硬盘MBR被修改后,重装系统有用吗?_百度知道
硬盘MBR被修改后,重装系统有用吗?
他是在运行系统前读取的，因此重装系统不会影响MBR如果MBR中毒（如鬼影等）;mbr命令进行无条件重写主引导区，然后去读取那个分区的启动区，使用Fdisk&#47没有用，MBR是主引导记录，作用是判断哪个分区被标记为活动分区，可以试试启动PE系统进DOS模式，并启动系统
其他类似问题
为您推荐：
其他3条回答
用易我分区表医生试试这个工具能自动的检查并且修复你的MBR、分区表和分区的引导扇区错误，系统进不去的话可以找绿色版拷贝进PE启动盘，进PE系统修复
重装系统的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁鬼影病毒分析介绍及手工处理方法-系统/上网/安全-就爱阅读网
您还可以使用以下方式登录
当前位置：&>&&>& > 鬼影病毒分析介绍及手工处理方法
鬼影病毒分析介绍及手工处理方法
自2010年鬼影病毒问世以来，可谓是开创了一类新型恶意软件编写的先河。经过两年多的发展，鬼影病毒&繁衍&了一代又一代，形成了特性鲜明的鬼影家族系列。之所以称之为鬼影病毒，主要是因为该病毒寄生在磁盘主引导记录（MBR）当中，即使格式化硬盘，甚至重装系统，也无法将其完全清除，犹如&鬼影&一般附身于计算机中&阴魂不散&，令人十分恼火。鬼影病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，并早于操作系统内核先加载，所以哪怕是重做了系统，只要MBR没重写，病毒就仍然存在。鬼影病毒目前已发展到第六代，已出现多个变种，且每个变种的行为都不尽相同，但它们都有一个共性，就是修改MBR。MBR，全称为Master Boot Record，即硬盘的主引导记录。位于硬盘的0柱面0磁道1扇区，不属于任何一个操作系统，是计算机通电开机、主板自检完成后，访问硬盘时必须读取的首个扇区。主引导扇区中记录着硬盘本身的相关信息以及硬盘各个分区的大小和位置信息，是数据信息的重要入口。如果它受到破坏，硬盘上的基本数据结构信息将会丢失，需要用繁琐的方式试探性的重建数据结构信息后，才可能重新访问原先的数据。主引导扇区的读取流程如下：1.&BIOS加电自检；2.&读取MBR，当BIOS检查到硬件正常并与CMOS中的设置相符后，按照CMOS中对启动设备的设置顺序检测可用的启动设备；3.&检查MBR的结束标志位是否等于55AAH，若不等于则转去尝试其他启动设备，如果没有启动设备满足要求，则显示&NO ROM BASIC&，然后死机；4.&当检测到有启动设备满足要求后，BIOS将控制权交给相应启动设备；5.&根据启动设备的MBR中的引导代码启动引导程序。通过上述流程可以看出，MBR对于操作系统来说是多么重要，一旦被破坏或被病毒恶意修改，对于系统来说都是致命的。因鬼影病毒而兴起的MBR-Rootkit技术颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，也算是具有划时代的意义。本文介绍的是鬼影家族的第三代产品，具有一定代表性。病毒现象及行为1）&桌面和快速启动栏多出伪装的IE快捷方式，主页被篡改为，且无法修改。图1：IE主页被篡改2）&&文件夹选项&设置被修改，隐藏文件扩展名、不显示隐藏的文件和文件夹，修改后重启电脑又被改为隐藏。&图2：&文件夹选项&设置被修改3）&任务管理器活动进程中多出一个alg.exe，通过查看进程PID，与XueTr中显示的进程对比，不难得出，PID为1784的才是正常的系统进程，位于C:\WINDOWS\system32下，而PID为1848的进程其实是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp伪装成的alg.exe，迷惑人的。图3：病毒释放Vanlmh.tmp伪装成系统进程alg.exe4）&使用XueTr的检测MBR Rookit功能，提示&未知MBR&。图4：XueTr检测到MBR异常上述现象只是肉眼看得到的表象，经过详细分析后得到的病毒行为主要有以下几个方面：A.&病毒运行后会打开磁盘获取磁盘信息，通过计算磁盘的大小来计算用来数据存放的磁盘具体位置。读取MBR并备份，以便系统初始化时调用原始的MBR完成对系统的引导，然后修改MBR，实现在系统启动的第一时间获取控制权。B.&释放驱动文件hello_tt.sys并加载，挂钩SCSI的DriverStartIO函数，用来过滤某些操作实现数据隐藏，并保护病毒修改的MBR不被修复掉。等待5秒，释放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp，创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项，名称为Alg，路径为C:\alg.exe。C.&删除C:\WINDOWS\system32\drivers\beep.sys文件，这样重启电脑后hello_tt.sys便可替代beep.sys顺利加载到系统中。D.&修改&文件夹选项&的设置，隐藏文件扩展名，不显示隐藏文件，在桌面和快速启动栏创建伪装的IE快捷方式，修改主页为，联网下载指定文件。手工处理方法1）&结束病毒活动进程并删除文件。图5：结束Vanlmh.tmp进程并删除文件2）&删除病毒创建的Alg启动项。图6：删除病毒创建的Alg启动项3）&摘除hello_tt.sys，替换掉beep.sys挂在SCSI下的钩子。图7：摘除SCSI hook4）&通过XueTr重置MBR，这里需要事先备份一份正常的MBR，由它来替换被病毒修改的MBR。图8：修复MBR5）&在IE设置中把病毒劫持的主页修改回来，从其他干净系统中拷贝一个beep.sys放到系统drivers目录下。通读完全文，是不是觉得网上传得神乎其神的鬼影病毒不再那么陌生和可怕了？MBR-RootKit技术之前主要在国外技术论坛传播，近几年因鬼影病毒的出现才在国内火了一把。在鬼影病毒之前，这项技术少有被黑客利用的案例，但未来可能会有更多恶意软件利用该技术长期驻留在用户电脑中。所以对于普通网友来说，多了解一些病毒知识，防患于未然是绝对有好处的就爱阅读网友整理上传,为您提供最全的知识大全,期待您的分享，转载请注明出处。
您可能也喜欢这些
2【原】初步认识电脑||||||||||
||||||||||
查看: 2587|回复: 17
电脑中了鬼影病毒全盘格式无济于事求助
阅读权限10
在线时间 小时
注册家电维修技术论坛，与同行畅聊维修技术，享更多技术论坛功能。
才可以下载或查看，没有帐号？
我的电脑中了鬼影病毒& & 全盘格式无济于事怎么办？
阅读权限45
在线时间 小时
本帖最后由 998998 于
17:04 编辑
一、鬼影病毒介绍
&&　　以前，常听用户说，中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录(MBR)，即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散。
&&二、鬼影病毒具体行为
&&1、该病毒伪装为某共享软件，欺骗用户下载安装。病毒文件中包含3部分文件： A、原正常的共享软件。 B、“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。 C、捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。
&&2，“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。
&&3，驱动会修改系统的引导区(mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
&&4，病毒母体自删除。
&&5，重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。
&&6，b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
&&7，b驱动会下载av终结者到电脑中，并运行。
&&8，av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。三、小结 “鬼影”病毒是第一个引导区下载者病毒，超越了传统的引导区病毒和下载者病毒，不光做到了三无特性，而且就算用户重装了系统，他也会阴魂不散的再次进入用户新系统，全新的结束手法，突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。
& &用金山鬼影2病毒专杀工具清除，有风险慎用
谢谢分享，家电维修论坛有您更精彩！
阅读权限45
在线时间 小时
沙发讲的很好
阅读权限35
在线时间 小时
将硬盘格式化分区应该行
阅读权限35
在线时间 小时
重写MBR不行吗？
阅读权限45
在线时间 小时
采用低级格式化 就和以前的cih 病毒 一个办法 去试试吧
阅读权限40
在线时间 小时
没有重要数据的话，下载用菜单最后一项的工具就可以解决
阅读权限35
在线时间 小时
呵呵，这个还真是划时代的病毒哈
阅读权限15
在线时间 小时
呵呵，厉害，学习了
阅读权限10
在线时间 小时
鬼影病毒真是太厉害了
( 鄂ICP备号-1 )&&
Powered by Discuz! X3.2
Comsenz Inc.
CopyRight ©
电子邮箱：
QQ：8794149
官方网址：
服务条款•隐私声明•
Wuhan Qiji Technology Co., Ltd.
武汉奇迹科技有限公司只需一步，快速开始
后使用快捷导航
疑似鬼影、多次重建mbr 格式化重装都没有用，
该用户从未签到
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
本帖最后由 尤宁宇 于
21:07 编辑
前段时间中了鬼影，每次重建MBR 格式化重装后、电脑一连网就开始卡死，重新或者第二天开机变成超级漫长、疑似鬼影变种还是其他病毒、、多次重建MBR 格式化重装后， 急救箱 专杀 鬼影专杀 都已用过、第二天开机问题依旧 开机卡死。 系统绝对没问题 光碟安装的 ，电脑下载雨林木风等都用过。
现在刚刚重装完，听说power tool 很好用、一些看的懂。该怎么做。试了一次直接中断可疑驱动，直接蓝屏了。下面发图，在线等。
QQ截图49.png (1.49 MB, 下载次数: 83)
20:41 上传
扩展名隐藏？
QQ截图00.png (1.15 MB, 下载次数: 70)
20:45 上传
检测到恶意代码VBR bootkit
QQ截图12.png (977.4 KB, 下载次数: 66)
20:45 上传
QQ截图26.png (978.07 KB, 下载次数: 66)
20:45 上传
jincheng无文件厂商？有两个 一个是UExplorer tran文件夹、一个是system
QQ截图53.png (1.43 MB, 下载次数: 65)
20:49 上传
三个可疑驱动模块、
QQ截图11.png (731.82 KB, 下载次数: 67)
20:51 上传
QQ截图21.png (779.47 KB, 下载次数: 65)
20:51 上传
QQ截图31.png (787.61 KB, 下载次数: 68)
20:51 上传
内核回调 内核线程 过滤驱动里都有文件厂商显示文件不存在
QQ截图00.png (1.32 MB, 下载次数: 65)
20:53 上传
QQ截图24.png (1.73 MB, 下载次数: 72)
20:53 上传
SHA DOW ssdt钩子也有文件不存在的
QQ截图57.png (1.27 MB, 下载次数: 67)
20:55 上传
钩子内核入口点有个unkoown的
QQ截图18.png (1.12 MB, 下载次数: 64)
20:55 上传
QQ截图28.png (1.39 MB, 下载次数: 64)
20:55 上传
eat有个文件不存在
QQ截图30.png (1.57 MB, 下载次数: 66)
20:57 上传
QQ截图43.png (1.4 MB, 下载次数: 62)
20:57 上传
系统中断表 unknown 文件不存在。
QQ截图27.png (1.5 MB, 下载次数: 61)
20:58 上传
各个盘里pt显示的文件
QQ截图05.png (1.54 MB, 下载次数: 62)
21:00 上传
QQ截图17.png (1.39 MB, 下载次数: 66)
21:01 上传
服务 启动项 有文件不存在的
QQ截图53.png (1.07 MB, 下载次数: 65)
21:02 上传
注册表太多 没看、、、、怎么做，求指导
驱动模块中除了可疑驱动，还有一些文件驱动显示文件不存在的、
浏览器被劫持、主页设为,hao123变为/百度中间也是、
你是用启动盘启动进DOS下或PE下重建MBR的么？
天月来了 发表于
你是用启动盘启动进DOS下或PE下重建MBR的么？
用过光盘带的dos 也用过U盘做的pe,自己都乱了现在、、
既然有且会用PE，就没那么费劲。
1、将PE插入USB口。
2、开机按F12，用上下箭头移动光标，选中你的PE盘，按回车。（选择PE引导系统）。
3、在PE下运行diskgenius（PE中一般都有这个工具）。
4、点击diskgenius工&
尤宁宇 发表于
用过光盘带的dos 也用过U盘做的pe,自己都乱了现在、、
既然有且会用PE，就没那么费劲。
1、将PE插入USB口。
2、开机按F12，用上下箭头移动光标，选中你的PE盘，按回车。（选择PE引导系统）。
3、在PE下运行diskgenius（PE中一般都有这个工具）。
4、点击diskgenius工具栏上的“硬盘”，在下拉菜单中点击“重建主引导记录（MBR）”
5、点击工具栏上的“工具”，在下拉菜单中点击“检查分区表错误”（确认分区表无误）。
6、有系统备份的话，用备份恢复系统。无系统备份的话，用系统安装程序安装系统。如果用的是自ISO文件中解压到硬盘某个分区的系统安装程序，你自己应确定该系统安装程序目录下的文件未被病毒感染。（这些别人是不清楚的）。
PS：如果用已经被感染过的系统安装程序安装系统，那就...........（自己想吧）。
若操作无误，以上操作可以完全搞掂鬼影病毒。
baohelin 发表于
既然有且会用PE，就没那么费劲。
1、将PE插入USB口。
2、开机按F12，用上下箭头移动光标，选中你的PE盘 ...
嗯，我再试试
baohelin 发表于
既然有且会用PE，就没那么费劲。
1、将PE插入USB口。
2、开机按F12，用上下箭头移动光标，选中你的PE盘 ...
PE下，已重建Mbr、&&再重新分区 、检查分区表没有错误、关机。设置光驱启动、现在光碟安装win7、、、
PS：等吧、、、、、、、、、、、
工具上误报了
楼主，按照你描述的不像是鬼影病毒，工具检测到恶意MBR，估计跟你自己重建MBR有关系
建议你还是拿去电脑店检查下硬件。
mzb 发表于
楼主，按照你描述的不像是鬼影病毒，工具检测到恶意MBR，估计跟你自己重建MBR有关系
建议你还是拿去电脑 ...
国庆的时候中过鬼影了、金山专杀查出过也删除了、
昨天重装完，今天开机又好久、我也怀疑是硬件的问题了、、、
baohelin 发表于
既然有且会用PE，就没那么费劲。
1、将PE插入USB口。
2、开机按F12，用上下箭头移动光标，选中你的PE盘 ...
刚刚开不了机，运行按F8，选修复计算机，选自动修复、显示发现根本问题：硬盘损坏。这是怎么了，是坏道还是要换硬盘了，求救。
mzb 发表于
楼主，按照你描述的不像是鬼影病毒，工具检测到恶意MBR，估计跟你自己重建MBR有关系
建议你还是拿去电脑 ...
刚刚开不了机，运行按F8，选修复计算机，选自动修复、显示发现根本问题：硬盘损坏。这是怎么了，是坏道还是要换硬盘了，求救。
去电脑店检查硬盘&
尤宁宇 发表于
刚刚开不了机，运行按F8，选修复计算机，选自动修复、显示发现根本问题：硬盘损坏。这是怎么了，是坏道还 ...
去电脑店检查硬盘
逛了这许久，何不进去瞧瞧？
关注我们：