今日份RootKit

显示全部楼层 · 发表于 2022-10-29 14:27:12

在 C:\Users\xxxx\Desktop\Temp\virus\drivers1.zip->drivers1\egidxgzdq.sys 中发现 Packed.Blackv.mkr 病毒, 发现病毒
在 C:\Users\xxxx\Desktop\Temp\virus\drivers1\egidxgzdq.sys 中发现 Packed.Blackv.mkr 病毒, 发现病毒

显示全部楼层 · 发表于 2022-10-29 14:34:27

显示全部楼层 · 发表于 2022-10-29 15:06:25

金山安全终端kill all

显示全部楼层 · 发表于 2022-10-29 15:11:05

NPE扫描

显示全部楼层 · 发表于 2022-10-29 15:14:51

这个随机名字，是熟悉的味道

应该是传奇私-Fu那个驱动更新了

显示全部楼层 · 发表于 2022-10-29 15:39:58

能方便把火绒专杀的日志丢上来嘛

显示全部楼层 · 发表于 2022-10-29 16:13:32

@火绒工程师专杀工具没有全面清理细节优化下喽

显示全部楼层 · 发表于 2022-10-29 16:15:54

123456aaaafsdeg 发表于 2022-10-29 15:39
能方便把火绒专杀的日志丢上来嘛

丢上来咱们也看不懂有人展示过好像是内存数据还是什么反正应该是二进制的不是直观的

显示全部楼层 · 发表于 2022-10-29 16:49:20

本帖最后由 123456aaaafsdeg 于 2022-10-29 17:43 编辑

你开心就好发表于 2022-10-29 16:15
丢上来咱们也看不懂有人展示过好像是内存数据还是什么反正应该是二进制的不是直观的

编辑

显示全部楼层 · 发表于 2022-10-29 17:05:15

本帖最后由 wwwab 于 2022-10-29 17:06 编辑

你开心就好发表于 2022-10-29 16:13
@火绒工程师专杀工具没有全面清理细节优化下喽

这个倒是没事儿，hook回调和加载注册表都被干掉了，剩下来的驱动文件都是没有被加载状态下的，可以直接被拖入回收站删除或者正常查杀，无害....

[病毒样本] 今日份RootKit

本帖子中包含更多资源

本帖子中包含更多资源