Board logo

主題: [求助] [問題]一個很難纏的開機毒 [打印本頁]
發表人: asd20235    時間: 2009-2-11 02:51 AM     主題: [問題]一個很難纏的開機毒

最近收到一台待修的電腦,照狀況來看:恩,99.9%是開機毒造成的
於是我把硬碟拔下來,把裡面有用的東西拉出來準備讓他砍掉重練
過了兩天,我把我的電腦(正常的,有兩顆硬碟)重開一次........掛了,症狀一模一樣XD
我心想,好吧,既然如此,出絕招囉~
於是我拿出一片XP的光碟,把WINDOWS覆蓋過一次.......好了!
於是我照舊用了一個禮拜.....一切正常,因為我電腦一直開著......
再我又一次重新開機的時候.........他又死給我看= =
也就是說....現在這段時間,只要我要重開機,就得讓WINDOWS覆蓋一次......
我想,病毒似乎是在開機程序中以類似KAVO的方式植入各個硬碟,然後改寫開機程序,
待下一次開機時就發作......
發作症狀:開機還沒開到WINDOWS的符號就直接重開,其他安全模式也一樣。
以下是我電腦的資料:兩顆硬碟,共四個分割區,一顆SATA,另一顆則是IDE的。
作業系統在SATA那一顆。帶毒的硬碟則是另一顆,插一次就讓我的電腦掛了於是沒插第二次
電腦顯示各個分割區的根目錄裡面各有一個資料夾叫"KNBA"裡面則有一個子資料夾叫"123."
但是大小為0,想要砍掉卻說找不到檔案.....嫌疑最大
請問有哪位大大可以幫幫忙,教一下這應該如何處理........感激萬分
發表人: 陽だまり    時間: 2009-2-11 04:48 AM

如果真的是病毒問題的話
我想format重灌、不要用覆蓋的
應該問題就解決了吧

但開到一半會自動重開
這也不一定一定是病毒的問題
發表人: Ailio    時間: 2009-2-11 08:49 AM

如果是病毒的話

可見備份的資料中

或是重灌的軟體理已經有毒

才會重複感染

至於反覆重開機 我的看法跟樓上一樣

不見得是病毒問題
發表人: daidai    時間: 2009-2-11 12:43 PM

1.先在 "資料夾選項" 試著開啟 "顯示所有檔案和資料夾" (如果不能開啟,應是病毒所造成)
2.再來試著在開始>執行>輸入cmd進入指令模式 (有的病毒會強制關閉cmd.exe及regedit.exe,所以你必須將C:\WINDOWS\system32\ 下的cmd.exe更名為其他名稱,例如:ccmd.exe 然後執行它來進入指令模式,若你知道如何刪除病毒新增的登錄鍵值,regedit.exe也更名來備用)
3.在指令模式下輸入cd KNBA進入KNBA目錄
4.輸入dir/x 顯示對非 8.3 格式的檔案產生的短檔名,結果應該為 123~1
5.在KNBA目錄下再次輸入 cd 123~1 切換到 "123." 這個目錄中,輸入 dir/w  查詢目錄下的檔案 (應該都是些隨身碟病毒檔案,例如:.pif  .com  .exe)
6.輸入 del *.* 目錄下刪除所有檔案 (若無法刪除,利用指令 attrib  -R -S -H 將檔案唯讀、系統、隱藏屬性去除)
7.輸入 cd.. 回到上層目錄
8.輸入 rmdir 123~1 移除目錄
9.輸入 cd.. 回到上層目錄
10.輸入 rmdir KNBA 移除目錄
完成
以上是我自己測試~我並不清楚你的電腦目前病毒所產生的檔案跟目錄有哪些,不過這可能也只是暫時解決無法刪除的目錄,現在很多隨身碟病毒的程序會由很多種方式來執行,甚至是"系統服務",讓你無法終止它,或是當你終止病毒1時,病毒2偵測到,隨即又產生另一個病毒程序,所以在以上清理病毒檔案完成後,最好的方式是,砍掉系統重練吧=。=
發表人: mmcatdog    時間: 2009-2-11 03:02 PM

看來是autorun病毒 不是開機型病毒 上網路找autoruns找看看吧 還不錯用
發表人: aeolus0829    時間: 2009-2-11 04:16 PM

我也覺的不是開機型病毒

這種病毒早在 dos 時代就有點少見,更別提近幾年

早年遇到這種病毒的時候,只有低階格式化救的了硬碟

據我不可靠的久遠前記憶所說,這種病毒之所以稱為開機型病毒,是因為它就躲在開機磁區裡;而大家常用的格式化手段,只是在第0磁軌重新規畫、重新配置磁區(此為快速格式化)把所有舊磁區標識為未使用(此為標準格式化)

重點是,一般的格式化是不會去動開機磁區的,所以,只有低階格式化才能處理開機型病毒
發表人: poliu    時間: 2009-2-11 07:43 PM

開機病毒還不需要用到低階格式化.
發表人: ROACH    時間: 2009-2-11 10:53 PM

通常砍掉重練format大法
如果再不行...........



把硬碟分割區全部刪回去重建(有些開機病毒好像會躲在mbr區)
要不然用用fdisk /mbr或下載spfdisk下達SPFDisk /MBR
發表人: missholiday    時間: 2009-2-12 01:55 AM

我知道!!!
買新電腦!!!
新電腦就不會有毒了!!!!!!!!!!

好啦我建議是進去安全模式
然後上網GOOGLE AVG
然後下載AVG掃毒程式之後
掃描@O@
安全模式下掃瞄把所有都掃乾淨
確定系統碟以外的硬碟也乾淨!!
再重灌就應該OK了!!^^

祝你好運!!
發表人: dennischerry    時間: 2009-2-12 04:13 PM


引用:
missholiday寫到:
我知道!!!
買新電腦!!!
新電腦就不會有毒了!!!!!!!!!!



之前就發生過全新的硬碟, 上面已經有大陸木馬
發表人: osaka    時間: 2009-2-12 06:47 PM

那顆有木馬的硬碟真的是全新硬碟嗎?
應該是測試的時候就被人拿去用過了吧
發表人: killer00    時間: 2009-2-12 11:20 PM

可以試試看 NoName 牌 XPE,相信多少有些幫助
發表人: 陽だまり    時間: 2009-2-13 07:58 PM


引用:
osaka寫到:
那顆有木馬的硬碟真的是全新硬碟嗎?
應該是測試的時候就被人拿去用過了吧

外接式的hd廠商都會先格式化過
就是這個過程出問題的
發表人: florance    時間: 2009-2-14 01:20 PM


引用:
aeolus0829寫到:
我也覺的不是開機型病毒

這種病毒早在 dos 時代就有點少見,更別提近幾年

早年遇到這種病毒的時候,只有低階格式化救的了硬碟

據我不可靠的久遠前記憶所說,這種病毒之所以稱為開機型病毒,是因為它就躲在開機磁區裡;而大家常用的格式化手段,只是在第0磁軌重新規畫、重新配置磁區(此為快速格式化)把所有舊磁區標識為未使用(此為標準格式化)

重點是,一般的格式化是不會去動開機磁區的,所以,只有低階格式化才能處理開機型病毒


直接對 MBR 做格式化,應該可以解決。
--> fdisk /mbr

不過,有些狀況可能是硬體本身有問題... 但不大容易界定。
發表人: mcombbs    時間: 2009-2-15 06:19 PM

asd20235你解決了沒?
發表人: 223    時間: 2009-2-16 06:09 AM


引用:
osaka寫到:
那顆有木馬的硬碟真的是全新硬碟嗎?
應該是測試的時候就被人拿去用過了吧

全新的!還出了一狗票含『料』硬碟!...
也就是這陣子雞瘟鬧很大的那家!.....
發表人: asd20235    時間: 2009-2-16 12:57 PM

回15樓大大
不....
我全部砍掉重灌了,但.......
電腦速度變得非常慢,雖然我想是我那塊XP的問題。
但照理說應該沒問題,結果重開一次又發作了XD
我突然想起我重灌完有插隨身碟,做了一些觀察之後發現:
1.KAVO似乎又有新變種,而我似乎就是中鏢了。
2.這個變種仍然在磁碟中寫下"AUTORUN.BAT"這個檔案,但大小為0
3.磁碟中仍被寫下"NTDETECT.COM"大小為47KB
4.僅C槽有反應(我的XP裝在D:槽)
5.AUTORUNS沒反應,WowUSBvirusKiller亦無反應,用"DIR"指令也掃不到東西
6."boot.ini"被寫入"usepmtimer"但砍掉這一段之後仍然沒用
7.重灌後必須使用開機片方能撐過前幾次重開(僅前幾次,次數不定)
以上,目前努力中
發表人: dennischerry    時間: 2009-2-16 01:39 PM


引用:
osaka寫到:
那顆有木馬的硬碟真的是全新硬碟嗎?
應該是測試的時候就被人拿去用過了吧


http://www.libertytimes.com.tw/2007/new/nov/11/today-fo5.htm

大陸木馬真的厲害......
全新的硬碟還是要檢查一下比較好.
重灌後, 最好馬上裝掃毒, 馬上做usb病毒的防護,
發表人: Ailio    時間: 2009-2-16 06:01 PM


引用:
asd20235寫到:
回15樓大大
不....
我全部砍掉重灌了,但.......
電腦速度變得非常慢,雖然我想是我那塊XP的問題。
但照理說應該沒問題,結果重開一次又發作了XD
我突然想起我重灌完有插隨身碟,做了一些觀察之後發現:
1.KAVO似乎又有新變種,而我似乎就是中鏢了。
2.這個變種仍然在磁碟中寫下"AUTORUN.BAT"這個檔案,但大小為0
3.磁碟中仍被寫下"NTDETECT.COM"大小為47KB
4.僅C槽有反應(我的XP裝在D:槽)
5.AUTORUNS沒反應,WowUSBvirusKiller亦無反應,用"DIR"指令也掃不到東西
6."boot.ini"被寫入"usepmtimer"但砍掉這一段之後仍然沒用
7.重灌後必須使用開機片方能撐過前幾次重開(僅前幾次,次數不定)
以上,目前努力中


首先 dir 必須加參數才能看到隱藏檔

用attrib 直接看比較快 應該會看到很多.com .cmd .exe之類的

還有就是您的狀況 感覺上應該是 OS and 常用軟體不乾淨

建議找片原版的光碟(不要用SuperXP 有的沒的) 常用軟體也重新找過

最好是不要用有破解的軟體 現在除了套裝軟體以外 一些工具都有免費版

也比較不用擔心抓到加料檔案

還有就市 全程最好都不要接網路線

隨身碟先掃過 以免一直重複感染病毒

祝你順利
發表人: asd20235    時間: 2009-2-16 09:00 PM

恩.....我的隨身碟是在另一台電腦掃的
還有...可以請大大解釋一下ATTRIB有沒有其他參數呢?
然後是有關於MBR區的問題.....
如果我有一塊硬碟FORMAT過,但是沒動MBR區
那病毒是否有可能從MBR區爬回來呢?
然後我換了一套XP,是SPEEDXP
然後我發現,電腦的速度被拖慢似乎與作業系統無關
因為兩套症狀一模一樣
都是"System Idel Process"程序被沖到9X%
但是其他都沒事
我也是著關掉EXEPLORER,結果沒用......
大概又是SVCHOST了吧....(是在太感激了....又上了好多課....)

[asd20235 在  2009-2-16 10:36 PM 作了最後編輯]
發表人: 咩咩    時間: 2009-2-17 08:30 PM

System Idel Process
以前找知識網頁
都是說 那是顯示你cpu還有多少功率可用
是數正常狀太才對
至於其他的小的就看不懂了
只有高職畢業<--= =!
發表人: asd20235    時間: 2009-2-17 09:26 PM

問題是,其他程序的CPU使用率幾乎是0%
但連開網頁都會LAG尤其在拉捲軸
開完機放著一段時間SVCHOST會一直出錯
(高中還沒畢業<<<<= =)
發表人: ROBERT    時間: 2009-2-20 01:12 AM


引用:
咩咩寫到:
System Idel Process
以前找知識網頁
都是說 那是顯示你cpu還有多少功率可用
是數正常狀太才對
至於其他的小的就看不懂了
只有高職畢業<--= =!

System Idle Process
---> Idle 是指 "閒置" 狀態, 9x% 是正常的,表示你的cpu還有9x%可以使用
         可以灌spyware doctor 掃一下木馬



歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0