MBR ransom 双击党来玩玩

sanhu35

liulangzhecgr 发表于 2012-5-23 11:49
对啊！ 我一般重建分区表之后，再重写mbr 已经习惯（不管什么类型引导区病毒）啦！难道和上一次的4.exe m ...

这个毒出来有几个月了，之前貌似没有 rootkit行为

星野初

sanhu35 发表于 2012-5-23 11:19
在PE下用diskgen 修复MBR 如果还是看不到分区就重建分区表。
然后清除病毒残留物和启动项服务等！     ...

硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化

liulangzhecgr

sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了，之前貌似没有 rootkit行为

这之前在卡饭有人贴过lock mbr 的帖子，里头的程序名为4.exe 啊！
我查看一下是否相同的文件。。。

liulangzhecgr

sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了，之前貌似没有 rootkit行为

http://bbs.kafan.cn/thread-1290986-1-1.html

crystalsong08

FSCS 深度防御拦截

liulangzhecgr

sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了，之前貌似没有 rootkit行为

不是同一个货。。。这下有玩的啦！

文件: E:\downloads\管理员\42\4.exe
大小: 5632 字节
修改时间: 2012年5月23日, 8:33:08
MD5: C3712262BDA9A400F2A8FCD62D49D57C
SHA1: 8F2230295DECD8E3B8700B89E7D878D06BE1840B
CRC32: 2E364ECE

文件: E:\downloads\管理员\mbrlock-Antivirus HardDiskRepair v2.2\4.exe
大小: 7168 字节
修改时间: 2012年5月18日, 20:31:40
MD5: D3BB67993B2DFFFEBD818D356FEC7637
SHA1: 6458AC1743972A04D8DAE5E1201201BF325EFEDB
CRC32: B13B31DD

sanhu35

星野初 发表于 2012-5-23 11:58
硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化

http://bbs.kafan.cn/thread-1290986-1-1.html  试试这里的解锁程序  解锁C盘

liulangzhecgr

星野初 发表于 2012-5-23 11:58
硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化

你要进c盘干什么？！ 上边不是有个菜单吗？！找出重建分区表和重写mbr 菜单点击之后，重启系统不就解决啦。。。

liulangzhecgr

sanhu35 发表于 2012-5-23 12:10
http://bbs.kafan.cn/thread-1290986-1-1.html  试试这里的解锁程序  解锁C盘

两个程序的md跟踪日志一模一样...要马上重启系统看看！

=======================================

2012-5-23 12:07:34    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\42\4-new.exe
命令行: "E:\downloads\管理员\42\4-new.exe"
规则: [应用程序]*

2012-5-23 12:07:39    底层磁盘读操作    允许
进程: e:\downloads\管理员\42\4-new.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2012-5-23 12:07:43    底层磁盘写操作    允许
进程: e:\downloads\管理员\42\4-new.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

hddu

运行后XP系统零扇区前后没有改变，可能是不欢迎病毒。




俺灰溜溜的来，灰溜溜的走。