手工处理典型rootkit一例(sreng,冰刃,wsyscheck,rku等无法运行)
这是一个典型的rootkit程序,有很高的隐藏性能,在它的驱动没拆卸前,无法使用常规的辅助软件
(卡
卡,清理专家,360,sreng,rku等)定位它的病毒文件和注册表值。希望这篇文章有助于大家对
rootkit的理解&查杀能力。
运行样本中的serial.exe,等待一段时间后。。。
附件:
您所在的用户组无法下载或查看附件ok,现在我们尝试一般手段处理。
运行sreng,ok能打开界面,但是点击扫描。。。。假死了。
换个修改版的sreng《后台运行的sreng》点击运行,当然也能运行,但是过了很久很久,还是没生成扫
描报告,打开任务管理器,发现它的进程在100%左右徘徊,肯定也假死了。
附件: 您所在的用户组无法下载或查看附件
附件:
您所在的用户组无法下载或查看附件重启后,运行wsyscheck,直接出错。 附件:
您所在的用户组无法下载或查看附件运行冰刃,冰刃没有任何的反应。
我们尝试用rku,进行rootkit检测,能检测出一个srosa.sys用code hook手段劫持了几个内核函数。但是无法给出这个驱动的地址。 附件:
您所在的用户组无法下载或查看附件无法删除这个驱动,即使unhook掉了被挂钩的内核函数,也不能显示病毒文件。。
现在尝试另外的一个rootkit检测程序,也是比较BT的
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件终于定位了驱动文件,srosa.sys和srosa2.sys。用xdelbox删除
附件:
您所在的用户组无法下载或查看附件图解XDelBox的使用删除后,重新启动,很快就可以用sreng或wsyscheck定位到以下三个文件。
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\winems.exe
C:\Documents and Settings\chenlei\Application Data\m\flec006.exe轻松的删除
还有一堆下载的东西:在C:\WINDOWS\system32\drivers\downld下
附件:
您所在的用户组无法下载或查看附件删除方法汇总最后打开注册表搜寻,删除病毒留下的垃圾值。
用sreng修复安全模式。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; CIBA; TheWorld)
