关于中毒后清毒的小实验

zxcqwe

此次测试在虚拟机中，样本属于敲竹杠，样本分析http://fireeye.ijinshan.com/anal ... b97fe73c2b1bff#full
样本来自http://bbs.kafan.cn/thread-1756297-1-1.html
首先，我将不杀的样本提交至病毒实验室，此时病毒库为140715-1，双击样本，电脑被劫持
等待入库，140716-0可杀
此时虚拟机仍被劫持且为140715-1
接着传来了熟悉的声音，提示病毒数据库已经更新
虚拟机无反应，关闭虚拟机，再打开，开机的一瞬间立刻杀掉。
我不明白同一病毒库，同一系统为何杀的时间不一样，求解释。
其实病毒的开机加载优先级始终低于杀毒软件，所以开机可以杀掉，但是共存时为何杀不掉还要请人解答

zgy3073

不知道和PUP是否有关

zxcqwe

zgy3073 发表于 2014-7-16 20:12
不知道和PUP是否有关

报的是malware-gen

zgy3073

zxcqwe 发表于 2014-7-16 20:13
报的是malware-gen

应该是基因码
http://bbs.kafan.cn/thread-1754906-1-1.html
不知道重启虚拟机后病毒库有没有更新

白露为霜

pup错误

fuzhk

小a的监控没有你想象的严格，它主要监控文件的创建和执行（也包括修改），已经在执行了自然不会杀，毕竟行为防护做的不行内存没有扫描。开机的时候因为小a有反rootkit，所以反应比病毒快，在进程创建时发现并删除病毒。

曲中求

根据楼主的描述，个人认为，你已经运行了病毒在前，更新病毒库在后，已经运行的病毒因为之前avast扫了确定是无问题，因此，avast的监控是不再重复扫描的，而开机后，avast的默认加载优先于病毒，因此，avast能扫出来。这也就是为什么avast默认优先加载和开机前先扫描的道理所在。