迅维网

标题: 从事行业10余年第一次遇到此病毒,深藏不露,无形,棘手 [打印本页]
作者: 沁园工作室    时间: 2012-10-30 14:56
标题: 从事行业10余年第一次遇到此病毒,深藏不露,无形,棘手
今天客户 带来一台主机说开机不了,  我拿来一上电 过了主板LOGO 后 卡在 黑底白字
没有照下照片
记忆中是
ERROR: 00003H什么的
ERROR:00003H什么的
ERROR:00003H什么的   大概是这种样式

引导不了硬盘 进不了系统

插进U盘 启动到PE  能正常看到分区 等文件系统,查看各个分区 有无AUTORUN.INF  什么 PXXX.pig 什么的隐藏可疑病毒....
却一切完好..

二话不说先直接干系统, 直接使用硬盘之前备份的GHO 文件恢复, 恢复系统后反映速度什么的都很理想 所有系统功能都正常,进程也无异常,  接着安装杀毒软件,却无法正常启动. 安装完重启后卡在登录画面许久,查看系统事件,发现杀毒软件启动组件失败,所以启动画面中卡了许久,  肯定是病毒造成的但是病毒在哪 根本找不到,  是不是我点了其他分区启动了我没发现的病毒么?  还是病毒从GHO 文件写入的病毒文件么? 为了以防万一 重新拷贝一份GHO 到硬盘和另外一款杀毒软件压缩包,把杀毒软件压缩包创建了一个快捷方式 改名为1.lnk  放在分区根目录(这样做是为了装完系统后 不去点击任何磁盘,直接启动CMD 运行 d:1.lnk 来安装系统 保持系统的干净)
从新GHOST 安装一个干净系统后 什么都不装,直接先 开始运行 Cmd  D:1.LNK 安装杀毒软件 安装中全正常, 安装完毕后依然启动失败, 换一个杀毒软件也是一样... 我无语了...

就在想是不是引导区病毒呢?  从新启动进PE 启动PM分区软件 删除C盘 提示破坏可引导记录什么的, 确定后再创建C盘格式化, 完毕后直接在 PE 恢复 新拷贝的GHO 文件 安装系统完毕后...  依然是这种现象....

现在只有一个方法了..把硬盘从新全盘分区格式化, 但是客户需要数据,  问题没找出我也不想这么做

哎...  到这里没办法了... 不知道要怎么搞了...     有朋友遇到过这种情况吗?
作者: 众信电脑维修    时间: 2012-10-30 15:35
我弄这种情况的硬盘,一般都装硬盘盒里,挂到别的装有杀毒软件的机器上杀毒。要么就是用量产成USB-COM能上网的PE,再用360急救箱在线杀
作者: hzhf9915    时间: 2012-10-30 15:52
有数据先拷出来啊,在分区,要不就挂到别的机器上杀毒!
作者: 荷尖上的蜻蜓    时间: 2012-10-30 16:51
先用GHOST把全盘的数据备下来,再操作格式化等,系统做好后再恢复过来。
作者: 2486    时间: 2012-10-30 17:39
进PE把数据拷出来  然后该怎么处理 你随便了
作者: maxels    时间: 2012-10-30 19:08
先搞个硬盘装好系统,再把他的硬盘挂上去拷资料,拷完了再进行杀毒咯
作者: qw8020501    时间: 2012-10-30 21:03
用DISKGEN 清除下主引导记录 (MBR) PE里应该有这个软件 而且不会丢失其他盘数据
作者: liuliaipeng    时间: 2012-10-30 22:07
360急救箱PE版杀个试试,扇区引导病毒应该可以干掉
作者: 姑苏二月鸟    时间: 2012-10-30 22:09
在DOS下用命令行把重要数据拷贝出来,然后全盘低格。
作者: jiaobeibei    时间: 2012-10-31 11:13
全盘格式化就好了 我遇到过一次是 杀毒软件打开后就自动退出 反应慢
作者: 愤怒小鸟    时间: 2012-10-31 12:09
用光盘版GHOST系统安装C盘,安装完毕后上网下载360杀毒软件,进行全盘杀毒。
注意事项:
    1. 全盘杀毒之前,不要打开其他盘,如非要打开请在地址栏中输入盘符:回车
    2.不要插U盘,移动硬盘。
    3.杀完毒之前不要运行除C盘外的任何可执行文件。
这种病毒几年前就出现了,多费点事很容易解决。祝你好运
作者: 流浪古城    时间: 2012-11-1 18:24
把硬盘取下,在其他机子上做从盘,用江民在系统启动前查杀病毒。
作者: 花花功子    时间: 2012-11-4 15:39
用PE把需要的文件拷出!!!!之后就像楼主说的了,随便了…………。哈哈。
作者: sammam    时间: 2012-11-5 06:11
如7楼,进PE,用DISKGEN 清除下主引导记录 (MBR),这种病毒就直接写入主引导区。
作者: jinlizhpc    时间: 2012-11-5 21:52
应该引导区病毒,PE重建分区表亦可
作者: 沁园工作室    时间: 2012-11-6 09:03
qw8020501 发表于 2012-10-30 21:03

                               
登录/注册后看高清大图

用DISKGEN 清除下主引导记录 (MBR) PE里应该有这个软件 而且不会丢失其他盘数据

DISKGEN 重建MBR    , FDISK /MBR , PE删除C盘破坏引导信息  

还是不顶用
作者: 沁园工作室    时间: 2012-11-6 09:04
jinlizhpc 发表于 2012-11-5 21:52

                               
登录/注册后看高清大图

应该引导区病毒,PE重建分区表亦可

各种重建MBR 不顶用
作者: 沁园工作室    时间: 2012-11-6 09:05
愤怒小鸟 发表于 2012-10-31 12:09

                               
登录/注册后看高清大图

用光盘版GHOST系统安装C盘,安装完毕后上网下载360杀毒软件,进行全盘杀毒。
注意事项:
    1. 全盘杀毒 ...

你的方法试过, 不顶用, 装完系统C盘就已中毒 怎么整都是白搭
作者: 沁园工作室    时间: 2012-11-6 09:07
花花功子 发表于 2012-11-4 15:39

                               
登录/注册后看高清大图

用PE把需要的文件拷出!!!!之后就像楼主说的了,随便了…………。哈哈。

这个应该能解决, 就是费事了点,而且还没找到病根, 主要是摸清楚这个病毒到底是怎么躲的
作者: ck530    时间: 2012-11-6 09:18
wi用nhex清除所有扇区数据  
作者: popo205    时间: 2012-11-6 09:22
说了那么多,不就是中了个鬼影嘛,有什么好奇怪的。PE下,用DiskGen重建一下MBR就可以了。
作者: tom96202    时间: 2012-11-6 19:23
BIOS你刷没???现在的病毒会感染特定的BIOS
作者: LIOS    时间: 2012-11-17 20:50
呵呵。我楼上的楼上。楼主有说不顶用哦。。。鬼影。。什么情况~
作者: rcasus    时间: 2012-11-23 21:34
你先装好系统 不要打开其他盘的资料 先装个金山网盾杀下 再重起装杀毒软件全盘杀毒就OK了
作者: rcasus    时间: 2012-11-23 21:37
看你的情况  中了鬼影病毒 还有。EXE 可以执行病毒 还有那个什么自动木马下载器等病毒
作者: 沁园工作室    时间: 2012-11-23 23:47
popo205 发表于 2012-11-6 09:22

                               
登录/注册后看高清大图

说了那么多,不就是中了个鬼影嘛,有什么好奇怪的。PE下,用DiskGen重建一下MBR就可以了。

没看到我上面说的吗. 用diskgen 重建MBR  和 PM 重建   无效!
作者: 沁园工作室    时间: 2012-11-23 23:49
rcasus 发表于 2012-11-23 21:34

                               
登录/注册后看高清大图

你先装好系统 不要打开其他盘的资料 先装个金山网盾杀下 再重起装杀毒软件全盘杀毒就OK了

装好系统 就是没有打开任何盘 , 在装系统前 就创建好 杀毒软件的快捷方式 ,装好系统后第一时间 运行CMD 直接执行 快捷方式打开 杀毒软件安装, 还是中招
作者: rcasus    时间: 2012-11-24 11:58
沁园工作室 发表于 2012-11-23 23:49

                               
登录/注册后看高清大图

装好系统 就是没有打开任何盘 , 在装系统前 就创建好 杀毒软件的快捷方式 ,装好系统后第一时间 运行CMD 直 ...

1,装系统前先放电5分钟 就是关机不带电  如果你不是这样做的话病毒会驻留内存 。
2,开机后用PE启动装系统 系统
3,不能用原来硬盘里的文件来装系统。用光盘里的或者U盘里的PE来装系统。
4,装好系统后马上装 金山网盾 不要装其他杀毒软件
5,装好金山网盾 全面修复下系统,扫描后杀毒和木马 。
6,在重起电脑装其他杀毒软件 在全盘杀毒。
OK.......

作者: scq330    时间: 2012-11-24 12:10
rcasus 发表于 2012-11-24 11:58

                               
登录/注册后看高清大图

1,装系统前先放电5分钟 就是关机不带电  如果你不是这样做的话病毒会驻留内存 。
2,开机后用PE启动装系 ...

你懂不懂?重启正常开机内存自动复位了,什么病毒驻留内存这样的骗小孩的话就不要说了。。。
作者: scq330    时间: 2012-11-24 12:14
连这个你都解决不了?1.用工具进pe,diskgen 重建MBR,2.用diskgen 清每个盘的autorun这个文件,3.在pe下直接ghost干净的系统,4.重启装系统,装完不要动其它盘,5.直接上网随便装个最新的杀毒软件做全盘杀毒。。。。我一直这样装系统,从没见过杀不死的病毒。。。如果是先装系统再清mbr,这个病毒可能已经进系统了,你再清mbr又会感染(这就是你杀不死这个病毒的原因。),所以按我上面的顺序去做就没有杀不死的病毒,
作者: 天涯浪人520    时间: 2012-11-24 12:26
进PE,用DISKGEN 清除下主引导记录 (MBR),这种病毒就直接写入主引导区
本文来自:迅维网(www.chinafix.com.cn),详细出处参考:http://www.chinafix.com.cn/thread-584706-1-1.html
作者: rcasus    时间: 2012-11-24 13:14
rcasus 发表于 2012-11-24 11:58

                               
登录/注册后看高清大图

1,装系统前先放电5分钟 就是关机不带电  如果你不是这样做的话病毒会驻留内存 。
2,开机后用PE启动装系 ...

驻留型病毒按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒,驻留型病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
作者: QQ1424519859    时间: 2012-11-25 11:17
用安装版的,第一次直接启用安全模式(网络)全盘格杀!
作者: jyfvppyon    时间: 2012-11-28 22:06
直接重做系统。。就行了。
作者: zgq2012    时间: 2012-12-3 09:45
可以进DOS重新引导主分区
或者如楼上用winhex清除扇区数据
作者: pengcheng4989    时间: 2012-12-3 09:49
在于沟通 修快省时间最好
作者: kongqiboy    时间: 2012-12-3 14:17
用DG就能搞定,格式化系统盘,然后重建主引导记录,装完系统后千万别打开后面的分区,极有可能是后面分区的木马病毒;从网上下载杀毒软件全盘查杀。。。这样应该就OK了!当然要是他电脑没什么重要东西!最彻底和省事的办法就是DG快速分区就OK了!
作者: 浪漫着陆    时间: 2012-12-3 23:24
靠,有这种毒????
作者: qq651598102    时间: 2012-12-4 01:18
如果全格管用 那就说明病毒藏在D盘或者最后一个盘 一般是这样
作者: ysjiangxu    时间: 2012-12-4 18:55
N年前遇到过,将硬盘取下转换成USB,挂在别的系统上全盘杀毒就OK了。有这么长的时间应该早就杀完了。
作者: intergong    时间: 2012-12-21 15:40
有没有可能杀毒软件被映像劫持了。
作者: 16760238    时间: 2012-12-24 10:29
全盘低格了没有
作者: 快乐皮皮    时间: 2012-12-24 22:23
用PE里面-系统维护-修复引导。
作者: 沁园工作室    时间: 2013-1-1 15:46
ysjiangxu 发表于 2012-12-4 18:55

                               
登录/注册后看高清大图

N年前遇到过,将硬盘取下转换成USB,挂在别的系统上全盘杀毒就OK了。有这么长的时间应该早就杀完了。

除了格盘,只有这招好用
作者: manjianghong    时间: 2013-1-6 21:38
楼主的电脑硬盘究竟中的是什么病毒,完全可以确定是鬼影吗?
作者: hbyq    时间: 2013-1-6 22:08
重写主引导记录
作者: lldren    时间: 2013-1-6 22:30
其实楼主知道怎么去掉病毒,他只是想知道这个是什么病毒,藏在哪里了,佩服楼主的钻研精神。
作者: 城市的兵    时间: 2013-1-9 20:36
这好像是什么exe病毒,用dos版本金山毒霸查杀试一下
作者: xunweihaha    时间: 2013-3-23 17:23
学习了,没遇到过,不过挂个其他硬盘还是不错
作者: hlh0418    时间: 2013-3-25 11:37
我也遇到过,最后硬盘重新分区后才正常
作者: 温小剑    时间: 2013-3-25 11:51
先把资料考出来,然后在分区。我碰到这样的都是这样做,你杀那么久的病毒又不会多钱
作者: hylsky    时间: 2013-3-25 12:20
所有格式化之
作者: Ze-wentyoung    时间: 2013-3-27 22:59
居然有这么厉害的病毒,长见识了!
作者: ciwei    时间: 2013-3-27 23:40
我中过次蠕虫病毒,情况类似。后来自己抓出来杀掉的。它是以不停发邮件的方式向各文件夹里发毒种子。抓出来几千个。文件没少、杀了一天
作者: 星科技    时间: 2013-3-28 00:06
重要数据烤出来后。用MHDD的erase命令擦除。。20秒就行。然后就可以正常的分区装系统了。保证病毒不见了
作者: APC8MAC    时间: 2013-3-31 20:13
鬼影病毒鬼影病毒
作者: 修的是寂寞    时间: 2013-3-31 20:30
是不是BIOS中毒了?换台机器装系统
作者: zhaolinchao66    时间: 2013-3-31 20:31
挂pe拷数据 重新分区格式化把  
作者: initdrv    时间: 2013-4-7 16:17
2#方法很有创意很有效。量产成USB-ROM最保险!U盘只读不可写有点可惜。
作者: 664616216    时间: 2013-4-8 20:01
把硬盘全格式化就好了
作者: lostghost    时间: 2013-4-9 08:27
安全起见,先拷贝数据到沙盘
作者: 109177    时间: 2013-4-15 19:05
引导扇区病毒   做系统前重建引导记录!
作者: majer    时间: 2013-4-16 10:57
会不会是主板病毒?
作者: huaidan121    时间: 2013-4-25 10:04
强烈建议WINEX 清零
作者: r606    时间: 2013-5-2 16:18
应该是硬盘的问题。
作者: parn22    时间: 2013-5-12 13:58
拆硬盘到另台机器上杀毒



欢迎光临 迅维网 (https://www.chinafix.com/) Powered by Discuz! X3.4