特別鳴謝：感謝卡飯論壇落華無痕的幫助

今日，在遠程幫助一位用戶解決RootKit問題時，發(fā)現(xiàn)360急救箱與火絨惡性木馬專殺工具始終處理干凈該RootKit（指重啟后病毒仍然存在），如下圖所示：

通過ARK工具得到病毒驅動的注冊表路徑為HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\798cc6c9，但是無法打開，嘗試進PE內清除病毒，如下圖所示：

但是在PE內刪除驅動文件和驅動注冊表之后，重啟后病毒仍然存在，如下圖所示：

經過PE內一番排查，落華無痕在PE內采用了“提前占坑”的方法，發(fā)現(xiàn)重啟后病毒驅動并未再次出現(xiàn)

而后續(xù)將“占坑文件”再次刪除后，病毒驅動則再次出現(xiàn)

以上種種跡象表明病毒驅動可能是系統(tǒng)內的別的其他的程序創(chuàng)建的

于是，再次將病毒驅動刪除后，成功通過火絨自定義規(guī)則找到罪魁禍首——PotPlayer

PotPlayer使用計劃任務實現(xiàn)自啟動，如下圖所示：

將PotPlayer提取后，360高風險提醒了一個dll：

VirusTotal第一次上傳，部分廠商報毒該dll會修改代{過}{濾}理設置，如下圖所示：

后續(xù)經過測試成功通過該白加黑PotPlayer復現(xiàn)加驅，如下圖所示：

Iocs：