恶意修改MBR

显示全部楼层 · 发表于 2011-5-17 12:39:08

本帖最后由 liulangzhecgr 于 2011-5-17 12:41 编辑

再次运行样本:
1. 20个进程变最多时82个,让它自由发挥;最后耗尽资源(?!)...无法操作系统!

2. 强制重启...系统进不去!

3. 借来移动光驱...用diskgen 重建分取表,重写mbr...
4. 进入系统
5. 中文件夹.exe,autorun.inf ...
6. 因无能没有打开xt成功...
7.安全模式进不去!
8. 进入winpe 没有心事查杀...

9. 重置mbr,还原系统...告一段落!

显示全部楼层 · 发表于 2011-5-17 14:22:24

liulangzhecgr 发表于 2011-5-17 12:39
再次运行样本:
1. 20个进程变最多时82个,让它自由发挥;最后耗尽资源(?!)...无法操作系统!
2. 强制重 ...

"6. 因无能没有打开xt成功..."
修改扩展名都不行?

显示全部楼层 · 发表于 2011-5-17 15:08:24

hddu 发表于 2011-5-17 14:22
"6. 因无能没有打开xt成功..."
修改扩展名都不行?

修改扩展名,挪动到不同的文件夹...都不行!
用任务管理器结束可疑进程,但两个explorer.exe,smss.exe ...如何结束?!
用任务管理器结束能结束的进程...最后连资源管理器也打不开!(一会就自动消失!)
这一下就糟啦! 原本xt可以改成taskmgr.exe用... ...
一气之下,进winpe 消灭病毒工作!...病毒杀完后,重做系统---养成坏习惯!

显示全部楼层 · 发表于 2011-5-20 18:23:56

看运行日志是很久以前的鬼影 XueTr是可以对付的

显示全部楼层 · 发表于 2011-5-21 10:39:13

显示全部楼层 · 发表于 2011-5-21 12:15:42

诺顿 sonar 杀～

显示全部楼层 · 发表于 2011-5-21 16:23:18

本帖最后由 byxxdrls 于 2011-5-21 16:54 编辑

回复 9楼 hddu 的帖子

鬼影３啊

显示全部楼层 · 发表于 2011-5-21 18:01:13

byxxdrls 发表于 2011-5-21 16:23
回复 9楼 hddu 的帖子

鬼影３啊

怎么又是3代了？前面说是老版本嘛

显示全部楼层 · 发表于 2011-5-21 18:15:37

回复 38楼小飞侠.net 的帖子

你看一下金山发的资讯吧。是所谓的鬼影3.
先前在虚拟机上某个文件损坏了，运行不起来了。过会儿再试试。看看所谓的鬼影3像不像鬼影2那样纯粹是炒作。

显示全部楼层 · 发表于 2011-5-21 18:28:30

本帖最后由 byxxdrls 于 2011-5-21 18:28 编辑

回复 9楼 hddu 的帖子

能否提供C:\mb.exe？

[病毒样本] 恶意修改MBR

浏览过的版块