20秒检测并清除ZeroAccess/ADS流病毒 By PowerTool(按步骤无隐患，可清除上周的ZA)

liulangzhecgr

dl123100 发表于 2011-9-14 13:02
这样能清除的话，只能说是之前你用的重启替换工具有问题了。

下午,重新运行样本后,重启系统,直接进winpe 替换被病毒感染的文件,其他什么也没有处理,再重启系统检查系统...什么事也没有发生!好象什么时候,运行过病毒似的.  难道病毒没有充分运行 ?!

dl123100

liulangzhecgr 发表于 2011-9-14 14:52
下午,重新运行样本后,重启系统,直接进winpe 替换被病毒感染的文件,其他什么也没有处理,再重启系统检查系统 ...

一般情况下清理感染文件差不多可以了 如果再处理了服务 ZeroAccess算是彻底无效化了

liulangzhecgr

dl123100 发表于 2011-9-14 15:09
一般情况下清理感染文件差不多可以了 如果再处理了服务 ZeroAccess算是彻底无效化了

有点好奇,再次测试:

1.运行样本10分钟;
2.重启系统,打开任务管理器,发现病毒进程;
3.再重启系统,直接进winpe,替换被病毒感染的驱动文件,其他不动;
4.再重启系统,进入windows,检查任务管理器:没有病毒进程

5.不管病毒文件和注册表也无所谓---已经这些都是变成尸体和垃圾

真是不可思议...!把驱动文件废掉,一切变成那么的安静 !

dl123100

liulangzhecgr 发表于 2011-9-14 15:20
有点好奇,再次测试:

1.运行样本10分钟;

选择好工具很重要

smkyo

收藏起来，留着备用

小富队长

dl123100 发表于 2011-9-14 20:12
选择好工具很重要

其实Hotman很轻易就能清除

dl123100

小富队长 发表于 2011-9-17 22:57
其实Hotman很轻易就能清除

Hitman Pro没有专门去检测ZeroAccess 测试发现大量ZeroAccess样本无法检测
而且它针对ZeroAccess结束进程的自我保护是有问题的 会使自身的一些操作莫名其妙地失败
也无法阻止ZeroAccess对它的文件设置权限禁止再次运行

小富队长

dl123100 发表于 2011-9-17 23:05
Hitman Pro没有专门去检测ZeroAccess 测试发现大量ZeroAccess样本无法检测
而且它针对ZeroAccess结束进 ...

刚在虚拟机内测试一下 并没你所说的问题
你说的问题早就被解决了
http://hitmanpro.wordpress.com/2 ... otkit-strikes-back/

dl123100

小富队长 发表于 2011-9-18 18:14
刚在虚拟机内测试一下 并没你所说的问题
你说的问题早就被解决了
http://hitmanpro.wordpress.com/2011 ...

那是近两个月前的解决方案 而且我提的问题正在它引入的