Returnil 还是没顶住

显示全部楼层 · 发表于 2009-2-1 19:17:44

本帖最后由 107 于 2010-12-23 20:35 编辑

WinXP SP3
补丁 2009 年 1 月14
Returnil  版本 2.0.1.8510

从2008年7月用Returnil 一直很好用

今天刚从老家回来上网就中了。。。。。。。。

测试地址：http://down.dllqvod.cn/nn/xxxx.exe  这个就是捆绑病毒的哪个播放器。。。。。。。。。
安装后可能会突然重起（装有Returnil 的用户），接着你就检查的电脑吧哈哈。。。。。。。。。。
害我还是装起了久违的卡巴。。。  幸亏我以前做GHOST备份，光盘一份。硬盘一份（改后缀名为TXT，只读、加密、防删、，如果就是 .GHO 怕事保不住了）

病毒除了穿透 Returnil 外  还在每个盘释放 justkt.dll xxxxxxxx.inf 貌似是个木马下载器、盗号、只类的，不感染C盘外的其它文件，劫持映像（中毒后无法打开常用安全软件）

[ 本帖最后由 wuao 于 2009-2-1 19:38 编辑 ]

显示全部楼层 · 发表于 2009-2-1 19:28:56

不管效果如何，直接给带毒链接是不好的[:26:]

显示全部楼层 · 发表于 2009-2-1 19:37:39

哦那我取消链接需要地址的论坛短信M O

你测试下哪个 powershadow 吗，官方人士吗应该尽职尽责、、、、、、、、
呵呵

显示全部楼层 · 发表于 2009-2-1 19:39:41

原帖由 wuao 于 2009-2-1 19:37 发表
哦那我取消链接需要地址的论坛短信M O

你测试下哪个 powershadow 吗，官方人士吗应该尽职尽责、、、、、、、、
呵呵

你看看现在哪个还说我是官方的？

链接把http改成hxxp即可

显示全部楼层 · 发表于 2009-2-1 19:42:02

请先明确一下，你不是重启后非系统盘感染了系统盘，从而误认为是rvs被穿透

显示全部楼层 · 发表于 2009-2-1 19:45:14

据我的经验，如果存放gho文件备份的分区在影子保护之下，即使病毒有删除gho后缀名文件的行为发生，重启后是不能得逞的

显示全部楼层 · 发表于 2009-2-1 19:51:53

虚拟机运行了下，SD的diskpt.sys的FSD Hook被恢复了，重启穿了SD。
实机没穿。

[ 本帖最后由 dl123100 于 2009-2-1 20:49 编辑 ]

显示全部楼层 · 发表于 2009-2-1 19:53:15

原帖由 dl123100 于 2009-2-1 19:51 发表
运行了下，SD的diskpt.sys的FSD Hook被恢复了，可能穿了SD。

这么厉害

一会试试

显示全部楼层 · 发表于 2009-2-1 20:11:34

实机SD下运行一段时间后蓝屏，重启后未发现相关生成物。
不过意外发现dump文件重启后竟然还保留。

[ 本帖最后由 dl123100 于 2009-2-1 20:24 编辑 ]

显示全部楼层 · 发表于 2009-2-1 20:50:29

快点把他们暗杀了，要不然饭碗不保

[已解决] Returnil 还是没顶住