瑞星卡卡安全论坛

中rootkit类木马/后门，现在已经成为一种新的“时髦”。不幸赶上这种“时髦”的朋友们往往头疼不已——难杀！
关于rootkit类木马/后门，目前为止，我只拿到了一个样本。此样本是个夹带rootkit（文件名为msdirectx.sys）的后门，卡巴斯基报——Backdoor.Win32.Irofer.13b04。

关于这个后门，在“Rootkit为什么难缠”一帖中已经粗略的介绍过其感染特点。但是，那个帖子是在监测到病毒文件的条件下谈查杀方法。然而，来求救的朋友们，往往是在不知不觉的情况下感染了这类木马/后门，不知系统中存在那些病毒文件，更不要说病毒文件名及其所在位置了。再者，即使知道了病毒文件名，由于那个msdirectx.sys的掩护，用一般的常规方法在WINDOWS模式下也搜不到病毒文件的位置。
上述内容正是查杀rootkit类木马的难点。怎么办？
有办法。古人云：“工欲善其事，必先利其器”。
因此，先介绍对付这类木马/后门的工具。
【工具1】：DLLCOMPARE（Qoo酷儿汉化，本帖10楼有下载）——侦察可执行文件.exe及其所在位置。
  注：DLLCOMPARE不能放置在带双字节的目录中运行，例如是中文命名的文件夹，即不能放置在“桌面”中运行。
【工具2】：KillBox（Qoo酷儿汉化，本贴11楼有下载）——删除病毒文件.exe。
【工具3】：IceSword——删除.sys文件用（本例是msdirectx.sys）。IceSword是免费软件，网上可以找到。目前最新版本是1.10。

接下来说说查杀过程：
1、重启到安全模式下。运行DLLCOMPARE，扫描、比较C盘中的.exe（图1、图2），找到多出来的那些.exe（图3），很可能就是你要找的病毒创建的可执行文件。
2、接着，在安全模式下，确认病毒文件名及其所在路径后，用KillBox强行删除病毒的.exe文件（图4）。
3、重启到普通WINDOWS 模式后，用WINDOWS的搜索功能寻找病毒的“隐身工具”——msdirectx.sys（图5）。找到后，用IceSword删除。
4、搜索病毒在注册表中添加的键值（图6）。找到后删除（图7、图8）。

至此，杀毒操作完成。

注1：DLLCOMPARE扫出来的“多余文件”并非全部是病毒文件，应仔细甄别。如果确实搞不清楚那个是病毒文件，删除前务必备份待删除的文件，以防误删！
注2：本贴是就一个特定的样本谈被动中招后的手工查杀思路与操作。病毒、木马的变种不止这一个。自己动手查杀时，请不要拘泥于本帖提到的具体的病毒文件名。不同的变种感染系统后，生成的病毒文件名是不一样的。

图1


附件: 1558472005718151139.jpg

2

附件: 1558472005718151348.jpg

3

附件: 1558472005718151438.jpg

4

附件: 1558472005718151605.jpg

5

附件: 1558472005718151750.jpg

6

附件: 1558472005718151926.jpg

7

附件: 1558472005718173348.jpg

抱歉啊！“花落花又开”，借你的地方补充一张遗漏的图：

图8

附件: 1558472005719121808.jpg

这个病，卡巴的确能杀，而且是种了毒后的带毒查杀。
但重启后，会提示某东东系统无法加载。
嘿嘿，修改一下注册表就好了。

对于很多人来说，这很专业。
版主的工具在那弄来的，我想版主有必要上传的。

老实说我啥都看不懂,期望高手们能多发些学习的帖子,谢谢啦

引用:

【我无邪的贴子】这个病，卡巴的确能杀，而且是种了毒后的带毒查杀。 但重启后，会提示某东东系统无法加载。 嘿嘿，修改一下注册表就好了。 对于很多人来说，这很专业。 版主的工具在那弄来的，我想版主有必要上传的。 ...........................

DLLCOMPARE?
在附件里

附件: 1558472005718155517.rar

【回复“baohe”的帖子】
KillBox在附件中。

附件: 1558472005718162444.rar

我的电脑中了WINDOWS的木马要解压杀不掉啊!!!谁能教教我?

这个工具太好了,谢谢baohe!

我这有个病毒:Trojan.Rootkit.k也能杀吗?

引用:

【rebeccah的贴子】我这有个病毒:Trojan.Rootkit.k也能杀吗? ...........................

你参考这个帖子的思路，试试。不要生搬硬套，不要“刻舟求剑”。我这个帖子谈的只是一个特定后门的查杀。

我新电脑中了这毒TROJAN。ROOTKIT。K
我按你的方法的做的。。
但是第三张图那。。我导出的文本里什么EXE文件都没有啊。。
怎么回事啊。。
另外瑞星帮我发现的rdriv.sys  因该就我是这毒的文件吧。。WINDOWS下找不到。。
能用什么办法直接删吗？快恢复我吧

如果能加我QQ就最好了86702308
如果加我告诉我
我再上。。病毒太害人了。。

引用:

【deadfish的贴子】我新电脑中了这毒TROJAN。ROOTKIT。K 我按你的方法的做的。。 但是第三张图那。。我导出的文本里什么EXE文件都没有啊。。 怎么回事啊。。 另外瑞星帮我发现的rdriv.sys  因该就我是这毒的文件吧。。WINDOWS下找不到。。 能用什么办法直接删吗？快恢复我吧 ...........................

在安全模式下用DLLCOMPARE扫的？扫的是C:\的.exe文件？

DLLCOMPARE下了不能运行啊,版主再发一次啊

引用:

【baohe的贴子】 在安全模式下用DLLCOMPARE扫的？扫的是C:\的.exe文件？ ...........................

是啊

引用:

【626917的贴子】DLLCOMPARE下了不能运行啊,版主再发一次啊 ...........................

怎么可能呢？我传得附件是保证能使的。上传后，我自己会下载一次，解压，确定能运行使用。这是我传工具的习惯。

哦~没扫C盘 扫的SYSTEM32里的。。他默认的。。
安全模式下我又上不了网。看不到帖子。。所以错了~呵呵

不好意思啊。。我菜菜。。怎么开安全模式我都上网查的。。马上有问题还得求你哦。。。

电脑自己重启就是这个病毒干的吗

另外。。防火墙老提示有攻击漏洞的。。防火墙能防住吗？还是必须要下补丁？瑞星里提供的地址一个都用不了啊。。怎么办

我在安全模式下是能把这个文件删除，也能杀掉，但重新启动电脑就又出现此毒，每次启动电脑需要好几次才可以，这是怎么回事。

收藏．学习．

楼主有没有简单一点的法子啊  看不懂啊

引用:

【hellokiddy的贴子】收藏．学习． ...........................

头像是赤沙之蝎哈

这是防火墙里的东东。。我也不知道哪些是干什么的。。谁能指导一下。。把哪个关了

附件: 5432052005718204856.JPG