精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

驭龙

ELOHIM 发表于 2015-7-26 22:10
既然这货可以改MA的启动项，一定是有针对性的来的。
安全模式，MA干掉了一个恶意sys。
还没有扫描完。

干掉那个随机替换的驱动，问题就不大了

DGYTUG

看不懂

lovelive10010

wjy19800315 发表于 2015-7-11 12:44
o
呵呵！有个别客服说大话，想证明一下，我测过了（过了），但不够详细，希望朋友有个详细测试 ...

蹲坑云是无敌的

，就一个.

驭龙 发表于 2015-7-11 18:56
嗯，McAfee是先把内存中的ZA模块解决掉，然后把被篡改的驱动后缀更改为ZYS，让ZA本体无法在下次重启动 ...

咖啡太狂了

，就一个.

时间比较急，下了个影子系统（虽然也不见得保证安全）用BD 试了下 AVC可以完美拦截ZA，这个样本危险系数太高了，AVC不拦截的话感觉有点假了，。 且目前IDS在64位系统还是在影子系统下IDS拦截了PCHunter，似乎AVC和IDS均不会受到影子系统的影响。

blacksaussage

驭龙 发表于 2015-7-16 18:14
我这里用诺顿什么问题也没有，不会我还是不用诺顿，不适合我

你现在还玩卡巴嘛
玩的话你平时会用么

驭龙

blacksaussage 发表于 2015-8-7 07:33
你现在还玩卡巴嘛
玩的话你平时会用么

没有的，我卡巴就玩几天，我现在是Windows 10真心难选择杀软，现在将就用Avira Pro了，过几天如果MA有新版本，我或许会回去用MA

blacksaussage

驭龙 发表于 2015-8-7 07:36
没有的，我卡巴就玩几天，我现在是Windows 10真心难选择杀软，现在将就用Avira Pro了，过几天如果MA有新 ...

咋这么早就起来了。MA新版本重写架构也不知道会怎样

驭龙

blacksaussage 发表于 2015-8-7 07:38
咋这么早就起来了。MA新版本重写架构也不知道会怎样

我天天这时候起来呀

MA新版重写架构？只是传说，如果是MA 5.0或许有可能，可如果是4.9就不会是重写架构了，不过我也希望是MA 5.0还是小有期待的

天耀群星

2015/8/7 05:54:09    向其他进程复制句柄    阻止并结束进程
进程: c:\users\administrator\desktop\virus.exe
目标: c:\windows\system32\smss.exe
句柄: (File) C:\Users\Administrator\Desktop\virus.exe
规则: [应用程序组]系统-命令行滤网  《首道滤网》  ————！！！ -> [目标应用程序]c:\windows\*


再就是修改系统驱动文件夹里的sys文件权限。对MD来说是小菜菜！