传奇私-Fu rootkit2x及释放程序

显示全部楼层 · 发表于 2022-7-24 20:15:41

00006666 发表于 2022-7-24 20:03
WIN7虚拟机，双击运行释放程序，加载驱动并重启虚拟机

重启后可见

跟之前potplayer白加黑那个一样，开机就重新释放驱动。

显示全部楼层 · 发表于 2022-7-24 20:16:59

本帖最后由 rogersg 于 2022-7-24 20:44 编辑

lvseqiji 发表于 2022-7-24 19:49
ELG不会拦js文件的

编辑

显示全部楼层 · 发表于 2022-7-24 20:18:02

落华无痕发表于 2022-7-24 20:15
跟之前potplayer白加黑那个一样，开机就重新释放驱动。

这种的如果处理不了，一般就是R3的释放程序没拉黑，等360那边拉黑就可以了

@wowocock

显示全部楼层 · 发表于 2022-7-24 20:39:49

rogersg 发表于 2022-7-24 20:16
啊？那这个是啥？确实是LiveGuard检出的吧
https://bbs.kafan.cn/forum.php?mod=redirect&goto=fi ...

不会主动拦截，但手动上传还是会分析的

显示全部楼层 · 发表于 2022-7-24 20:43:03

defender miss

显示全部楼层 · 发表于 2022-7-24 20:44:11

anthonyqian 发表于 2022-7-24 20:39
不会主动拦截，但手动上传还是会分析的

确实，手动右键检测到了

显示全部楼层 · 发表于 2022-7-24 21:01:26

pdfctl32.dll是恶意DLL

双击EXE程序

时间操作说明次数
2022-07-24 20:56:45 [已阻止] 修改驱动/服务防护 1 次
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\79FAA788\[ImagePath]
注册表内容：System32\drivers\1824e823.sys
进程：C:\Users\Administrator\Desktop\text\txt2pdf.exe
父进程：C:\Windows\explorer.exe , (104)
风险文件：C:\Users\Administrator\Desktop\text\pdfctl32.dll
防护信息: FD|3, 41|10, 10, 10|5F7511B4D319866BFC86AADDB77FADCE|e0687de67ffbdc0e4f08020d1fb3f82c6eeab7d7|

复制代码

时间操作说明次数
2022-07-24 20:56:56 [已阻止] 修改驱动/服务防护 1 次
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\79FAA788\[Start]
注册表内容：2
进程：C:\Users\Administrator\Desktop\text\txt2pdf.exe
父进程：C:\Windows\explorer.exe , (104)
风险文件：C:\Users\Administrator\Desktop\text\pdfctl32.dll
全部阻止
防护信息: FD|3, 388|10, 10, -1|5F7511B4D319866BFC86AADDB77FADCE|e0687de67ffbdc0e4f08020d1fb3f82c6eeab7d7|

复制代码

复制代码

显示全部楼层 · 发表于 2022-7-24 21:03:26

Avast miss

显示全部楼层 · 发表于 2022-7-24 21:14:50

感觉和FiveSys有关联......

显示全部楼层 · 发表于 2022-7-24 21:37:14

mcafee 1x

[病毒样本] 传奇私-Fu rootkit2x及释放程序