RogueKiller
手机扫码下载
应用截图
应用介绍
RogueKiller是一款反恶意软件,可以检测和删除rootkit、小偷和蠕虫,就像一般的恶意软件和高级威胁一样。它还检测有争议的程序(PUP)和可能的不良系统修改/损坏(PUMS)。
软件说明:
RogueKiller是常规和高级扫描仪的混合体。
这意味着我们正在尽最大努力感染和删除它们,而不需要用户成为恶意软件专家。
但在某些情况下,这是不可能的,启发式引擎会告诉你一些可疑的东西,你需要专家的意见来告诉你是否要删除这个项目。
还是那句话,如果你不知道自己在做什么,请提问。它永远不会伤害请求。
功能特点:
1.预扫描
预扫描要尽快开始。你开始RogueKiller。
它可以扫描和阻止恶意进程,恶意服务,加载驱动程序,并做一些版本检查。
它不会删除计算机上的任何内容,因此此时只需简单的重启就可以将所有内容恢复到初始状态(包括恶意软件)。
除非EULA第一次被接受,否则不需要任何操作。
RogueKiller可以检测可用的新版本并提供下载。
您可以选择接受(如果您没有高级用户,请重定向到下载页面)或放弃。
在这种情况下,您可以继续使用该程序的过时版本。强烈建议始终运行最新版本!
已停止的进程/服务列表可在进程选项卡中找到。
重要提示:驱动程序是在“驱动程序”图标(绿色/红色)变成绿色后加载的。
如果版本(32/64位)与您的电脑不匹配,则无法加载驱动程序。
该驱动程序对于恶意软件删除不是必需的,但对于在内核中搜索/破坏rootkit是有用的,所以请确保您下载了正确的版本。
扫描
触发扫描的扫描按钮。这是预扫描后的第一个自然步骤。
扫描不会修改系统中的处理,因为它会列出并显示问题。
扫描完成后,可以通过单击报告按钮生成文本报告(可以导出为HTML、文本或JSON格式)。
检测COLORS:
在RogueKiler中,检测到颜色标准化。
-红色:已知恶意软件-最高检测率
-橙色:可能是恶意软件-通常有一个可疑的路径,或者它被标记为PUP/PUM(潜在有害的程序/修改)
-绿色:不了解恶意软件-这意味着该项目只是显示的信息,但它不应该被删除(除非你决定它是)
修复缺失:
单击“删除”按钮可触发此删除操作.在此之前,用户必须在不同的选项卡上检查最后一次扫描结果,或者用文字报告。
如果某些项目看起来合法,您必须排除之前取消选中的可能性(请通过电子邮件通知他们的团队)。
不像扫描、删除、修改系统,因为这是恶意软件的方式,所以必须清理。但是,每次修改都是第一个被隔离的。
删除完成后,可以通过单击报告按钮生成文本报告。
该程序可能会要求重新启动计算机。
如果出现这种情况,你应该接受,因为有些恶意软件只有重启后才能删除并可能重新激活,否则。
HOSTS 修复:
Hosts文件是一个Windows配置文件,它将域名重定向到一些IP地址。
我们通常用它来禁止网站,或者绑定本地地址(例如:192.168.1.12)
以下是合法重定向的一些示例:
27.0.0.1本地主机(默认情况下,Windows主机文件)
27.0.0.1 www . malware _ website.com(阻止访问危险网站)
192.168.1.12 my_local_website(文本地址绑定本地IP)
恶意软件可以利用它重定向合法网址恶意软件的服务器,顺便感染新用户。恶意软件的使用示例如下:
13 . 456 . 789 . 10 www.google.com(重定向一个知名网站,一个未知的IP恶意软件服务器)
15 . 498 . 156 . 14 www.facebook.com(重定向一个知名网站,一个未知的IP恶意软件服务器)
这些线路必须清理。
将显示在“主机”选项卡中扫描的主机文件的内容,或与报告中的部分同名。
修复按钮可以用来重置这个文件的内容,默认只有现有的生产线:127.0.0.1本地主机。
ANTIROOTKIT TAB
此反rootkit选项卡显示有关rootkit可能对系统进行的修改的信息:
-系统服务调度表(SSDT)-显示了非常流行的API。
-影子SSDT(SSDT)-显示了非常令人愉快的API。
-内联SSDT-显示了挂钩修补程序的API。
-IRP钩子-显示主函数被钩住的驱动程序。
-IAT/EAT hook-显示包含注入代码的DLL的过程。
重要提示:Antirootkit列出的系统修改仅供参考。
它们无法被检查出来,因为它们本身不是恶意软件,一个可能的恶意软件只是一个后果。
移除这些项目将是无用的,并且对系统的稳定性有潜在的危险。
MBR TAB
在主引导记录选项卡上显示该机器的主引导记录(MBR)信息。
这是硬盘驱动器,它包含有关分区的大小/位置和引导代码的信息的第一个扇区,这允许操作系统启动启动盘。
一些恶意软件被称为Bootkits,如TDSS、MaxSST或砸死任何代码(boot)启动自己的模块或分区表来引导假分区,在操作系统启动前启动自己的模块(以及杀毒保护!)。
RogueKiller允许bootkits被检测和删除,即使他们试图隐藏自己。
一些提示可以表明MBR是合法的:bootstrapping是已知且合法的。
然后,不同的尝试读取MBR(在不同的级别)将返回相同的结果(这意味着它没有隐藏在MBR中)。
这是一个干净的膜生物反应器的例子。Bootstrapping (BSP)是合法的(Windows XP),用户读取,LL1和LL2返回同样的东西。
MBR Verif: PhysicalDrive0:VBOX硬盘
-用户-
[MBR]c 708 b 764 ca 9 da a4 F8 f 33 e 4 E8 B3 b 517 da
F4 EB 87199 ee8a 432 bb 482 bb 55118447:用于Windows XP的MBR代码
分区表:
0-[激活] NTFS(007)[可见]偏移量(行业):63 |大小:4086 Mo
用户=LL1.好吧!
用户=LL2.好吧!
这是传染性MBR的例子。Bootstrapping (BSP)是合法的(windows 7旗舰版),但这个LL1方法返回不同的东西。最后,还有一个隐藏rootkit(MaxSST)的Ghost分区。
Mbr验证:物理驱动器0:日立HDS721032CLA362
-用户-
[MBR]a 1e 2 C1 a 0 C1 FB 3 db 806 dcbb 65 fdbf 8384
[bsp]0 DC 0d 942 fc 9152 DC 059 C7 e 021 D2 ad 3 db:windows 7的MBR代码
分区表:
0-[激活] NTFS(007)[可见]偏移量(行业):2048 |大小:100口
1-[XXXXXX] NTFS(007)[可见]偏移量(行业):206848 |大小:305129 Mo
用户!=LL1.KO!
- LL1 -
[MBR]501 fcd 9 f 60449033 a7b 892d 424337836
[bsp]0 DC 0d 942 fc 9152 DC 059 c 7 e 021d 2 ad 3 db:windows 7的MBR代码[2可能的maxSST!]
分区表:
0-[XXXXXX] NTFS(007)[可视]偏移量(行业):2048 |大小:100口
1-[XXXXXX] NTFS(007)[可见]偏移量(行业):206848 |大小:305129 Mo
2-[激活] NTFS(已经是0x17隐藏]偏移量(行业):625113088 |大小:10mo
-这是另一个感染MBR的例子。自举(BSP)感染MaxSS.t
16
-用户-
[MBR]318 e 94 AC 5 cf 893 f8e 2e d 0643494 e 740 e
[bsp]07a 9005 c cf 77d 28 c 668138 E4 d 42d 65:maxss MBR代码!
分区表:
0-[XXXXXX] fat32-LBA(在0x1C) [隐藏]偏移量(行业):2048 |大小:13,000 mo
1-[Activate] NTFS(007)[可见]偏移量(行业):26626048 |大小:119235 Mo
2-[XXXXXX] EXTEN-LBA (0x0F)[可见]偏移量(行业):270819328 |大小:344703 Mo
用户=LL1.好吧!
用户=LL2.好吧!
当MBR被感染时,可以通过检查MBR选项卡中的相应行来恢复。
Web浏览器
RogueKiller可以检查网页浏览器的配置和插件。
该行仅指示它们是恶意的还是可疑的,并且显示所有插件。
关于插件,文字报告中只显示恶意软件插件,或者选择删除的。
重要提示:列出的所有插件不一定都是恶意软件,这一点非常重要。你不应该检查所有这些并删除它们。请看一下检测颜色和厂商名称。
HONEY模块
RogueKiller可以在离线模式下读取Windows荨麻疹,消毒的启动文件夹:
-清洗位于外部硬盘上的操作系统(系统硬盘等除外)。).
-清洗机从现场光盘启动(例如:OTLPE)
当rootkit隐藏/保护其注册表项时,或者当计算机被勒索锁定时,这可能是有用的。
使用方法
1下载后,不要运行压缩包里的软件直接使用,先解压;
软件还支持32位64位运行环境;
3如果软件不能正常打开,请右击以管理员模式运行。
更新日志
1.性能体验的优化和改进
2.修复了已知的错误。
