查看: 12859|回复: 38
收起左侧

[原创文章] 20秒检测并清除ZeroAccess/ADS流病毒 By PowerTool(按步骤无隐患,可清除上周的ZA)

  [复制链接]
ithurricane
发表于 2011-9-1 18:21:05 | 显示全部楼层 |阅读模式
本帖最后由 ithurricane 于 2011-9-3 13:20 编辑

还是按照自己的风格,

先看一下ZeroAccess都修改了哪些地方

首先就是万恶的流文件进程,因为这个进程的名字,导致以前的版本无法查看进程。。。



在pt里面可以找到这个流文件



有一个可疑的驱动



在内核的DPC定时器,回调和内核线程里面都动了手脚



网络里可以看到它在偷偷下载病毒



劫持了硬盘的读写



最后看一下,新版本新加的系统驱动感染检测功能,zeroaccess通过感染系统驱动来不断再生






接下去就可以修复,手动杀掉这个病毒了

第一步:

在内核回调里面,删掉那个Shutdown的回调

第二步:

恢复硬盘读写的劫持



最后一步,最为关键,就是用PowerTool来恢复被感染的系统驱动




就像上面图片里的文字一样,恭喜你,病毒杀掉了,重启一下电脑看看,

一切都烟消云散了~~~

这个ZeroAccess在国外是和TDSS/TDL齐名的rootkit,

在国内貌似也流传开了,希望关键时刻,PowerTool能帮大家解决问题,呵呵~~~

评分

参与人数 8经验 +30 人气 +9 收起 理由
边缘vip + 30 感谢提供分享!
liulangzhecgr + 1 pt不错!,标题上去掉20秒---不会刺激哦!
jordanpchome + 1
tingyue-wu + 1 版区有你更精彩: )
FreeEquFraT + 1 学习一下方法

查看全部评分

ithurricane
 楼主| 发表于 2011-9-2 09:22:42 | 显示全部楼层
占楼,备用,呵呵
sanhu35
发表于 2011-9-2 09:41:20 | 显示全部楼层
很给力 谢谢作者。
sanhu35
发表于 2011-9-2 09:42:02 | 显示全部楼层
本帖最后由 sanhu35 于 2011-9-2 09:42 编辑

希望国产越来越强
sanhu35
发表于 2011-9-2 09:44:21 | 显示全部楼层
修复感染驱动功能非常实用和人性化
sanhu35
发表于 2011-9-2 10:08:10 | 显示全部楼层
感染驱动恢复是否是用 系统备份目录C:\WINDOWS\system32\dllcache 的sys进行还原呢?
liulangzhecgr
发表于 2011-9-2 10:10:33 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-9-2 10:13 编辑
sanhu35 发表于 2011-9-2 09:44
修复感染驱动功能非常实用和人性化


pt我不清楚!
lz 意思是否替换病毒感染的驱动,就杀掉此病毒---这个意思?!

(病毒进程,病毒文件---没有处理?!)

ithurricane
 楼主| 发表于 2011-9-2 10:10:54 | 显示全部楼层
sanhu35 发表于 2011-9-2 11:08
感染驱动恢复是否是用 系统备份目录C:\WINDOWS\system32\dllcache 的sys进行还原呢?

感谢大大的支持哦

不是用那个还原的,
用的是别的方法,嘿嘿
ithurricane
 楼主| 发表于 2011-9-2 10:17:21 | 显示全部楼层
liulangzhecgr 发表于 2011-9-2 11:10
pt我不清楚!
lz 意思是否替换病毒感染的驱动,就杀掉此病毒---这个意思?!

除了进程不能结束,病毒文件可以用pt删除,不过没有必要而已,

你有这些疑问,何不按照我的步骤用pt杀一下zeroaccess呢?
liulangzhecgr
发表于 2011-9-2 10:20:15 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2011-9-2 10:29 编辑
ithurricane 发表于 2011-9-2 10:17
除了进程不能结束,病毒文件可以用pt删除,不过没有必要而已,

你有这些疑问,何不按照我的步骤用pt杀 ...


这何必呢?!22日还是23日我已经成功查杀! 比你早几天还是一个礼拜。。。 。。。

--------------------------------------------
tdsskiller 秒杀此病毒!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:52 , Processed in 0.126439 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表