AVG8.0揪出一个rootkit，谁知道这啥玩意儿？（答案见16楼）

旦一刀

确实，再次重启后，前两次查到的怪东西都不见了，又查到一个apmx6r5c.sys，与前两次情况完全一样，就是名字变了
看来是每次重启都会生成一个隐藏的钩子

[ 本帖最后由 旦一刀 于 2008-12-17 20:52 编辑 ]

旦一刀

不懂mbr
也没用过EQ，要先补习一下了。。

zhangxueyou

rootkitbuster，是trend趋势出的，支持扫描 MBR
一般没有问题的话，扫描出来会是这样的结果
+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.2.0.1014
+----------------------------------------------------

--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.
--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
No hidden processes found.
--== Dump Hidden Driver ==--
No hidden drivers found.

聊胜与无，可以下了实验一下，sina下载地址
http://down1.tech.sina.com.cn/download/down_contents/1177776000/35353.shtml

旦一刀

好啊，谢谢大家，我有点怀疑是eboostr或者ramdisk在启动的时候加了什么动作，这两个东西我都用了
没有证据，只能说对自己的电脑安全很自信，暂时不太相信会有活马或者活病毒一直生活在我机子里
刚装好EQ，等我重启下看看日志先

旦一刀

来报告一下，用EQ监控重启过程，没找到什么
用Trend Micro RootkitBuster扫描，结果是

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.2.0.1014
+----------------------------------------------------

--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.
--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.

--== Dump Hidden Process ==--
No hidden processes found.
--== Dump Hidden Driver ==--
No hidden drivers found.

莫衷一是了。。。AVG 8.0现在是绝对的少数派，难道真理掌握在他手里吗？
如果说我居然真的中招了，那么——
一、这个毒很厉害
二、AVG8.0也很厉害

[ 本帖最后由 旦一刀 于 2008-12-17 22:41 编辑 ]

旦一刀

ok ,从坛子里下了强悍的Rootkit_Unhooker v3.8.342.554 汉化版
果然厉害啊，找到了这个东东
本次重启后用AVG 8.0扫描rootkit，告诉我说这个隐藏驱动现在叫ayt4gks9.SYS
打开Rootkit_Unhooker，drivers选项卡下真的有这么一项，右键看它属性，见下面两幅图
源文件是atapi.sys，好了，那么是光驱的驱动程序，哈，我确实装了DT

那没问题了吧？期待高手来安慰我一下，看看我分析得对头不？




[ 本帖最后由 旦一刀 于 2008-12-17 23:10 编辑 ]

旦一刀

现在似乎是知道答案了，但。。。我不知道该夸AVG8.0 还是该把它卸掉。。

konglingzi

强大的AVG8。扫是扫出来，但自己判断是不是马……

旦一刀

老是给人出题目的安全软件。。。暂时先用用看吧
主要是惯性啊，用惯了AVG 7.5

jpzy

暂时性的卸载DT，然后重启看看这个驱动到底还有没有！