广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 33596 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] MBR中毒自己修复的方法(X86+X64)
MBR中毒自己修复的方法(X86+X64)
MBR中毒很难修 正式微软原厂建议 TDSSKILLER跟不上病毒进度

1. 需Windows Vista 或 Windows 7 安装光碟
2. 外部开机


您可以使用 Windows 修复环境 (Windows RE) 中的 Bootrec.exe 工具,疑难排解和修复 Windows Vista 或 Windows 7 中的下列项目:
主开机记录 (MBR)
开机磁区
开机设定资料 (BCD) 存放区


如果要执行 Bootrec.exe 工具,您必须启动 Windows RE。如果要执行这项操作,请依照下列步骤执行:
将 Windows Vista 或 Windows 7 安装光碟放入光碟机中,然后启动电脑。
出现提示时,按一下按键。
选取语言、时间、货币、键盘或输入法,然后按一下 [下一步]。
按一下 [修复电脑]。
按一下您想要修复的作业系统,然后按一下 [下一步]。
在 [系统修复选项] 对话方块中,按一下 [命令提示字元]。
输入 Bootrec.exe,然后按 ENTER。
注意 如果要使用 Windows Vista 或 Windows 7 DVD 启动电脑,您必须将电脑设为从 DVD 光碟机启动。如需有关如何将电脑设为从 DVD 光碟机启动的详细资讯,请参阅电脑随附的说明文件,或连络电脑制造商。



Bootrec.exe 选项
Bootrec.exe 工具支援下列选项。请使用适合您情况的选项。

注意 请使用 Bootrec.exe 工具疑难排解「Bootmgr 遗失」的问题。如果重建 BCD 无法解决启动问题,则您可汇出并删除 BCD,然后重新执行此选项。如此一来,就可以确定 BCD 已完全重建。

如果要执行这项操作,请在 Windows RE 命令提示字元下输入下列命令: 预设C: 多重开机会不在C: 自己对应
bcdedit /export C:\BCD_Backup
c:
cd boot
attrib bcd -s -h -r
ren c:\boot\bcd bcd.old
bootrec /RebuildBcd



Bootrec.exe 所有参数足够能够正常开机

/FixMbr
/FixMbr 选项会将 Windows 7 或 Windows Vista 相容的 MBR 写入系统磁碟分割。这个选项不会覆写现有的磁碟分割表格。必须解决 MBR 损毁问题或从 MBR 中移除非标准程式码时,请使用此选项。
/FixBoot
/FixBoot 选项会使用与 Windows Vista 或 Windows 7 相容的开机磁区,将新的开机磁区写入系统磁碟分割。如果下列其中一种情况成立,请使用此选项:
开机磁区已由非标准 Windows Vista 或 Windows 7 开机磁区所取代。
开机磁区已损毁。
安装 Windows Vista 或 Windows 7 之后,又安装了旧版的 Windows 作业系统。如果是这种情况,电脑会使用 Windows NT Loader (NTLDR) 启动,而非使用 Windows Boot Manager (Bootmgr.exe) 启动。
/ScanOs
/ScanOs 选项会扫描所有磁碟,寻找与 Windows Vista 或 Windows 7 相容的安装。此外,这个选项会显示目前不在 BCD 存放区中的项目。如果有 [开机管理程式] 功能表未列出的 Windows Vista 或 Windows 7 安装时,请使用此选项。
/RebuildBcd
/RebuildBcd 选项会扫描所有磁碟,寻找与 Windows Vista 或 Windows 7 相容的安装。此外,这个选项可让您选取要加入至 BCD 存放区的安装。如果您必须完全重建 BCD,请使用这个选项。



http://support.microsoft...7392/zh-tw



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾硕网网路娱乐股份有限公司 | Posted:2012-04-20 23:56 |
kamancy 手机
数位造型
个人文章 个人相簿 个人日记 个人地图
小有名气
级别: 小有名气 该用户目前不上站
推文 x0 鲜花 x894
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

请问如何知道是 MBR 中毒呢?
通常感染的途径是什么?
现在还流行 MBR 中毒吗?

MBR 中毒电脑会有什么状况?

谢谢


学习无限大♪爬文无限大♪
献花 x0 回到顶端 [1 楼] From:台湾远传电信股份有限公司 | Posted:2012-04-24 12:13 |
Davis 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x60
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

图 1.

图 2.



也可用手工来检查,第一张是正常的MBR,第二张就不太正常的。


知之为知之,不知为不知,是知也
献花 x1 回到顶端 [2 楼] From:台湾新世纪资通股份有限公司 | Posted:2012-05-01 20:05 |
Davis 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x60
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

Hi kamancy,

关于你询问的问题,我简单回答如下,因为要解释清楚并非三言两语可行。

检查MBR是否受到感染并加以修正,有很多方法,我简单介照两种种方法。


第一种自动工具检测

下载 MBRCheck 到桌面后,点击后按Enter,桌面会有一个

MBRCheck的txt档,如果是正常档案的最下方会显示如下(以XP为例)

PhysicalDrive0 Model Number: WDCWD5000AAJS-22YFA0, Rev: 12.01C02

    Size Device Name       MBR Status
--------------------------------------------
  465 GB \\.\PhysicalDrive0   Windows XP MBR code detected
        SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

第二种手工检测与修复

将你电脑作业系统的MBR dump 收集,收集的方法有很多,如果你己下载了MBRCheck,可以用
这个软体来收集。开始>执行>将下列的命令贴上后,按Enter可在桌面得到一个mbrdump.dat的档案。

复制程式
"%userprofile%\Desktop\MBRCheck.exe" -s 0 -d mbrdump.dat

可将这个mbrdump.dat上传到 virustotal 来进行检测,是否受感染。如果需要修复

,有很多种软体可处理,当然XP与Vista 或Win7 有许多不同之处。

如以手工来修复可以下载 HxD Hex Editor 到桌面安装后,右键按mbrdump.dat以

HxD Hex Editor开启,就会如同下列的Hex档,你可以进行编辑修复,然后另存新档后,更换感染的mbr档。

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

00000000 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C 3ÀŽÐ¼.|ûP.P.ü¾.|
00000010 BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04 ¿..PW¹å.ó¤Ë½¾.±.
00000020 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5 8n.|.u.ƒÅ.âôÍ.‹õ
00000030 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B ƒÆ.It.8,tö µ.´.‹
00000040 F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88 ð¬<.tü»..´.Í.ëòˆ
00000050 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B N.èF.s*þF.€~..t.
00000060 80 7E 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83 €~..t. ¶.uÒ€F..ƒ
00000070 46 08 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB F..ƒV..è!.s. ¶.ë
00000080 BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0 ¼.>þ}Uªt.€~..tÈ 
00000090 B7 07 EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56 ·.ë©‹ü.W‹õË¿..ŠV
000000A0 00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC .´.Í.r#ŠÁ$?˜ŠÞŠü
000000B0 43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56 C÷ã‹Ñ†Ö±.ÒîB÷â9V
000000C0 0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C .w#r.9F.s.¸..».|
000000D0 8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A ‹N.‹V.Í.sQOtN2äŠ
000000E0 56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD V.Í.ëäŠV.`»ªU´AÍ
000000F0 13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60 .r6.ûUªu0öÁ.t+a`
00000100 6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A j.j.ÿv.ÿv.j.h.|j
00000110 01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B .j.´B‹ôÍ.aas.Ot.
00000120 32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 49 6E 76 61 2äŠV.Í.ëÖaùÃInva
00000130 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 lid partition ta
00000140 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E ble.Error loadin
00000150 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst
00000160 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 em.Missing opera
00000170 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 00 00 ting system.....
00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001B0 00 00 00 00 00 2C 44 63 22 E2 B6 9D 00 00 00 01 .....,Dc"â¶.....
000001C0 01 00 27 FE FF FF 3F 00 00 00 3B 4C 38 01 80 FE ..'þÿÿ?...;L8.€þ
000001D0 FF FF 07 FE FF FF 00 50 38 01 F8 C7 52 07 00 17 ÿÿ.þÿÿ.P8.øÇR...
000001E0 C1 FF 07 FE FF FF 03 18 8B 08 6B 3C A3 06 00 FE Áÿ.þÿÿ..‹.k<£..þ
000001F0 FF FF 07 FE FF FF 00 70 2E 0F 40 E4 09 2B 55 AA ÿÿ.þÿÿ.p..@ä.+Uª


这种手工修复只适用于进阶用户,就是了解mbr的人来使用,否则会造成系统无法启动。由其是Vista,Win7与XP的

启动档在不同的分区。当然有很多的自动工具来处理修复mbr。一般感染TDL4 bootkit会造成下列的现象


1.搜寻引擎会被绑架
2.系统所用的Bootrec /fixmbr来修复的命令无效
3.用系统的Bootrec /fixboot会造成系统无法启动
4.病毒会自动在硬碟创建一个active的分区来取代原来的启动分区,例如最新的Zero Access病毒

目前我们来解决此类的问题,最好的办法就是使用第三方的PE recovery CD来处理,就是移除病毒、修复mbr一次搞定。希有所助益。 表情


知之为知之,不知为不知,是知也
献花 x1 回到顶端 [3 楼] From:台湾新世纪资通股份有限公司 | Posted:2012-07-22 22:53 |
Davis 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x0 鲜花 x60
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

图 1.



请问 SPFdisk 重建 MBR 可以清除病毒吗?
我没有使用过SPFdisk,但如果spfdisk有更换启动分区的功能,应该是可以的。因为病毒不但改变了mbr也改变了启动分区,尤其是Vista 与Win7。

一般而言xp的启动分区是在系统的C:\,但Vista 与 Win7是在System Reserved Partitions,而这个分区是Hidden(隐藏)的,所以除了修复完后,必须将启动的分区归还原始预设的启动分区。


例如上面这个Win7的硬碟的图,其中Capacity为1MB这个分区就是病毒所创建的分区,修复之时,除了要删除这个分区,也必须检查启动是否回复到reserved partition,如果没有就要让启动还原预设的分区。但xp就没有这个问题。


[ 此文章被Davis在2012-07-23 00:10重新编辑 ]


知之为知之,不知为不知,是知也
献花 x1 回到顶端 [4 楼] From:台湾新世纪资通股份有限公司 | Posted:2012-07-22 23:59 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.074826 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言