精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

白露为霜

bbszy 发表于 2015-7-14 00:05
你实机测试吗？用的什么杀软

驱动被锁会怎样

cjn

bbszy 发表于 2015-7-10 14:42
居然没有入库。。。

怎么看有木有入库的？

zpf94

bbszy 发表于 2015-7-14 00:05
你实机测试吗？用的什么杀软

虚拟机里用BD测的，32位WIN7，关闭扫描后AVC很干脆的拦截了，而且还删掉了ZA源文件。运行PC Hunter也没有提示。后来实在好奇，把BD扫描，IDS，AVC，防火墙都关了，双击运行。再打开PC Hunter居然还不提示。倒是看到有几个可疑驱动对象，重启后全盘扫描，杀了8个。。。

无声无息

不知道红伞在关闭监控让病毒感染系统后，能不能清除啊？

驭龙

无声无息 发表于 2015-7-14 10:19
不知道红伞在关闭监控让病毒感染系统后，能不能清除啊？

不可能的，Avira没有驱动级的Anti Rootkits技术，怎么可能对付ZA这样的驱动级Rootkits啊，不需要测的

无声无息

驭龙 发表于 2015-7-14 10:34
不可能的，Avira没有驱动级的Anti Rootkits技术，怎么可能对付ZA这样的驱动级Rootkits啊，不需要测的

好吧。。。郁闷了、、、感觉红伞如果被过了，就结束了。。。

如果这个东西在不知道的情况下感染了系统，能不能有什么症状来发现？清除它只能靠重装系统了吗？

驭龙

无声无息 发表于 2015-7-14 10:37
好吧。。。郁闷了、、、感觉红伞如果被过了，就结束了。。。

如果这个东西在不知道的情况下感染了系统 ...

这也是我不用Avira的最重要原因之一。
基本上发现不了它的存在，毕竟是高级别的Rootkits啊，不过这家伙会锁系统驱动，哈。
目前McAfee TrendMicro Kaspersky DrWeb都可以干掉感染以后的ZA

HEMM

root1605 发表于 2015-7-13 16:26
@残羽箭 @HEMM
求测试avg
样本在260楼

实机，我可没有虚拟机等保护措施。
而且我对AVG并没有什么高要求，不期待= =

驭龙

HEMM 发表于 2015-7-14 16:18
实机，我可没有虚拟机等保护措施。
而且我对AVG并没有什么高要求，不期待= =

我劝你一句，不要玩这个ZA，很危险的，尤其是你不用虚拟机，真的不建议你玩

HEMM

驭龙 发表于 2015-7-14 16:28
我劝你一句，不要玩这个ZA，很危险的，尤其是你不用虚拟机，真的不建议你玩

嗯！我测试就是纯扫描。安软的清除检测量我也不是很在意。
而且我对AVG也没抱什么大期待，看它把扫描分为常规和Rootkits就大致知道结果了。
它对Rootkits的防不知道是靠什么.......idp？反正扫描居然蛋疼的分两类，而且Rootkits扫描还不怎么起眼.....