Bitdefender扫出的，无法处理的”rootkit“

显示全部楼层 · 发表于 2023-7-5 14:15:12

本帖最后由 huangzihang 于 2023-7-5 14:16 编辑

最后去PE系统下手撕的

查了下好像是火绒剑的驱动（）

项目路径
威胁名称
最终状态
C:\Windows\System32\drivers\hrwfpdrv.sys
Gen:Variant.Application.RiskTool.HRSword.1
感染
C:\Windows\System32\drivers\hrwfpdrv_win10.sys
Gen:Variant.Application.RiskTool.HRSword.1
感染
C:\Windows\System32\drivers\sysdiag_win10.sys
Gen:Variant.Application.RiskTool.HRSword.1
感染
C:\Windows\System32\drivers\.tr28A.tmp
Gen:Variant.Application.RiskTool.HRSword.1
感染

显示全部楼层 · 发表于 2023-7-5 14:17:47

本帖最后由 hansyu 于 2023-7-5 14:18 编辑

不提权也漏吗？这看上去像火绒的驱动啊？

显示全部楼层 · 发表于 2023-7-5 14:19:25

hansyu 发表于 2023-7-5 14:17
不提权也漏吗？

drivers下的sys，不知道加载了没有，反正无法处理
不敢用ARK去乱炸，功夫不到家。
最后选择了最保险的方法：在Winpe下把它们剪切出来，再重启

显示全部楼层 · 发表于 2023-7-5 14:20:38

huangzihang 发表于 2023-7-5 14:19
drivers下的sys，不知道加载了没有，反正无法处理
不敢用ARK去乱炸，功夫不到家。
最后选择了最保险的 ...

诺顿全部信任，而且用户量都是成千上万。
应该是火绒的驱动。

显示全部楼层 · 发表于 2023-7-5 14:31:37

EMSI

显示全部楼层 · 发表于 2023-7-5 14:45:59

火绒剑报RiskTool感觉没问题

显示全部楼层 · 发表于 2023-7-5 14:46:54

Gen:Variant.Application.RiskTool.HRSword.1 指名道姓了属于是，大概是因为火绒的驱动被白利用过

显示全部楼层 · 发表于 2023-7-5 14:47:37

Jirehlov1234 发表于 2023-7-5 14:45
火绒剑报RiskTool感觉没问题

hrwfpdrv这个好像是火绒防火墙驱动

显示全部楼层 · 发表于 2023-7-5 15:05:55

eset扫描均不杀

显示全部楼层 · 发表于 2023-7-5 17:20:41

火绒剑被拉黑了吧，估计有人用火绒剑绕过信任机制瞎搞？

[误报文件] Bitdefender扫出的，无法处理的”rootkit“

本帖子中包含更多资源

本帖子中包含更多资源