【木馬】77遊樂新世界 及 中央大學遠距教學網被植木馬

[sai7sai]

引用:

作者: haol

如果中了rootkit掃的到嗎?
答案是.........

偵測很容易，只要加入病毒碼即可，但如果系統已經被Rootkit感染，那很多防毒軟體到現在都不行(不是他們沒有這個技術，而是非常可能造成系統不隱定，所以，不敢加此功能)。

[haol]

引用:

作者: esjustin

大部分的防毒廠商都可以偵測到Rootkit...只是偵測數量的多寡而已

實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目 )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你的av當然對它沒輒

[esjustin]

引用:

作者: haol

實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目 )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你av當然對它沒輒

試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下... (Kaspersky和BD 10都是內建的)

[ㄚ一]

引用:

作者: haol

實際上並不是閣下所說那麼容易偵測到
遇到才知道.......
最近發現2個rootkit.ads.i
皆為.sys (試了f-xx跟soxx anti-rxx都lose)

試了一些工具hijackfrxx(看不到它載入項目 )
還有試了一下費x殺手 kixx
到安全模式下也沒有辦法動到它，av沒發現當然刪不掉

也就是系統中了rootkit後反而被系統保護，你av當然對它沒輒

如果你用kav的話開啟行為判斷
絕對不會有漏網之魚

[haol]

引用:

作者: esjustin

試試看Kaspersky和BD吧...兩者的Anti-Rootkit都不在話下... (Kaspersky和BD 10都是內建的)

當然不行
就算辨識也殺不掉
一開始只是在system32發現一隻dll的木馬，但是那隻木馬卻出奇的強韌，不只是沒有啟動項目，連一些費x殺手、killbxx and hijackthxx連安全模式下連動不了它（拒絕存取，右鍵也沒有剪下 刪除...），試了一些av重開機後還是存在

[haol]

再來推測可能是rootkit，那台電腦沒裝kav
中了毒裝kav也殺不死，使用了f-xx跟soxx的anti-rxx沒反應

http://en.wikipedia.org/wiki/Rootkit
這裡的某工具列出一些.sys可能有問題

[haol]

也試了大陸的3家av線上
只有瑞x有反應
\system32\drivers axx46.sys rootkit.ads.i
\system32\axx46.dll Trojan.DL.QQHelper.emi

roorkit並不是想像中那樣
偵測難(對已中獎來說)，清除也難..
最後靠開機光碟的命令字元刪掉的......

[harry_chang2003]

FORMAT在重灌應該也可以

[haol]

關於axx46.sys的樣本
上傳用virustotal掃，發現大多av都能偵測到，只是在感染時(\system32下)掃不到

1.在中鏢下不易察覺
2.無法清除
搜尋一下rootkit.ads.i，發現大陸很流行，都有殺不掉的情形....

請問sai7sai大大有清除rootkit的方法嗎?

[esjustin]

引用:

作者: haol

當然不行就算辨識也殺不掉

該木馬應該可以複製吧...複製一份給Kaspersky...3個小時之後就抓得到了(1小時內回覆,2小時內更新)..

記得要求在病毒資料庫中加入解毒的方法...