biomednet
Schwarz Meister | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тестирование лечения активного заражения руткита ZeroAccess Zemana Antimalware 2.19.187.737 Основная система Win 8.1 x64, железо Acer Aspire V3-772G, i7-4702MQ 2,2 ГГц, 8 Гб ОЗУ. Гостевая система Win 7 x64 Ultimate, оригинальный образ без SP1 и обновлений. (экспериментируя с образцом Alureon, обнаружил, что BSOD на всех системах появляется мгновенно после заражения, а эта винда какое-то время живет, и даже позволяет что-то в ней делать, но потом все равно уходит в синьку. Если у кого есть рабочие буткиты под Win 7 x64 буду очень благодарен, нужны для тестирования. Имеющиеся в наличии исполняемые файлы, якобы зараженные TDSS, вообще не заражают систему...) Земана видит заражение ZeroAccess, и при лечении системы частично удаляет его из системы, но не до конца. Последующий прозвон самой Земаной дает непонятные глюки - якобы заражен или пропатчен драйвер dnsapi.dll, но проверка на вирустотал говорит что файл чистый и имеет ненарушенную ЭЦП. Тогда я прозвонил систему после Земаны антивирусным сканером HitmanPro. Результат меня не удивил - система по прежнему имеет следы заражения ZeroAccess. Активно оно или нет, не могу с уверенностью сказать. В любом случае оставлять хвосты в системе - дурной тон. Логи Гмер http://rghost.ru/64pPhyDlD Веселые картинки Детект Земаны http://hkar.ru/FzS8 После лечения и перезагрузки http://hkar.ru/FzS9 После Земаны прошелся Хитменом Про http://hkar.ru/FzSl Отдельный тест: После заражения, перезагрузки и детекта TDSSKiller http://hkar.ru/FzSC ИМХО. Zemana хорошее средство детекта голых зловредов, не интегрированных в систему, типа вирустотала, например. В некоторых случаях - детект заражения системы, но вот поручать ей очистку/лечение я бы не стал. Проще запустить Хитман на лечение при обнаружении угрозы. Ну или поговорить с вирлабом штатного антивируса. З.Ы. Следующий на очереди Webroot - тест на лечение ZeroAccess, Zeus+Necurs, BlackEnergy. Кое-что предварительно, без логов и картинок - все 3 успешно обнаружены и удалены. Установка на уже зараженную систему. Судя по детектам и очень характерным ложным срабатываниям, у Webroot облако от BitDefender. | Всего записей: 2295 | Зарегистр. 12-08-2002 | Отправлено: 20:55 17-12-2015 | Исправлено: biomednet, 20:57 17-12-2015 |
|