一键还原这样才能不走入误区

diwu2005

这几天中了描述为QvodInstall Module的木马病毒，GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除，在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除，只要一启动电脑，它就像小强一样活过来了，它在windows/temp下随机产生巨多文件，在C盘根下随机产生???????.exe文件，它把回收站改头换面，它把系统连同上网搞所巨慢......当前已知感染所有硬盘分区的EXE文件，（还感染了哪些还无法知道），在“深度”发（bbs.deepin.org)贴求救，弟兄们积极支招，但尚未找到彻底清除该病毒的方法（我可怜的近1T的资料啊，都不敢复制到其他硬盘）。本坛有弟兄能帮下我么？

由此想到还原软件，不应在硬盘安装上下功夫，而要在一键备份到U盘、光盘上下功夫。试想，如果硬盘都感染病毒（只剩低格一条路了）你安装到硬盘的一键还原还有什么用？今天它感染EXE文件，明天可能就感染DLL、GHO、WIM.......文件。所以存放到硬盘上是不安全的。

有的弟兄或许会说，我安装到隐藏分区什么的就行了，从我这几天感染的这个病毒来看，它自动感染所有分区，隐藏分区也不能幸免！！

另外，一键恢复还要往类似低格功能靠拢，要能在正式恢复文件系统前把硬盘搞到如同新买的硬盘一样，只有这样，才是安全的！

希望大家拍砖，更希望各位帮帮我，干掉这个该死的病毒！！

yjd

这么牛啊。实在不行上hpa 呵呵。
看了你好像没注意到保留扇区？或者说硬盘最后可用空间。你只说全盘格式化，分区没动过
发现最近开始流行这些比较bt的是不是都看了天涯海角的帖子http://bbs.wuyou.net/forum.php?mod=viewthread&tid=160773
搞出来的

ali88home

感染病毒?
病毒不会自动执行的，没有系统让它活动，它是动不了的，所以病毒大部分，都是隐藏在系统里面，最好使用cd光盘format，然后删除其他磁盘，不是自己存的资料，尤其根目录下，使用U盘制作恢复更危险，只有光盘备份最可靠，如果先前就感染，连光盘神仙也没救。

如果连光盘PE都是感染病毒，那可能连光盘都会啃掉的，o(∩_∩)o...哈哈

lianjiang

"全盘格式化无法清除"，
“它在windows/temp下随机产生巨多文件“
---------------------------
似乎这样的病毒是不可能存在的。

一键还原，也不仅仅是硬盘上运行的，u盘，光盘等介质上运行的也都是不少的。

sgw888

感觉说的有些夸张了. 只所以总是被病毒困扰,觉得可能还是方法不对. 同样是重装系统,同样是格式化,采取的步骤不同,方法不同,结果可就相去千里了. 就说这些吧,多说也无益.

阿文

虚张声执一下，把病毒吓跑了。 因为不懂得一些电脑维修的常识，以为病毒都超过硬盘的存储空间了，无论任何杀毒软件，无论任何还原，无论如何重装系统，也无论如何分区格式化，都逃不脱毒害，只有低格才勉强过关。 这样不际实际，要有病毒个案才能说话

[ 本帖最后由 阿文 于 2010-8-24 23:14 编辑 ]

tedrick

强烈渴望LZ放样本出来供大家玩耍。。。

tedrick

怀疑LZ所述ATI、GHOST等恢复后无效，是“绿色”软件自启动或者误运行其他分区软件使然。。。全盘感染EXE。。。自己脱吧。。。

===
很多用户可能都使用过一款名为“QVOD（快播）”的视频播放软件。近期赛门铁克安全响应中心检测到一个病毒W32.Wapomi，它将自身文件的版本信息伪装为QvodInstall Module，并且采用了一个与快播图标非常相似的标识，从而诱导用户将其误认为快播的安装程序。 运行时，该病毒会通过多种方式阻止用户删除它所保护的注册表键值，并通过映像劫持禁止安全软件运行。此外，W32.Wapomi还会从指定网站下载更多的恶意程序到用户机器并运行，并且把从用户计算机中搜集到的信息发送给攻击者。 该病毒采用多种方式进行传播：1. 把自身拷贝到各磁盘分区的回收站中，并添加对应的autorun.inf；2. 使用自带的密码表尝试连接开有远程共享服务的计算机，一旦成功就会试图把病毒自身复制到远程机器；3. 感染在用户计算机上找到的exe文件，被感染的文件检测为W32.Wapomi!inf. 当用户运行被感染文件时，它会首先释放W32.Wapomi并运行。 关闭计算机对可移动存储设备的自动播放功能。建议用户采用比较复杂的计算机登录密码，以防止该病毒尝试通过远程共享服务登录您的计算机。把系统还原给关了然后重装系统吧.进安全模式再杀毒.
===

weijun189

这么厉害的东西还是第一次听说，确认一下是不是就是楼上所说的W32.Wapomi

tegl

类似“鬼影”的病毒，需要重建MBR

lianjiang

可以说，按楼主的思路走，那才真是一键还原的误区，呵呵。

假大空

感染exe的病毒很多啊。不过貌似重要程序备份一般最好先都打包保存。中毒后PE下将分区格式化后将所有exe删除。恢复系统后重新从压缩包中释放可执行程序安装，这样应该比较保险。呵呵，至少目前我一直这样裸奔

yjd

只能说楼主电脑水平有待提高。。。
可能你的文件被感染了。结果你重装玩系统运行东西他又感染回系统了。

我一楼回复也不对，没有mbr，pbr的代码去触发保留扇区的恶意代码也无效。

所以一般刷新mbr，pbr即可，要在pe环境下，在win下可能被病毒驱动劫持实际没被改变。

[ 本帖最后由 yjd 于 2010-8-25 13:01 编辑 ]

天涯海角1216

我觉得楼主的说法是有道理的，大家也无需拍砖！

解决方案有：
1.建立HPA分区，存储重要文件放入其中。我的电脑就有一个42G的HPA分区，平时不打开，需要存取文件时在PE下操作。
2.中毒后，认真查看主引导的63个扇区和扩展分区间距以及剩余扇区，有无可疑的引导程序存在？
3.全盘杀毒，特别是专门针对性的杀毒软件全盘清理。

见笑了。
有错误，欢迎批评指正！

tegl

原帖由 假大空 于 2010-8-25 11:26 发表
感染exe的病毒很多啊。不过貌似重要程序备份一般最好先都打包保存。中毒后PE下将分区格式化后将所有exe删除。恢复系统后重新从压缩包中释放可执行程序安装，这样应该比较保险。呵呵，至少目前我一直这样裸奔

RAR中的EXE也会被感染的，最好是打包成ISO文件

diwu2005

看了楼上各位达人的高见，真是感慨良多！！   感觉只有“天涯海角”兄说得比较中肯。我的确没有查剩余扇区和扩展分区间距。查后再来汇报。

各位兄弟，我玩电脑十多年了，而且主要感兴趣的是系统精简与优化和系统维护。即便是菜鸟，也算是资深菜鸟了。

再说说这种病毒：我把C分区删除，重建分区重新安装原版XP（也安装过WIN7,结果稍比XP好一点），不敢点除双击打开C盘以外的所有硬盘分区也不敢打开除C盘外开他盘内的EXE文件（只要一双击打开立马见效——病毒发作，不知这种病毒发作原理是什么样的）。我想，不打开就不打开吧，联网安装最新杀软（卡巴2011、诺顿2010、360安全卫士、贝壳木马专杀、大蜘蛛、小红伞......），扫描、杀毒能杀出一些来，电脑重启以后，呵呵，重新扫描又发现病毒......

我想：这都不行，我干掉C盘，用已知没有毒的U盘PE（量产到U盘的），启动到PE下，连网，下载WIM格式杀软（本论坛下载），扫描、杀毒，报告无毒，但重新安装系统后，病毒又像小强一样神奇地出现了（各位不要怀疑系统安装盘有问题，我把从2000年来珍藏的系统都拿来试了：D）

都说无图无真相，我上个回收站、windows/temp下的文件给大家看，这是病毒未清除的标志之一。（这是随机产生的，删除、改名后，当时有效，重启后死灰复燃，用XueTr能强制删除，但重启后还是一样）

我现在已经把硬盘上的全部EXE、DLL文件全删除了，重安装干净系统后，病毒还是重新占领我的电脑.........难过！！！！！

下面上图，以及在深度发贴后一些回贴，让大家知道这不是个案。

diwu2005

再说一句，重建MBR也无效（在DOS下用FDISK/MBR试过、用diskgen也试过）

实在不信，过两天我上传个病毒文件，你们把杀软件先退出，运行感染病毒后，再重启电脑，看你的电脑会不会像我一样，（我感染病毒前没安装杀软，多年裸奔惯了-*_*)

ali88home

既然格式c盘无效，那病毒不在c盘，或许在Bios以及磁盘开头启动区，把板子电池拿出试试，然后重新扫描，lz不要全盘格式，可以拿一个新磁盘在PE下把自己资料备份过来，然后再删除这个磁盘，是【重新分区/dell all】~gdisk，不是只有使用简单格式化-重建MBR也无效（在DOS下用FDISK/MBR试过、用diskgen也试过），病毒可能隐藏磁盘中，无法软件删除，也不是简单格式化可以处理了。
bios设定-viruswarney【disabled】以免病毒侵入bios。

haiuyan

关注中:
最近有一台服务器, 安装原版2003企业版(此盘安装过多台机器, 均正常), 从新分区格式化(修复MBR), 打好所有补丁, 装好后每个整点建1个计划任务,运行rundll32.exe   xxxxx.   
XXXX是随机的, 在system32下生成1个niqpt.u或niqpt.dll文件.  

(其他的服务器均无此问题)
网上搜索也有个别案例, 但无解.   有高手知道吗?

冰上人

全盘格式还不能消灭病毒？ 不可能吧？
重新分区呢

冰上人

把这病毒压缩后发来看看[加个密码wuyou]

yjd

就是建议发样本，大家测试下就知道了。
保留扇区就算有病毒也要有东西去触发他才有有效果。
mbr，pbr没清掉我觉得，被劫持了和网吧网吧那种网维大师差不多。
dos下fdisk /mbr是没有效果的。只能在pe下操作。
突然又想到以前那种说无文件的后门，就是驻留内存的，冷启动电脑就不怕这个了

[ 本帖最后由 yjd 于 2010-8-26 15:31 编辑 ]

darkwolf3d

看来你的U盘或移动硬盘也有可能感染了病毒。

建议：
用光盘启动pe
删除各分区根目录下的autorun.inf、可疑的.exe、文件夹System Volume Information、文件夹RECYCLER、可疑的隐藏文件夹
如果删不了，用pe带的unlock等特殊文件解锁删除工具删除
用分区工具重写mbr
U盘或移动硬盘也同样处理
*断网*格式化c：重做系统后，不要运行其他分区上的程序
打开-资源管理器-工具-文件夹选项-查看-设置显示所有隐藏、系统文件，不缓存缩略图，取消记住文件夹视图设置、打开文件扩展名
联网down个杀毒+防火墙+xx卫士装上，更新病毒库
打扫打扫~~

U盘或移动硬盘或者感染autorun病毒的分区的正确打开方式不能双击！否则病毒就会被激活！
应先打开资源管理器-单击左侧树形列表里的盘符。

[ 本帖最后由 darkwolf3d 于 2010-8-26 15:57 编辑 ]

bardlet

无样本无真相，玩电脑十多年了？

diwu2005

谢谢在家的帮助！！

见到朋友给出了方法（见下图），打算过几天再试，现用RAMXP上上网

lianjiang

GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除，在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除，只要一启动电脑，它就像小强一样活过来了，
---------------------------------------------------------------------
顶楼不是说，早就试过全盘格式化了吗？

lsmry

安装版重新格盘分区是正解。资料就不保了。

afafvvvv

很多人不知道……只是重新启动后，就安装系统。内存里面有病毒，
就算安装1万次，也会重新生成病毒的。

正确方法是，关闭电源。重新开机……光盘引导，进入PE，显示隐藏文件，
先删除autorun.inf，和可疑文件……

然后再安装系统，安装好系统后，安装杀毒软件升级后，彻底扫描一次……
一般ok了的。

那种隐藏在mbr的病毒……很少见的。实在不行……进入dos版分区软件，重写一下mbr
还有什么问题？

还没有看见过全盘分区、格式化……还有病毒的。

diwu2005

原帖由 lianjiang 于 2010-8-26 20:36 发表
GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除，在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除，只要一启动电脑，它就 ...

我挂了两个硬盘，一般系统和临时使用一个硬盘，资料保存在另一硬盘，对系统所在硬盘进行了全盘格式化，资料盘由于保存资料太多，没有格式化。

lianjiang

原帖由 diwu2005 于 2010-8-27 06:49 发表



我挂了两个硬盘，一般系统和临时使用一个硬盘，资料保存在另一硬盘，对系统所在硬盘进行了全盘格式化，资料盘由于保存资料太多，没有格式化。

这样的操作，同仅格式化系统没啥区别。
这样操作而失败的，称全盘格式化仍然失败，易造成大家误解。
所谓“皮之不存，毛将焉附”，这是不少人质疑的地方。