精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

驭龙

君陌潇 发表于 2015-7-11 18:04
关闭监控 扫描也拦截。 但双击运行在我WIN8.1 64位上 无法运行

扫描死ZA毫无意义的。
如果能运行的话，那系统基本上已经被ZA占领了，TrendMicro无法解决的

EnZhSTReLniKoVa

驭龙 发表于 2015-7-11 18:40
扫描死ZA毫无意义的。
如果能运行的话，那系统基本上已经被ZA占领了，TrendMicro无法解决的

单位反正 等下升级SEP到12.1.6 无聊玩了下趋势日文版。玩着一点都不适应。一清理病毒 就隐藏文件出来。

驭龙

君陌潇 发表于 2015-7-11 18:42
单位反正 等下升级SEP到12.1.6 无聊玩了下趋势日文版。玩着一点都不适应。一清理病毒 就隐藏文件出来。

那也不好，毕竟ZA是Rootkits啊，说不定做什么其他事情，不能实机玩的。

三大中就McAfee成功干掉ZA本体，不容易啊，除了黑寡妇，现在就McAfee能解决掉活动的ZA

bbszy

驭龙 发表于 2015-7-11 18:14
报告情况，McAfee成功灭掉活动的ZA母体，具体情况马上更新1一楼

咖啡检测后pchunter驱动模块页面还有未知驱动模块了吗？

EnZhSTReLniKoVa

其实国外 最喜欢2款杀软 一个是BD 一个是McAfee了。McAfee的McAfee Total Protection 还有2年半到期。

驭龙

bbszy 发表于 2015-7-11 18:47
咖啡检测后pchunter驱动模块页面还有未知驱动模块了吗？

没有了，那个红色的可疑PE文件不存在了，彻底解决，我重启多次，确实是解决了，跟我之前的猜测一样，不过可惜不是监控发威

bbszy

驭龙 发表于 2015-7-11 18:50
没有了，那个红色的可疑PE文件不存在了，彻底解决，我重启多次，确实是解决了，跟我之前的猜测一样，不过 ...

那确实是解决了。。。

话说感染之后扫描能解决都不错了。

你为什么对咖啡这么有信心哈？

ELOHIM

pal家族 发表于 2015-7-10 14:37
新变种？

721天前………………

驭龙

bbszy 发表于 2015-7-11 18:52
那确实是解决了。。。

话说感染之后扫描能解决都不错了。

嗯，McAfee是先把内存中的ZA模块解决掉，然后把被篡改的驱动后缀更改为ZYS，让ZA本体无法在下次重启动的时候死灰复燃，重启动以后再把ZA本体的尸体删除，就彻底解决ZA不死之身的问题了

因为驱动架构在那里摆着

ELOHIM

驭龙 发表于 2015-7-10 16:51
嗯，很多系统驱动都被篡改，而且图标上出现小锁，MA无力解决，只能是提前拦截，一旦运行成功，MA也无法发 ...

上报了吗小龙