MBR locker - bootkitlocker2

360Tencent

Howl 发表于 2012-2-24 18:10
要用到CMD不？

不知道

Howl

360Tencent 发表于 2012-2-24 18:10
不知道

好吧我双击了，微点没拦截日记里面没有生成/修改记录，据我说知微点是会拦截修改MBR的，感觉背后有点凉意了

360Tencent

Howl 发表于 2012-2-24 18:15
好吧我双击了，微点没拦截日记里面没有生成/修改记录，据我说知微点是会拦截修改MBR的，感觉背后有点凉意 ...

文件可能有问题，也许需要联网下载点东西才能起作用

迷惘的执著

Howl 发表于 2012-2-24 18:15
好吧我双击了，微点没拦截日记里面没有生成/修改记录，据我说知微点是会拦截修改MBR的，感觉背后有点凉意 ...

实机？杯具了咩？

迷惘的执著

ESET 拦截了。。低质量咩？

sanhu35

不入组

2012-2-24 18:56:55    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\xx\xx.exe
命令行: "C:\Documents and Settings\Administrator\桌面\xx\xx.exe"
规则: [应用程序]c:\windows\explorer.exe

2012-2-24 18:56:55    底层磁盘读操作    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\xx\xx.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

=====================================

入病毒测试组

2012-2-24 18:58:32    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\xx\xx.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\C:\Documents and Settings\Administrator\桌面\xx\xx.exe  \??\C:\Documents and Settings\Administrator\桌面\xx\xx.exe
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2012-2-24 18:58:36    底层磁盘读操作    阻止
进程: c:\documents and settings\administrator\桌面\xx\xx.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序组]『询问』病毒测试

2012-2-24 18:58:38    修改文件    允许
进程: c:\documents and settings\administrator\桌面\xx\xx.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2012-2-24 18:58:42    注销、关机或重新启动系统    阻止
进程: c:\documents and settings\administrator\桌面\xx\xx.exe
规则: [应用程序组]『询问』病毒测试

360Tencent

sanhu35 发表于 2012-2-24 18:59
不入组

2012-2-24 18:56:55    创建新进程    允许

谢谢，分没了，明日补上

ywsuda

完整路径: c:\users\ywblue\desktop\xx.exe
威胁: Suspicious.Cloud.5.A
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012/2/24 ( 20:50:31 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
____________________________

____________________________
文件操作
文件: c:\users\ywblue\desktop\xx.exe
已删除
____________________________
文件指纹 - SHA:
719ae07699f6884ece4a85b35d7637cb62ec5056d198c94d75085c86c566f278
____________________________
文件指纹 - MD5:
7792b35a57acbd7c68eff48b1fb4fffa
____________________________

lbb9432

过Bullguard扫描  To BD

好像很厉害的样子 就不双击了

留侯

的确是，大蜘蛛：
xx.exe infected with Trojan.MBRlock.19