无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 19442|回复: 60
打印 上一主题 下一主题

一键还原这样才能不走入误区

[复制链接]
跳转到指定楼层
1#
发表于 2010-8-24 19:46:54 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
这几天中了描述为QvodInstall Module的木马病毒,GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除,在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除,只要一启动电脑,它就像小强一样活过来了,它在windows/temp下随机产生巨多文件,在C盘根下随机产生???????.exe文件,它把回收站改头换面,它把系统连同上网搞所巨慢......当前已知感染所有硬盘分区的EXE文件,(还感染了哪些还无法知道),在“深度”发(bbs.deepin.org)贴求救,弟兄们积极支招,但尚未找到彻底清除该病毒的方法(我可怜的近1T的资料啊,都不敢复制到其他硬盘)。本坛有弟兄能帮下我么?

由此想到还原软件,不应在硬盘安装上下功夫,而要在一键备份到U盘、光盘上下功夫。试想,如果硬盘都感染病毒(只剩低格一条路了)你安装到硬盘的一键还原还有什么用?今天它感染EXE文件,明天可能就感染DLL、GHO、WIM.......文件。所以存放到硬盘上是不安全的。

有的弟兄或许会说,我安装到隐藏分区什么的就行了,从我这几天感染的这个病毒来看,它自动感染所有分区,隐藏分区也不能幸免!!

另外,一键恢复还要往类似低格功能靠拢,要能在正式恢复文件系统前把硬盘搞到如同新买的硬盘一样,只有这样,才是安全的!

希望大家拍砖,更希望各位帮帮我,干掉这个该死的病毒!!
2#
发表于 2010-8-24 19:54:06 | 只看该作者
这么牛啊。实在不行上hpa 呵呵。
看了你好像没注意到保留扇区?或者说硬盘最后可用空间。你只说全盘格式化,分区没动过
发现最近开始流行这些比较bt的是不是都看了天涯海角的帖子http://bbs.wuyou.net/forum.php?mod=viewthread&tid=160773
搞出来的
回复

使用道具 举报

3#
发表于 2010-8-24 20:20:38 | 只看该作者
感染病毒?
病毒不会自动执行的,没有系统让它活动,它是动不了的,所以病毒大部分,都是隐藏在系统里面,最好使用cd光盘format,然后删除其他磁盘,不是自己存的资料,尤其根目录下,使用U盘制作恢复更危险,只有光盘备份最可靠,如果先前就感染,连光盘神仙也没救。

如果连光盘PE都是感染病毒,那可能连光盘都会啃掉的,o(∩_∩)o...哈哈
回复

使用道具 举报

4#
发表于 2010-8-24 20:26:15 | 只看该作者
"全盘格式化无法清除",
“它在windows/temp下随机产生巨多文件“
---------------------------
似乎这样的病毒是不可能存在的。

一键还原,也不仅仅是硬盘上运行的,u盘,光盘等介质上运行的也都是不少的。
回复

使用道具 举报

5#
发表于 2010-8-24 20:32:33 | 只看该作者
感觉说的有些夸张了. 只所以总是被病毒困扰,觉得可能还是方法不对. 同样是重装系统,同样是格式化,采取的步骤不同,方法不同,结果可就相去千里了. 就说这些吧,多说也无益.
回复

使用道具 举报

6#
发表于 2010-8-24 23:13:29 | 只看该作者
虚张声执一下,把病毒吓跑了。 因为不懂得一些电脑维修的常识,以为病毒都超过硬盘的存储空间了,无论任何杀毒软件,无论任何还原,无论如何重装系统,也无论如何分区格式化,都逃不脱毒害,只有低格才勉强过关。 这样不际实际,要有病毒个案才能说话

[ 本帖最后由 阿文 于 2010-8-24 23:14 编辑 ]
回复

使用道具 举报

7#
发表于 2010-8-24 23:24:23 | 只看该作者
强烈渴望LZ放样本出来供大家玩耍。。。
回复

使用道具 举报

8#
发表于 2010-8-24 23:28:33 | 只看该作者
怀疑LZ所述ATI、GHOST等恢复后无效,是“绿色”软件自启动或者误运行其他分区软件使然。。。全盘感染EXE。。。自己脱吧。。。

===
很多用户可能都使用过一款名为“QVOD(快播)”的视频播放软件。近期赛门铁克安全响应中心检测到一个病毒W32.Wapomi,它将自身文件的版本信息伪装为QvodInstall Module,并且采用了一个与快播图标非常相似的标识,从而诱导用户将其误认为快播的安装程序。 运行时,该病毒会通过多种方式阻止用户删除它所保护的注册表键值,并通过映像劫持禁止安全软件运行。此外,W32.Wapomi还会从指定网站下载更多的恶意程序到用户机器并运行,并且把从用户计算机中搜集到的信息发送给攻击者。 该病毒采用多种方式进行传播:1. 把自身拷贝到各磁盘分区的回收站中,并添加对应的autorun.inf;2. 使用自带的密码表尝试连接开有远程共享服务的计算机,一旦成功就会试图把病毒自身复制到远程机器;3. 感染在用户计算机上找到的exe文件,被感染的文件检测为W32.Wapomi!inf. 当用户运行被感染文件时,它会首先释放W32.Wapomi并运行。 关闭计算机对可移动存储设备的自动播放功能。建议用户采用比较复杂的计算机登录密码,以防止该病毒尝试通过远程共享服务登录您的计算机。把系统还原给关了然后重装系统吧.进安全模式再杀毒.
===
回复

使用道具 举报

9#
发表于 2010-8-25 08:47:00 | 只看该作者
这么厉害的东西还是第一次听说,确认一下是不是就是楼上所说的W32.Wapomi
回复

使用道具 举报

10#
发表于 2010-8-25 08:47:08 | 只看该作者
类似“鬼影”的病毒,需要重建MBR
回复

使用道具 举报

11#
发表于 2010-8-25 08:56:29 | 只看该作者
可以说,按楼主的思路走,那才真是一键还原的误区,呵呵。
回复

使用道具 举报

12#
发表于 2010-8-25 11:26:57 | 只看该作者
感染exe的病毒很多啊。不过貌似重要程序备份一般最好先都打包保存。中毒后PE下将分区格式化后将所有exe删除。恢复系统后重新从压缩包中释放可执行程序安装,这样应该比较保险。呵呵,至少目前我一直这样裸奔
回复

使用道具 举报

13#
发表于 2010-8-25 12:57:15 | 只看该作者
只能说楼主电脑水平有待提高。。。
可能你的文件被感染了。结果你重装玩系统运行东西他又感染回系统了。

我一楼回复也不对,没有mbr,pbr的代码去触发保留扇区的恶意代码也无效。

所以一般刷新mbr,pbr即可,要在pe环境下,在win下可能被病毒驱动劫持实际没被改变。

[ 本帖最后由 yjd 于 2010-8-25 13:01 编辑 ]
回复

使用道具 举报

14#
发表于 2010-8-25 18:47:42 | 只看该作者
我觉得楼主的说法是有道理的,大家也无需拍砖!

解决方案有:
1.建立HPA分区,存储重要文件放入其中。我的电脑就有一个42G的HPA分区,平时不打开,需要存取文件时在PE下操作。
2.中毒后,认真查看主引导的63个扇区和扩展分区间距以及剩余扇区,有无可疑的引导程序存在?
3.全盘杀毒,特别是专门针对性的杀毒软件全盘清理。

见笑了。
有错误,欢迎批评指正!
回复

使用道具 举报

15#
发表于 2010-8-25 19:02:50 | 只看该作者
原帖由 假大空 于 2010-8-25 11:26 发表
感染exe的病毒很多啊。不过貌似重要程序备份一般最好先都打包保存。中毒后PE下将分区格式化后将所有exe删除。恢复系统后重新从压缩包中释放可执行程序安装,这样应该比较保险。呵呵,至少目前我一直这样裸奔


RAR中的EXE也会被感染的,最好是打包成ISO文件
回复

使用道具 举报

16#
 楼主| 发表于 2010-8-26 07:02:36 | 只看该作者
看了楼上各位达人的高见,真是感慨良多!!   感觉只有“天涯海角”兄说得比较中肯。我的确没有查剩余扇区和扩展分区间距。查后再来汇报。

各位兄弟,我玩电脑十多年了,而且主要感兴趣的是系统精简与优化和系统维护。即便是菜鸟,也算是资深菜鸟了。

再说说这种病毒:我把C分区删除,重建分区重新安装原版XP(也安装过WIN7,结果稍比XP好一点),不敢点除双击打开C盘以外的所有硬盘分区也不敢打开除C盘外开他盘内的EXE文件(只要一双击打开立马见效——病毒发作,不知这种病毒发作原理是什么样的)。我想,不打开就不打开吧,联网安装最新杀软(卡巴2011、诺顿2010、360安全卫士、贝壳木马专杀、大蜘蛛、小红伞......),扫描、杀毒能杀出一些来,电脑重启以后,呵呵,重新扫描又发现病毒......

我想:这都不行,我干掉C盘,用已知没有毒的U盘PE(量产到U盘的),启动到PE下,连网,下载WIM格式杀软(本论坛下载),扫描、杀毒,报告无毒,但重新安装系统后,病毒又像小强一样神奇地出现了(各位不要怀疑系统安装盘有问题,我把从2000年来珍藏的系统都拿来试了:D)

都说无图无真相,我上个回收站、windows/temp下的文件给大家看,这是病毒未清除的标志之一。(这是随机产生的,删除、改名后,当时有效,重启后死灰复燃,用XueTr能强制删除,但重启后还是一样)

我现在已经把硬盘上的全部EXE、DLL文件全删除了,重安装干净系统后,病毒还是重新占领我的电脑.........难过!!!!!

下面上图,以及在深度发贴后一些回贴,让大家知道这不是个案。

1.jpg (30.04 KB, 下载次数: 167)

1.jpg

2.jpg (51.9 KB, 下载次数: 173)

2.jpg

3.jpg (22.06 KB, 下载次数: 164)

3.jpg

4.jpg (20.05 KB, 下载次数: 168)

4.jpg

5.jpg (56.23 KB, 下载次数: 184)

5.jpg
回复

使用道具 举报

17#
 楼主| 发表于 2010-8-26 07:12:44 | 只看该作者
再说一句,重建MBR也无效(在DOS下用FDISK/MBR试过、用diskgen也试过)

实在不信,过两天我上传个病毒文件,你们把杀软件先退出,运行感染病毒后,再重启电脑,看你的电脑会不会像我一样,(我感染病毒前没安装杀软,多年裸奔惯了-*_*)
回复

使用道具 举报

18#
发表于 2010-8-26 07:48:12 | 只看该作者
既然格式c盘无效,那病毒不在c盘,或许在Bios以及磁盘开头启动区,把板子电池拿出试试,然后重新扫描,lz不要全盘格式,可以拿一个新磁盘在PE下把自己资料备份过来,然后再删除这个磁盘,是【重新分区/dell all】~gdisk,不是只有使用简单格式化-重建MBR也无效(在DOS下用FDISK/MBR试过、用diskgen也试过),病毒可能隐藏磁盘中,无法软件删除,也不是简单格式化可以处理了。
bios设定-viruswarney【disabled】以免病毒侵入bios。
回复

使用道具 举报

19#
发表于 2010-8-26 08:26:58 | 只看该作者
关注中:
最近有一台服务器, 安装原版2003企业版(此盘安装过多台机器, 均正常), 从新分区格式化(修复MBR), 打好所有补丁, 装好后每个整点建1个计划任务,运行rundll32.exe   xxxxx.   
XXXX是随机的, 在system32下生成1个niqpt.u或niqpt.dll文件.  

(其他的服务器均无此问题)
网上搜索也有个别案例, 但无解.   有高手知道吗?
回复

使用道具 举报

20#
发表于 2010-8-26 11:22:50 | 只看该作者
全盘格式还不能消灭病毒? 不可能吧?
重新分区呢
回复

使用道具 举报

21#
发表于 2010-8-26 11:24:49 | 只看该作者
把这病毒压缩后发来看看[加个密码wuyou]
回复

使用道具 举报

22#
发表于 2010-8-26 15:30:05 | 只看该作者
就是建议发样本,大家测试下就知道了。
保留扇区就算有病毒也要有东西去触发他才有有效果。
mbr,pbr没清掉我觉得,被劫持了和网吧网吧那种网维大师差不多。
dos下fdisk /mbr是没有效果的。只能在pe下操作。
突然又想到以前那种说无文件的后门,就是驻留内存的,冷启动电脑就不怕这个了

[ 本帖最后由 yjd 于 2010-8-26 15:31 编辑 ]
回复

使用道具 举报

23#
发表于 2010-8-26 15:44:37 | 只看该作者
看来你的U盘或移动硬盘也有可能感染了病毒。

建议:
用光盘启动pe
删除各分区根目录下的autorun.inf、可疑的.exe、文件夹System Volume Information、文件夹RECYCLER、可疑的隐藏文件夹
如果删不了,用pe带的unlock等特殊文件解锁删除工具删除
用分区工具重写mbr
U盘或移动硬盘也同样处理
*断网*格式化c:重做系统后,不要运行其他分区上的程序
打开-资源管理器-工具-文件夹选项-查看-设置显示所有隐藏、系统文件,不缓存缩略图,取消记住文件夹视图设置、打开文件扩展名
联网down个杀毒+防火墙+xx卫士装上,更新病毒库
打扫打扫~~

U盘或移动硬盘或者感染autorun病毒的分区的正确打开方式不能双击!否则病毒就会被激活!
应先打开资源管理器-单击左侧树形列表里的盘符。

[ 本帖最后由 darkwolf3d 于 2010-8-26 15:57 编辑 ]
回复

使用道具 举报

24#
发表于 2010-8-26 19:17:49 | 只看该作者
无样本无真相,玩电脑十多年了?
回复

使用道具 举报

25#
 楼主| 发表于 2010-8-26 20:16:37 | 只看该作者
谢谢在家的帮助!!

见到朋友给出了方法(见下图),打算过几天再试,现用RAMXP上上网

00.jpg (107.56 KB, 下载次数: 167)

00.jpg
回复

使用道具 举报

26#
发表于 2010-8-26 20:36:16 | 只看该作者
GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除,在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除,只要一启动电脑,它就像小强一样活过来了,
---------------------------------------------------------------------
顶楼不是说,早就试过全盘格式化了吗?
回复

使用道具 举报

27#
发表于 2010-8-27 01:43:23 | 只看该作者
安装版重新格盘分区是正解。资料就不保了。
回复

使用道具 举报

28#
发表于 2010-8-27 02:43:25 | 只看该作者
很多人不知道……只是重新启动后,就安装系统。内存里面有病毒,
就算安装1万次,也会重新生成病毒的。

正确方法是,关闭电源。重新开机……光盘引导,进入PE,显示隐藏文件,
先删除autorun.inf,和可疑文件……

然后再安装系统,安装好系统后,安装杀毒软件升级后,彻底扫描一次……
一般ok了的。

那种隐藏在mbr的病毒……很少见的。实在不行……进入dos版分区软件,重写一下mbr
还有什么问题?

还没有看见过全盘分区、格式化……还有病毒的。
回复

使用道具 举报

29#
 楼主| 发表于 2010-8-27 06:49:46 | 只看该作者
原帖由 lianjiang 于 2010-8-26 20:36 发表
GHOST还原无法清除、ATI还原无法清除、重新系统无法清除、全盘格式化无法清除、删除C盘分区重建重装无法清除,在DOS下杀毒无法清除、在安全模式下无法清除、在PE下全盘杀毒也不能彻底清除,只要一启动电脑,它就 ...



我挂了两个硬盘,一般系统和临时使用一个硬盘,资料保存在另一硬盘,对系统所在硬盘进行了全盘格式化,资料盘由于保存资料太多,没有格式化。
回复

使用道具 举报

30#
发表于 2010-8-27 08:55:48 | 只看该作者
原帖由 diwu2005 于 2010-8-27 06:49 发表



我挂了两个硬盘,一般系统和临时使用一个硬盘,资料保存在另一硬盘,对系统所在硬盘进行了全盘格式化,资料盘由于保存资料太多,没有格式化。


这样的操作,同仅格式化系统没啥区别。
这样操作而失败的,称全盘格式化仍然失败,易造成大家误解。
所谓“皮之不存,毛将焉附”,这是不少人质疑的地方。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-5 10:07

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表