无忧启动论坛

标题: 最近不少同事中了类似MBR的病毒,非常苦恼,不知有什么方法解决!! [打印本页]
作者: qidonga    时间: 2010-4-8 11:37
标题: 最近不少同事中了类似MBR的病毒,非常苦恼,不知有什么方法解决!!
我周围的同事近来都不知为何中了同一种病毒,无论怎么格式化,都无效果,我初步认为是主引导病毒,在DOS下fdisk /mbr依然不能解决问题,这种病毒的症状就是机器频繁蓝屏,莫不是分区表的问题?

http://hi.baidu.com/a2468/blog/item/53396bf0f444b3a4a40f5218.html
我说的情况跟上面这个帖子里的情况非常类似,但是解决这个病毒的方法不能总用“瞬间将硬盘分为四个区”这个方法来解决啊,请问坛子里的高手,有没有更好的方法可以解决,多谢!!!
作者: dvd008    时间: 2010-4-8 11:45
pe下,用 bootsect /mbr

bootsect用win7的即可,03pe可以运行的,放system32

dos下不好事,因为病毒会拦截操作

其它可以用diskgen 等重新建mbr
作者: qidonga    时间: 2010-4-8 14:12
谢谢这位同学,用了这个方法,还是解决不了,同学看一下我那个里面的帖子,研究下,避免中此类的病毒
作者: dvd008    时间: 2010-4-8 15:39
如果仅这些,文件里面的没删除,还会感染的

仅mbr部分是没问题的,通过清空,重新建立,已经删除保留扇区,
病毒代码已经没了

但是,已经感染的文件你没处理
作者: 111kkk    时间: 2010-4-8 15:44
用这个估计拿下没商量!!
LFORMAT
作者: dvd008    时间: 2010-4-8 15:49
低格数据就没了

mbr后面有一段空间,用diskgen清空,那病毒就没了
其它磁盘工具给这部分填0 也行,然后bootsect mbr 即可
对xp等 mbr后面的东西没用

那病毒就在那里
作者: 111kkk    时间: 2010-4-8 15:51
不过这需要极大的耐心,要一直等到医生告诉你:电脑已经脱离危险
作者: 111kkk    时间: 2010-4-8 15:55
数据都成"啥s"了,消灭还来不及
作者: dvd008    时间: 2010-4-8 16:05
病毒没那么可怕的

我可以在已经感染病毒的机器和系统下,正常安装系统,原来数据
保留,然后在新系统下杀毒

带病毒运行也是经常的,没什么事。不过就是一段代码
作者: 快雪时晴    时间: 2010-4-8 18:10
鬼影,又见鬼影
为什么WINDOWS操作系统对于MBR没有保护措施呢?
作者: wangmeng052    时间: 2010-4-8 18:11
如果认定是主引导病毒,在DOS下fdisk /mbr应该能解决问题!!!!!
作者: wowfans    时间: 2010-4-9 16:20
用启动U盘 光盘等
避过硬盘启动
然后对硬盘MBR进行恢复
并对PBR也进行操作

这样还不行 就是OS里面的病毒了 呵呵
那就搞搞windows把
作者: yjd    时间: 2010-4-9 16:33
原帖由 dvd008 于 2010-4-8 15:49 发表
低格数据就没了

mbr后面有一段空间,用diskgen清空,那病毒就没了
其它磁盘工具给这部分填0 也行,然后bootsect mbr 即可
对xp等 mbr后面的东西没用

那病毒就在那里


我在想是不是受天涯海角1216那个文章的启发 。。。

以后这部分东西都跑到伪分区,剩余空间。不用winhex还真不好看到。。。
作者: icev44v44    时间: 2010-4-9 17:32
现在的病毒还真不是很好对付啊
作者: lvmenbo    时间: 2010-4-10 11:01


如图 用dg 两个步骤 先重建mbr 接着选下面的清除保留扇区
作者: lvmenbo    时间: 2010-4-10 11:02
操作完后记得保存更改
作者: bartonking    时间: 2010-4-10 13:08
解决方法:
1,用启动光盘启动到DOS状态下,运行命令: fdisk   /mbr  就可以搞定,
2,如果FIDKS 运行失败,可以使用光盘启动DISKGEN,清除主引导

ps:如果有多个硬盘,请一个硬盘一个硬盘的清除,怕交叉感染! 另外启动U盘.移动设备也要清除。
作者: yfwang0798    时间: 2010-4-10 21:28
网上google了mbr  virus,发现国外也有类似病毒,fdisk  /mbr无效,使用xp安装光盘启动,进入恢复控制台,运行fixmbr无效,似乎中了毒以后,没有什么好办法能够既杀掉病毒,又可以确保数据不丢失。但是在没有中mbr 病毒以前,老外推荐一个免费软件hdhacker v1.4,可以将硬盘的mbr 记录先保存下来,用来中毒后的mbr扇区的恢复。注意:要选择的是物理磁盘的mbr记录。
hdhacker.zip (35.75 KB, 下载次数: 47)

[ 本帖最后由 yfwang0798 于 2010-4-10 22:17 编辑 ]

hdhacker.zip

35.75 KB, 下载次数: 39, 下载积分: 无忧币 -2

hdhacker

hdhacker.zip

35.75 KB, 下载次数: 40, 下载积分: 无忧币 -2

hdhacker
作者: feiyl    时间: 2010-4-11 07:27
进PE用whinx操作就可以了
作者: anablap    时间: 2010-4-11 21:05
这个还没有遇到~~~~~~~~~~~
作者: zqjiang    时间: 2010-4-13 15:36
原帖由 feiyl 于 2010-4-11 07:27 发表
进PE用whinx操作就可以了

有没有详细一点的操作过程~
作者: hbbenmao    时间: 2010-4-15 16:44
我想你不是中mbr病毒 。应该是装了一键还原的问题,NOD32杀毒软件启动时扫描引导扇区,就会提示,
作者: viptks    时间: 2010-4-18 10:46
是鬼影,用DG重新创建MBR可以搞定
作者: dvd008    时间: 2010-4-19 12:48
原帖由 zqjiang 于 2010-4-13 15:36 发表

有没有详细一点的操作过程~


分区表前面那部分填0,然后重写mbr
或者将分区表和mbr中间部分填0

只要熟悉分区表结构就可以操作,这个病毒就写在中间,并且会拦截一些修改动作,
认你无法删除。原理可能和3名类似,dos下无法处理,pe下行。
dm之类的可以不用bios的工具,低格一会也行。

记得先备份分区表,然后再操作。
作者: wang6610    时间: 2010-4-19 12:57
原帖由 dvd008 于 2010-4-19 12:48 发表


分区表前面那部分填0,然后重写mbr
或者将分区表和mbr中间部分填0

只要熟悉分区表结构就可以操作,这个病毒就写在中间,并且会拦截一些修改动作,
认你无法删除。原理可能和3名类似,dos下无法处理,p ...



光盘启动用dos不可以吗?



欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3