/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
/中文/
RogueKiller是一个反恶意软件,可以检测和删除常见的恶意软件和先进的威胁,如rootkit,小偷和蠕虫。它还检测有争议的程序(pup)和可能的坏系统修改/损坏(pups)。
RogueKiller是普通扫描仪和高级扫描仪的混合体。
这意味着我们正在尽最大努力感染和删除它们,而用户不会成为恶意软件专家。
但是在某些情况下,这是不可能的,启发式引擎告诉你的是可疑的,所以你需要专家的建议来告诉你是否删除这个项目。
同样的,如果你不知道自己在做什么,请问。它从不伤害需求。
1.预扫描
您一启动RogueKiller,预扫描就开始了
它可以扫描和停止恶意进程和服务,加载驱动程序,并进行一些版本检查。
它不会删除计算机上的任何东西,所以简单的重启就可以将一切恢复到原始状态(包括恶意软件)。
除非你第一次接受EULA,否则不需要采取任何行动。
RogueKiller可以检测到可用的新版本并提供下载。
您可以选择接受(如果没有高级用户,则重定向到下载页面)或放弃。
在这种情况下,您可以继续使用该程序的过时版本。强烈建议始终运行最新版本!
已停止的进程/服务列表可在进程选项卡中找到。
重要提示:驱动程序在“驱动程序”图标(绿色/红色)变为绿色后加载。
如果版本(32/64位)与您的计算机不匹配,则无法加载驱动程序。
驱动不需要清理恶意软件,但是在内核中搜索/销毁rootkit很有用,所以请确保下载正确的版本。
2.扫描
扫描按钮由扫描触发。这是预扫描后的第一个自然步骤。
扫描不会修改系统中的处理,因为它会列出问题并显示它们。
扫描完成后,可以通过单击“报告”按钮以超文本标记语言、文本或JSON格式导出文本报告。
在RogueKiler中,检测到颜色标准化。
-红色:已知恶意软件-最高检测率
-橙色:可能的恶意软件-通常有一个可疑的路径,或者它被标记为PUP/PUM(潜在的有害程序/修改)
-绿色:我不知道恶意软件-这意味着该项目只是显示的信息,但不应该被删除(除非你决定它是)
在通过点击删除按钮触发删除之前.用户必须将上次扫描的结果检查到不同的选项卡上,或者用文字报告。
如果有些项目似乎是合法的,您必须消除之前取消选中它们的可能性(并通过电子邮件通知他们的团队,请)。
与扫描、删除和修改系统不同,因为这是恶意软件的方式,所以必须删除。但是,每一次修改都是第一次被孤立。
删除完成后,可以通过单击报告按钮生成文本报告。
该程序可能需要重新启动计算机。
如果出现这种情况,你应该接受,因为有些恶意软件只能删除,重启后可能会重新激活,否则。
Hosts文件是Windows配置文件,它将域名重定向到一些IP地址。
我们通常使用它来禁止访问网站或绑定本地地址(例如:192.168.1.12)
以下是一些合法重定向的示例:
127.0.0.1本地主机(默认为Windows主机文件)
127 . 0 . 0 . 1 www . malware _ website.com(防止访问危险网站)
192.168.1.12我的_本地_网站(文本地址绑定到本地IP)
恶意软件可以利用它将合法的网址重定向到恶意软件服务器,并顺便感染新用户。恶意软件使用示例如下:
123 . 456 . 789 . 10 www.google.com(重定向一个知名网站,一个未知的IP恶意软件服务器)
165 . 498 . 156 . 14 www.facebook.com(重定向一个知名网站,一个未知的IP恶意软件服务器)
这些线路必须清除。
在“主机”选项卡上扫描后,会显示主机文件的内容,或者显示在与报告中的某些内容相同的名称下。
默认情况下,主机修复按钮可用于用唯一现有的生产线重置该文件的内容:127.0.0.1本地主机
此反rootkit选项卡显示rootkit可能进行的系统修改信息:
-系统服务计划表(SSDT)-显示吸引人的应用编程接口。
——影子SSDT(S _ SSDT)——展示吸引人的API。
-内联SSDT-显示挂钩热补丁的应用编程接口。
-IRP胡克-展示了对主要功能着迷的司机。
-IAT/EAT挂钩-显示包含注入代码的DLL的过程。
重要提示:Antirootkit列出的系统修改仅供参考。
它们不能被检出,因为它们本身不是恶意软件,可能的恶意软件只是一个后果。
移除这些项目将是无用的,并且对系统的稳定性有潜在的危险。
h3>MBR TAB在MBR选项卡显示本机的主引导记录(MBR)的信息。
这是硬盘驱动器,其中包含有关分区的大小/位置和引导代码,允许启动一个启动盘的操作系统这两个信息的第一个扇区。
一些恶意软件被称为Bootkits,如TDSS,MaxSST或砸死修改任何代码(引导)推出自己的模块或分区表引导的假分区,并开始自己的模块在操作系统启动之前(和防病毒保护!)。
RogueKiller允许检测和删除bootkits,甚至当他们试图隐藏自己。
一些提示可以表明,MBR是合法的:自举是已知的,合法的。
然后,将不同的尝试读取MBR(不同级别)返回相同的结果(这意味着在MBR不隐藏)。
- 这里有干净的膜生物反应器的一个例子。自举(BSP)是合法的(Windows XP)中,用户读取,LL1和LL2返回同样的事情。
MBR Verif:+++++ PhysicalDrive0:VBOX HARDDISK +++++
- 用户 -
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447:Windows XP的MBR代码
分区表:
0 - [激活] NTFS(0×07)[可见]偏移(行业):63 |尺寸:4086莫
用户= LL1 ... OK!
用户= LL2 ... OK!
- 这里有传染性MBR的例子。自举(BSP)是合法的(视窗7),但该LL1方法返回不同的东西。最后,还有一个Ghost分区隐藏的rootkit的(MaxSST)。
MBR Verif:¤¤¤+++++ PhysicalDrive0:日立HDS721032CLA362 +++++
- 用户 -
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db:Windows 7的MBR代码
分区表:
0 - [激活] NTFS(0×07)[可见]偏移(行业):2048 |大小:百口莫
1 - [XXXXXX] NTFS(0×07)[可见]偏移(行业):206848 |大小:305129莫
用户!= LL1 ...... KO!
- LL1 -
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db:Windows 7的MBR代码[2可能maxSST!]
分区表:
0 - [XXXXXX] NTFS(0×07)[可见]偏移(行业):2048 |大小:百口莫
1 - [XXXXXX] NTFS(0×07)[可见]偏移(行业):206848 |大小:305129莫
2 - [激活] NTFS(0x17已)[!HIDDEN]偏移量(行业):625113088 |尺寸:10莫
- 下面是感染MBR的另一个例子。自举(BSP)感染MaxSS.t。
¤¤¤MBR检查:¤¤¤+++++ PhysicalDrive0:ST9500325AS +++++
- 用户 -
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65:MaxSS MBR代码!
分区表:
0 - [XXXXXX] FAT32-LBA(0x1C处)[!HIDDEN]偏移量(行业):2048 |大小:13000莫
1 - [激活] NTFS(0×07)[可见]偏移(行业):26626048 |大小:119235莫
2 - [XXXXXX] EXTEN-LBA(为0x0F)[可见]偏移(行业):270819328 |大小:344703莫
用户= LL1 ... OK!
用户= LL2 ... OK!
当MBR被感染,就可以通过检查MBR选项卡中的相应行恢复。
RogueKiller可以检查Web浏览器的配置和插件。
配置线仅表示如果他们是恶意的或可疑的,而所有的插件都显示出来。
关于插件,只有该恶意软件插件显示在文本报告,或那些选择删除。
重要提示:这是非常重要的一点是列出的所有插件不一定是恶意软件,你不应该检查所有这些,删除,请看看检测颜色和供应商名称。
RogueKiller能够读取的Windows荨麻疹在离线模式,以及消毒的启动文件夹:
- 清洁位于外部硬盘驱动器(除系统硬盘驱动器等)上的操作系统。
- 清洁机器从现场光盘启动(例如:OTLPE)
当一个rootkit隐藏/保护其注册表项时,或者当计算机受勒索锁定这可能是有用的。
1 下载完成后不要在压缩包内运行软件直接使用,先解压;
2 软件同时支持32位64位运行环境;
3 如果软件无法正常打开,请右键使用管理员模式运行。
1、性能体验优化提升
2、修复了已知bug