RogueKiller

RogueKiller是一种反恶意软件能够检测并删除通用恶意软件和先进的威胁一样的rootkit，盗贼，蠕虫。它还检测争议的程序（PUP），以及可能出现的坏系统修改/损坏（PUMS）。

软件说明：

RogueKiller是一个经常和先进的扫描仪的混合。

这意味着我们正在尽最大的目标感染和删除它们，而不需要用户成为恶意软件的专家。

但在某些情况下，这是不可能的和启发式引擎讲述的东西是可疑的，您需要专家的意见告诉你删除与否的项目。

同样，如果你不知道你在做什么，请询问。它从未伤害要求。

功能特点：

1. 预扫描

预扫描是尽快启动你开始RogueKiller。

它可以扫描并停止恶意进程，恶意服务，加载驱动程序，并做一些版本检查。

它不会在电脑上删除任何东西，所以此时一个简单的重新启动恢复一切都在初始状态（包括恶意软件）。

不需要任何操作，除非接受EULA的第一次。

RogueKiller可以检测到可用的新版本，并提供下载。

您可以选择接受（并重定向到下载页面，如果没有一个高级用户）或下降。

在这种情况下，您可以继续使用该程序的过时的版本。强烈建议始终运行最新版本！

停止的进程列表/服务在进程选项卡中找到。

重要说明：“驱动程序”图标（绿/红方）变为绿色后的驱动程序加载。

该驱动程序无法加载，如果版本（32/64位）不匹配你的电脑是什么。

驱动程序是没有必要的恶意软件清除，但它是有用的搜索/摧毁的rootkit在内核中，所以请确保您下载正确的版本。

2. 扫描

扫描触发的扫描按钮。这是一次预扫描完成后的第一个自然的一步。

扫描是不修改系统中的处理，因为它列出的问题，并显示它们。

一旦扫描完成后，一个文本报告可通过单击报告按钮（您可以在HTML，文本或JSON格式导出）。

检测COLORS：

在RogueKiler，检测颜色标准化。

- 红色：已知恶意软件 - 检出率最高

- 橙色：可能的恶意软件 - 通常有一个可疑的路径，或者被标记为PUP / PUM（潜在有害程序/修改）

- 绿色：不知道恶意软件 - 这意味着该项目只是显示的信息，但不应该被删除（除非你决定它是）

修复缺失：

该删除通过单击删除按钮触发..之前，用户必须检查上一扫描结果到不同的选项卡，或用文字报告。

如果某些项目看起来合法的，你必须删除之前取消选中它（并通过电子邮件通知他们的团队，请）的可能性。

不同于扫描，删除修改系统，因为这是恶意软件的方式，必须清除。然而，每一个修改的是第一个被隔离。

一旦删除完成时，一个文本报告可通过点击报告按钮。

该程序可能会要求重新启动计算机。

如果出现这种情况，你应该接受，因为一些恶意软件也只能在重新启动后会被删除并可能被重新激活，否则。

HOSTS 修复：

Hosts文件是Windows配置文件，从而使域名重定向到一些IP地址。

我们通常用它来禁止访问的网站，或者绑定本地地址（例如：192.168.1.12）

下面是一些合法的重定向的例子：

127.0.0.1本地主机（默认情况下，Windows主机文件）

127.0.0.1 www.malware_website.com（阻止访问危险网站）

192.168.1.12 my_local_website（文本地址绑定到本地IP）

恶意软件可以使用它来重定向合法的Web地址恶意软件的服务器，并顺便感染新的用户。这里的恶意软件使用的例子：

123.456.789.10 www.google.com（重定向一个众所周知的网站，一个不知名的IP - 恶意软件的服务器）

165.498.156.14 www.facebook.com（重定向一个众所周知的网站，一个不知名的IP - 恶意软件的服务器）

这些线必须清除。

在主机选项卡扫描后的hosts文件内容显示，或者在与部分在报告中相同的名称。

主机修复按钮可以用来与默认情况下，唯一的现有生产线重置该文件的内容：127.0.0.1本地主机

ANTIROOTKIT TAB

该Antirootkit选项卡显示有关由一个rootkit成为可能的系统修改的信息：

- 系统服务调度表（SSDT） - 显示大呼过瘾的API。

- 影子SSDT（S_SSDT） - 显示大呼过瘾的API。

- 内联SSDT - 显示钩住热修补的API。

- IRP挂钩 - 显示与迷上主要功能的驱动程序。

- IAT / EAT钩 - 显示包含注入的代码的DLL的过程。

重要提示：由Antirootkit上市的系统修改仅供参考。

它们不能被检查除去，因为它们不是恶意软件本身，一个可能的恶意软件只是一个后果。

除去这些项目将是无用的，对于系统的稳定性有潜在危险。

MBR TAB

在MBR选项卡显示本机的主引导记录（MBR）的信息。

这是硬盘驱动器，其中包含有关分区的大小/位置和引导代码，允许启动一个启动盘的操作系统这两个信息的第一个扇区。

一些恶意软件被称为Bootkits，如TDSS，MaxSST或砸死修改任何代码（引导）推出自己的模块或分区表引导的假分区，并开始自己的模块在操作系统启动之前（和防病毒保护！）。

RogueKiller允许检测和删除bootkits，甚至当他们试图隐藏自己。

一些提示可以表明，MBR是合法的：自举是已知的，合法的。

然后，将不同的尝试读取MBR（不同级别）返回相同的结果（这意味着在MBR不隐藏）。

- 这里有干净的膜生物反应器的一个例子。自举（BSP）是合法的（Windows XP）中，用户读取，LL1和LL2返回同样的事情。

MBR Verif：+++++ PhysicalDrive0：VBOX HARDDISK +++++

- 用户 -

[MBR] c708b764ca9daa4f8f33e4e8b3b517da

[BSP] f4eb87199eee8a432bb482bb55118447：Windows XP的MBR代码

分区表：

0 - [激活] NTFS（0×07）[可见]偏移（行业）：63 |尺寸：4086莫

用户= LL1 ... OK！

用户= LL2 ... OK！

- 这里有传染性MBR的例子。自举（BSP）是合法的（视窗7），但该LL1方法返回不同的东西。最后，还有一个Ghost分区隐藏的rootkit的（MaxSST）。

MBR Verif：¤¤¤+++++ PhysicalDrive0：日立HDS721032CLA362 +++++

- 用户 -

[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384

[BSP] 0dc0d942fc9152dc059c7e021d2ad3db：Windows 7的MBR代码

分区表：

0 - [激活] NTFS（0×07）[可见]偏移（行业）：2048 |大小：百口莫

1 - [XXXXXX] NTFS（0×07）[可见]偏移（行业）：206848 |大小：305129莫

用户！= LL1 ...... KO！

- LL1 -

[MBR] 501fcd9f60449033a7b892d424337896

[BSP] 0dc0d942fc9152dc059c7e021d2ad3db：Windows 7的MBR代码[2可能maxSST！]

分区表：

0 - [XXXXXX] NTFS（0×07）[可见]偏移（行业）：2048 |大小：百口莫

1 - [XXXXXX] NTFS（0×07）[可见]偏移（行业）：206848 |大小：305129莫

2 - [激活] NTFS（0x17已）[！HIDDEN]偏移量（行业）：625113088 |尺寸：10莫

- 下面是感染MBR的另一个例子。自举（BSP）感染MaxSS.t。

¤¤¤MBR检查：¤¤¤+++++ PhysicalDrive0：ST9500325AS +++++

- 用户 -

[MBR] 318e94ac5cf893f8e2ed0643494e740e

[BSP] 07a9005ccf77d28c668138e4d4a42d65：MaxSS MBR代码！

分区表：

0 - [XXXXXX] FAT32-LBA（0x1C处）[！HIDDEN]偏移量（行业）：2048 |大小：13000莫

1 - [激活] NTFS（0×07）[可见]偏移（行业）：26626048 |大小：119235莫

2 - [XXXXXX] EXTEN-LBA（为0x0F）[可见]偏移（行业）：270819328 |大小：344703莫

用户= LL1 ... OK！

用户= LL2 ... OK！

当MBR被感染，就可以通过检查MBR选项卡中的相应行恢复。

Web浏览器

RogueKiller可以检查Web浏览器的配置和插件。

配置线仅表示如果他们是恶意的或可疑的，而所有的插件都显示出来。

关于插件，只有该恶意软件插件显示在文本报告，或那些选择删除。

重要提示：这是非常重要的一点是列出的所有插件不一定是恶意软件，你不应该检查所有这些，删除，请看看检测颜色和供应商名称。

HONEY模块

RogueKiller能够读取的Windows荨麻疹在离线模式，以及消毒的启动文件夹：

- 清洁位于外部硬盘驱动器（除系统硬盘驱动器等）上的操作系统。

- 清洁机器从现场光盘启动（例如：OTLPE）

当一个rootkit隐藏/保护其注册表项时，或者当计算机受勒索锁定这可能是有用的。

使用方法

1 下载完成后不要在压缩包内运行软件直接使用，先解压；

2 软件同时支持32位64位运行环境；

3 如果软件无法正常打开，请右键使用管理员模式运行。

更新日志

1、性能体验优化提升

2、修复了已知bug