:01

本帖最后由 Mod123xsd 于 2022-1-11 11:29 编辑

wwwab 发表于 2022-1-11 06:49
火绒恶性木马专杀工具是会跳转到火绒安全官方论坛一个帖子下载的，里面说明了

使用注意事项：

已经重测，结果重新补充，使用火绒专杀后ARK工具能够正常打开。但奇怪的是昨天测试的时候扫描处理完后并未提示重启，今天扫描处理完后提示发现恶意驱动，重启后才能清除，然后根据提示操作后的确干掉了样本驱动

显示全部楼层 · 发表于 2022-1-11 11:27:01

本帖最后由 00006666 于 2022-1-11 11:28 编辑

Mod123xsd 发表于 2022-1-11 11:20
已经重测，结果重新补充，火绒成功干掉了样本。但奇怪的是昨天测试的时候扫描处理完后并未提示重启，今天 ...

你看一下驱动文件目录，那个文件是不是还在，我感觉火绒专杀可能只是移除服务，没有清除样本。

显示全部楼层 · 发表于 2022-1-11 11:28:30

00006666 发表于 2022-1-11 11:27
你看一下驱动目录，那个文件是不是还在，我感觉火绒专杀可能只是移除服务，没有清除样本。

驱动文件的确还存在，二次扫描后提示未发现威胁

显示全部楼层 · 发表于 2022-1-11 11:29:25

Mod123xsd 发表于 2022-1-11 11:28
驱动文件的确还存在

火绒专杀只是移除了服务，等于停止这个驱动的运行，没有清除驱动。

显示全部楼层 · 发表于 2022-1-11 11:32:19

ANY.LNK 发表于 2022-1-11 08:57
Microsoft Safety Scanner似乎是成功处理了驱动，但没有处理掉相关的注册表服务项，所以驱动移除后会报错
...

https://wss1.cn/f/7bmz9q67gm8 密码:63278120 复制链接到浏览器打开

显示全部楼层 · 发表于 2022-1-11 11:52:36

Mod123xsd 发表于 2022-1-11 11:32
https://wss1.cn/f/7bmz9q67gm8 密码:63278120 复制链接到浏览器打开

已收到样本，感谢

显示全部楼层 · 发表于 2022-1-11 13:13:29

不看不知道，一看吓一跳，还有这么多种急救工具

[讨论] 染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit？