最近不少同事中了类似MBR的病毒，非常苦恼，不知有什么方法解决！！

qidonga · 发表于 2010-4-8 11:37:15

我周围的同事近来都不知为何中了同一种病毒，无论怎么格式化，都无效果，我初步认为是主引导病毒，在DOS下fdisk /mbr依然不能解决问题，这种病毒的症状就是机器频繁蓝屏，莫不是分区表的问题？

http://hi.baidu.com/a2468/blog/item/53396bf0f444b3a4a40f5218.html
我说的情况跟上面这个帖子里的情况非常类似，但是解决这个病毒的方法不能总用“瞬间将硬盘分为四个区”这个方法来解决啊，请问坛子里的高手，有没有更好的方法可以解决，多谢！！！

dvd008 · 发表于 2010-4-8 11:45:12

pe下，用 bootsect /mbr

bootsect用win7的即可，03pe可以运行的，放system32

dos下不好事，因为病毒会拦截操作

其它可以用diskgen 等重新建mbr

qidonga · 发表于 2010-4-8 14:12:03

谢谢这位同学，用了这个方法，还是解决不了，同学看一下我那个里面的帖子，研究下，避免中此类的病毒

dvd008 · 发表于 2010-4-8 15:39:06

如果仅这些，文件里面的没删除，还会感染的

仅mbr部分是没问题的，通过清空，重新建立，已经删除保留扇区，
病毒代码已经没了

但是，已经感染的文件你没处理

111kkk · 发表于 2010-4-8 15:44:20

用这个估计拿下没商量!!
LFORMAT

dvd008 · 发表于 2010-4-8 15:49:12

低格数据就没了

mbr后面有一段空间，用diskgen清空，那病毒就没了
其它磁盘工具给这部分填0 也行，然后bootsect mbr 即可
对xp等 mbr后面的东西没用

那病毒就在那里

111kkk · 发表于 2010-4-8 15:51:35

不过这需要极大的耐心,要一直等到医生告诉你:电脑已经脱离危险

111kkk · 发表于 2010-4-8 15:55:18

数据都成"啥s"了,消灭还来不及

dvd008 · 发表于 2010-4-8 16:05:56

病毒没那么可怕的

我可以在已经感染病毒的机器和系统下，正常安装系统，原来数据
保留，然后在新系统下杀毒

带病毒运行也是经常的，没什么事。不过就是一段代码

快雪时晴 · 发表于 2010-4-8 18:10:00

鬼影,又见鬼影
为什么WINDOWS操作系统对于MBR没有保护措施呢?

wangmeng052 · 发表于 2010-4-8 18:11:14

如果认定是主引导病毒，在DOS下fdisk /mbr应该能解决问题！！！！！

wowfans · 发表于 2010-4-9 16:20:17

用启动U盘光盘等
避过硬盘启动
然后对硬盘MBR进行恢复
并对PBR也进行操作

这样还不行就是OS里面的病毒了呵呵
那就搞搞windows把

yjd · 发表于 2010-4-9 16:33:32

原帖由 dvd008 于 2010-4-8 15:49 发表
低格数据就没了

mbr后面有一段空间，用diskgen清空，那病毒就没了
其它磁盘工具给这部分填0 也行，然后bootsect mbr 即可
对xp等 mbr后面的东西没用

那病毒就在那里

我在想是不是受天涯海角1216那个文章的启发。。。

以后这部分东西都跑到伪分区，剩余空间。不用winhex还真不好看到。。。

icev44v44 · 发表于 2010-4-9 17:32:43

现在的病毒还真不是很好对付啊

lvmenbo · 发表于 2010-4-10 11:01:44

如图用dg 两个步骤先重建mbr 接着选下面的清除保留扇区

lvmenbo · 发表于 2010-4-10 11:02:32

操作完后记得保存更改

bartonking · 发表于 2010-4-10 13:08:39

解决方法:
1,用启动光盘启动到DOS状态下,运行命令: fdisk /mbr 就可以搞定,
2,如果FIDKS 运行失败,可以使用光盘启动DISKGEN,清除主引导

ps:如果有多个硬盘，请一个硬盘一个硬盘的清除,怕交叉感染! 另外启动U盘.移动设备也要清除。

yfwang0798 · 发表于 2010-4-10 21:28:52

网上google了mbr virus，发现国外也有类似病毒，fdisk /mbr无效，使用xp安装光盘启动，进入恢复控制台，运行fixmbr无效，似乎中了毒以后，没有什么好办法能够既杀掉病毒，又可以确保数据不丢失。但是在没有中mbr 病毒以前，老外推荐一个免费软件hdhacker v1.4，可以将硬盘的mbr 记录先保存下来，用来中毒后的mbr扇区的恢复。注意：要选择的是物理磁盘的mbr记录。

hdhacker.zip (35.75 KB, 下载次数: 47)

[ 本帖最后由 yfwang0798 于 2010-4-10 22:17 编辑 ]

feiyl · 发表于 2010-4-11 07:27:14

进PE用whinx操作就可以了

anablap · 发表于 2010-4-11 21:05:16

这个还没有遇到~~~~~~~~~~~

zqjiang · 发表于 2010-4-13 15:36:46

原帖由 feiyl 于 2010-4-11 07:27 发表
进PE用whinx操作就可以了

有没有详细一点的操作过程~

hbbenmao · 发表于 2010-4-15 16:44:21

我想你不是中mbr病毒。应该是装了一键还原的问题，NOD32杀毒软件启动时扫描引导扇区，就会提示，

viptks · 发表于 2010-4-18 10:46:08

是鬼影,用DG重新创建MBR可以搞定

dvd008 · 发表于 2010-4-19 12:48:51

原帖由 zqjiang 于 2010-4-13 15:36 发表

有没有详细一点的操作过程~

分区表前面那部分填0，然后重写mbr
或者将分区表和mbr中间部分填0

只要熟悉分区表结构就可以操作，这个病毒就写在中间，并且会拦截一些修改动作，
认你无法删除。原理可能和3名类似，dos下无法处理，pe下行。
dm之类的可以不用bios的工具，低格一会也行。

记得先备份分区表，然后再操作。

wang6610 · 发表于 2010-4-19 12:57:55

原帖由 dvd008 于 2010-4-19 12:48 发表

分区表前面那部分填0，然后重写mbr
或者将分区表和mbr中间部分填0

只要熟悉分区表结构就可以操作，这个病毒就写在中间，并且会拦截一些修改动作，
认你无法删除。原理可能和3名类似，dos下无法处理，p ...

光盘启动用dos不可以吗？

		自动登录	找回密码
密码			注册