MBR ransom 双击党来玩玩

显示全部楼层 · 发表于 2012-5-23 19:25:08

星野初发表于 2012-5-23 18:25
嗯过不了uac 不过我手动允许的

呵呵！顶一下。。。

显示全部楼层 · 发表于 2012-5-23 22:19:32

金山拦截

显示全部楼层 · 发表于 2012-5-23 22:27:30

测试病毒还是用虚拟机好

显示全部楼层 · 发表于 2012-5-24 00:15:13

无法访问该网页

请求对象位于网址：

http://bbs.kafan.cn/forum.php?mod=
attachment&aid=MTY1NTg4MnxkZWVhNDA2ZnwxM
zM3Nzg5NjgwfDIxODQ1NnwxMjkzMzg4

检测到威胁：

对象已感染病毒Trojan-Ransom.Win32.Mbro.glq

显示全部楼层 · 发表于 2012-5-24 06:08:41

星野初发表于 2012-5-23 18:18
嗯。。微点1.2竟然没防住让俺很无解。。哎老版本该更新了。。
这病毒win7 跟xp 还不一样么。。

http://vms.drweb.com/mbrlock16+keygen/?lng=ru 把那个hdd的号码输入这，会显示个密码，然后在输去中毒那部自己里就好了

刚刚虚拟机试了下，没问题可惜已晚，你已经重装了。。

显示全部楼层 · 发表于 2012-5-24 06:24:52

fs kill

显示全部楼层 · 发表于 2012-5-24 09:19:58

post8 发表于 2012-5-24 06:08
http://vms.drweb.com/mbrlock16+keygen/?lng=ru 把那个hdd的号码输入这，会显示个密码，然后在输去中毒那 ...

....额已经重装

显示全部楼层 · 发表于 2012-5-24 09:42:40

直接 WINHEX 打开，将第2个扇区恢复到第一个扇区即可。

显示全部楼层 · 发表于 2012-5-24 10:13:51

本帖最后由 wowocock 于 2012-5-24 10:15 编辑

或者调用它自身的恢复代码，用WINHEX打开后
将 0X19处的5个字节
b8 03 00 cd 10
mov ax,3
int 10h
改为
b8 5d 06  ff 10
mov ax, 65dh
jmp ax
即可。
seg000:005D             sub_5D       proc near             ; CODE XREF: seg000:loc_58p
seg000:005D 6A 00                         push 0
seg000:005F 07                            pop    es
seg000:0060 30 F6                         xor    dh, dh
seg000:0062 B2 80                         mov    dl, 80h ; '

显示全部楼层 · 发表于 2012-5-24 20:33:04

实机测试没有拦截悲剧了这个是破坏MBR的病毒吗？

[病毒样本] MBR ransom 双击党来玩玩