染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit？

显示全部楼层 · 发表于 2022-1-11 13:13:29

不看不知道，一看吓一跳，还有这么多种急救工具

显示全部楼层 · 发表于 2022-1-11 14:09:48

好像没看见比特的？

显示全部楼层 · 发表于 2022-1-11 14:24:43

anthonyqian 发表于 2022-1-10 14:37
好奇NPE有没有打开Rootkit扫描~ 这个默认是关闭的

这个以前是默认打开的，每次用NPE忘关这个开关都要重启才能扫描

显示全部楼层 · 发表于 2022-1-11 14:37:16

360急救箱一直都在线，很不错，

显示全部楼层 · 发表于 2022-1-11 14:42:15

比卡诺微发表于 2022-1-11 14:09
好像没看见比特的？

BD家的工具不知道为什么我下不了，下载链接点进去就是404

显示全部楼层 · 发表于 2022-1-11 15:18:00

swizzer 发表于 2022-1-11 09:36
可能是因为这个ark的驱动(PYArkSafe.sys)签名被吊销了，所以过不了签名验证

不过如果怀疑Rootkit感染 ...

急救箱走了一遍，把我的IDM启动项还有Appcheck的启动和驱动都干掉了，还干掉了两个驱动服务：一个是C:\Windows\system32\MDA_NTDRV.sys，另外一个是C:\Windows\system32\pwdrvio.sys，关键是把ARK的主程序PYArkClient.vmp.exe也一并干掉，扫描完重启后再运行仍然出错，估计程序本身也有问题吧！

显示全部楼层 · 发表于 2022-1-11 15:24:17

gtc 发表于 2022-1-11 15:18
急救箱走了一遍，把我的IDM启动项还有Appcheck的启动和驱动都干掉了，还干掉了两个驱动服务：一个是C:\Wi ...

pwdrvio.sys这个名字看起来挺奇怪的@a27573

显示全部楼层 · 发表于 2022-1-11 15:28:36

本帖最后由 ikochina 于 2022-1-11 15:34 编辑

bbs2811125 发表于 2022-1-10 19:16
大蜘蛛居然翻车

大蜘蛛新版去掉了锁驱功能（禁止其他软件启动），所以现在大蜘蛛绿色扫描器可能还干不过以前（9.0以前）的扫描器。所以要用大蜘蛛清理病毒就用救援盘，效果杠杠的

显示全部楼层 · 发表于 2022-1-11 15:46:45

ikochina 发表于 2022-1-10 23:28
大蜘蛛新版去掉了锁驱功能（禁止其他软件启动），所以现在大蜘蛛绿色扫描器可能还干不过以前（9.0以前） ...

学习了。

显示全部楼层 · 发表于 2022-1-11 15:57:41

这个样本虽然比较旧，不过加载以后ARK还是看不到它的

可以看到对象劫持

[讨论] 染毒环境清除测试第三期---2022年各大杀软的急救箱能否清除2021年的rootkit？

本帖子中包含更多资源