找下PowerTool的茬 (2)——使用PT 20秒检测并清除ZeroAccess的不可行性

dl123100

liulangzhecgr 发表于 2011-9-8 18:48
1.用NTBrain结束进程;
2.用xt 删除回调,恢复钩子,卸载注入的模块后 xt进程标签下变得很干净;
3.用filet ...

估计是你不仔细 没去清某些启动信息 也没找用于mini fs相关的文件
而且用了filetools

liulangzhecgr

dl123100 发表于 2011-9-8 18:50
估计是你不仔细 没去清某些启动信息 也没找用于mini fs相关的文件
而且用了filetools

xt删除不了c:\windows\$****$文件夹,无奈之下用fletools,删除这个文件夹,结果成功删除此病毒文件夹啦 !


谢谢回复! 再去试一试!

dl123100

liulangzhecgr 发表于 2011-9-8 19:01
xt删除不了c:\windows\$****$文件夹,无奈之下用fletools,删除这个文件夹,结果成功删除此病毒文件夹啦 !
...

filetools在真实的环境尽量不要用 至少我的某个环境删一下重启系统就挂了
$****$文件夹如果你用火流星之类的工具看 就会发现其中的古怪 不直接操作磁盘是清理不掉的
另外使用底层删除工具清理后建议检查下磁盘

JillPal

dl123100 发表于 2011-9-8 19:07
filetools在真实的环境尽量不要用 至少我的某个环境删一下重启系统就挂了
$****$文件夹如果你用火流星之 ...

从您的分析看,这个病毒采用大量装甲技术的目地似乎主要不是更难被发现而是更难被清除.因此我比较担心的是像PT这样的工具在普通用户的手中作用有多大.为了对抗新病毒,PT或类似工具未来的发展路线恐怕会与现在完全不同.

银砾石

dl123100 发表于 2011-9-8 19:07
filetools在真实的环境尽量不要用 至少我的某个环境删一下重启系统就挂了
$****$文件夹如果你用火流星之 ...

filetool是用了我那个fs.dll
原因大概也知道，不过那个树不太好处理，所以我在fscmd里去除了底层删除功能。
处理后检查磁盘可以修复此错误（如果正好删了节点的话，可能还没到修复错误那就出错。）

这类删除还是用清空内容比较保险。

dl123100

JillPal 发表于 2011-9-8 20:01
从您的分析看,这个病毒采用大量装甲技术的目地似乎主要不是更难被发现而是更难被清除.因此我比较担心的是 ...

那个文件夹删除是否对清除无影响 另外就算ZeroAccess本身都没办法删除它

dl123100

银砾石 发表于 2011-9-8 20:58
filetool是用了我那个fs.dll
原因大概也知道，不过那个树不太好处理，所以我在fscmd里去除了底层删 ...

filetools使用的fs.dll有点老，我这解析不了system32目录，新版fs.dll可以。

liulangzhecgr

dl123100 发表于 2011-9-8 21:17
那个文件夹删除是否对清除无影响 另外就算ZeroAccess本身都没办法删除它

其实,解除锁定后删除文件,xt 已经把文件删除干净啦!刷新时xt没有处理好(?!)老显示刷新之前的...这个可以用filetools 打开文件夹,一看就明白!

============================================
在windows下查杀此病毒当时,我以为查杀成功了呢?!(如下连接的5楼)
帮我看以下:http://bbs.janmeng.com/thread-990524-1-1.html

重启后,觉得很无奈!
昨晚试了3次,都是运行样本重启时因services 错误,倒计时后死机...无心继续!

左寒

银砾石 发表于 2011-9-8 20:58
filetool是用了我那个fs.dll
原因大概也知道，不过那个树不太好处理，所以我在fscmd里去除了底层删 ...

石头，……
火流星能完美解决filetools的这个缺陷么？
再多嘴一句：火流星还会继续更新么？？文件操作类的工具对于辅杀还是有着无法替代的优势！期望火流星继续更新！

evilrabbit

filetools不知道哦为啥，好多时候不给力的。有点杯具 某些笔记本上运行后 有时候会有问题、不知道为啥