Bootkit.Pitou (19.04.06)

WhiteCruel

ESET Kill All

Win32/Kryptik.GRUN

左手

1. 2019/4/7 星期日 16:11:35    创建新进程 风险提示:未知    允许
   
2. 进程: c:\users\administrator\desktop\v\1.exe
   
3. 目标: c:\users\administrator\desktop\v\1.exe
   
4. 命令行: "C:\Users\Administrator\Desktop\v\1.exe"
   
5. 规则: [应用程序]?:\*\*\*\*\* -> [子应用程序]《..\..\*上级的上级》
   
6. 好像就这样，然后就自己结束了。[:348:]
   
7. 2019/4/7 星期日 16:12:03    创建新进程 风险提示:未知    允许
   
8. 进程: c:\users\administrator\desktop\v\2.exe
   
9. 目标: c:\users\administrator\desktop\v\2.exe
   
10. 命令行: "C:\Users\Administrator\Desktop\v\2.exe"
    
11. 规则: [应用程序]?:\*\*\*\*\* -> [子应用程序]《..\..\*上级的上级》
    
12. 
    

复制代码

zdlzp

XP系统，火绒5.0在影子模式下运行：

“0x00000000\"指令引用的\"0×00000000\"内存。该内存不能为“read\"。
要终止程序，请单击“确定”。
要调试程序，请单击“取消”。

kaba666

huang1111 发表于 2019-4-6 17:45
卡巴斯基2020版本

你那个1.exe,报的PDM，你是双击了？

欧阳宣

sentinelOne

Detecting engine: DFI - suspicious

，就一个.

Comodo
第一个样本 一上来就是直接磁盘访问，太可怕，直接中止了，这种情况允许不是蓝屏就是重启，然后就GG。而且这类样本直接无视沙盘，无视影子系统。一旦双击放行或者被过MBR就会被感染，重装系统都无用，只能用KVRT利用高级清除技术清除以后再重装系统，360急救箱感觉都悬。




第二个
双击被阻止运行

2019-04-08 08:59:20

D:\360极速浏览器下载\v (1)\2.exe

.UnclassifiedMalware@1

阻止

成功

ELOHIM

微软KILL ALL。

wowocock

，就一个. 发表于 2019-4-8 09:00
Comodo
第一个样本 一上来就是直接磁盘访问，太可怕，直接中止了，这种情况允许不是蓝屏就是重启，然后就G ...

没测过就不要乱说，只要选择急救箱强力模式，扫描2遍即可。

，就一个.

wowocock 发表于 2019-4-8 10:57
没测过就不要乱说，只要选择急救箱强力模式，扫描2遍即可。

什么叫没测试过？ 急救箱扫了一次无用换卡巴一次解决，我会乱说?麻烦你别乱咬人啊，能一次解决的东西为什么要两次？而且明确告诉你，我是360安全卫士开启AMD硬件虚拟化影子系统（完全模式，因为单位电脑不敢实机）双击被过，双击后五秒左右自动重启系统，可以成功进入，但系统组策略被禁用，还有部分功能不正常，所以选择急救箱扫描，扫描以后不放心，备份资料过后直接重装系统，重装系统以后还是系统更新功能无法正常使用，avast AVG 无法成功安装，顾下卡巴斯基KVRT工具扫描，高级清除技术花了一分钟，重启搞定。 所以麻烦你不要乱咬人，大白天的，人多着呢

，就一个.

wowocock 发表于 2019-4-8 10:57
没测过就不要乱说，只要选择急救箱强力模式，扫描2遍即可。

直接执行底层磁盘访问的样本有很多情况是直接就蓝屏的，下面两个样本敢不敢实机双击玩玩？右键管理员身份运行，你看看会不会蓝屏，就算卡巴斯基应用程序控制自动模式下 高限制组设置成直接拒绝执行底层磁盘访问都会蓝屏重启，但MBR不会被破坏。但关闭应用程序控制，SW可以拦截成功不蓝屏 。第一个帖子里的样本智能主防里面我就知道卡巴斯基双击SW可以完美拦截，你能找出第二个智能主防成功拦截的?你不信试试，这一类破坏和感染MBR的样本我玩得比你多，
https://bbs.kafan.cn/thread-2123348-1-1.html

https://pan.baidu.com/s/1wGZv9qg_Zh3-AcaczNuFCg