廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 33587 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] MBR中毒自己修復的方法(X86+X64)
MBR中毒自己修復的方法(X86+X64)
MBR中毒很難修 正式微軟原廠建議 TDSSKILLER跟不上病毒進度

1. 需Windows Vista 或 Windows 7 安裝光碟
2. 外部開機


您可以使用 Windows 修復環境 (Windows RE) 中的 Bootrec.exe 工具,疑難排解和修復 Windows Vista 或 Windows 7 中的下列項目:
主開機記錄 (MBR)
開機磁區
開機設定資料 (BCD) 存放區


如果要執行 Bootrec.exe 工具,您必須啟動 Windows RE。如果要執行這項操作,請依照下列步驟執行:
將 Windows Vista 或 Windows 7 安裝光碟放入光碟機中,然後啟動電腦。
出現提示時,按一下按鍵。
選取語言、時間、貨幣、鍵盤或輸入法,然後按一下 [下一步]。
按一下 [修復電腦]。
按一下您想要修復的作業系統,然後按一下 [下一步]。
在 [系統修復選項] 對話方塊中,按一下 [命令提示字元]。
輸入 Bootrec.exe,然後按 ENTER。
注意 如果要使用 Windows Vista 或 Windows 7 DVD 啟動電腦,您必須將電腦設為從 DVD 光碟機啟動。如需有關如何將電腦設為從 DVD 光碟機啟動的詳細資訊,請參閱電腦隨附的說明文件,或連絡電腦製造商。



Bootrec.exe 選項
Bootrec.exe 工具支援下列選項。請使用適合您情況的選項。

注意 請使用 Bootrec.exe 工具疑難排解「Bootmgr 遺失」的問題。如果重建 BCD 無法解決啟動問題,則您可匯出並刪除 BCD,然後重新執行此選項。如此一來,就可以確定 BCD 已完全重建。

如果要執行這項操作,請在 Windows RE 命令提示字元下輸入下列命令: 預設C: 多重開機會不在C: 自己對應
bcdedit /export C:\BCD_Backup
c:
cd boot
attrib bcd -s -h -r
ren c:\boot\bcd bcd.old
bootrec /RebuildBcd



Bootrec.exe 所有參數足夠能夠正常開機

/FixMbr
/FixMbr 選項會將 Windows 7 或 Windows Vista 相容的 MBR 寫入系統磁碟分割。這個選項不會覆寫現有的磁碟分割表格。必須解決 MBR 損毀問題或從 MBR 中移除非標準程式碼時,請使用此選項。
/FixBoot
/FixBoot 選項會使用與 Windows Vista 或 Windows 7 相容的開機磁區,將新的開機磁區寫入系統磁碟分割。如果下列其中一種情況成立,請使用此選項:
開機磁區已由非標準 Windows Vista 或 Windows 7 開機磁區所取代。
開機磁區已損毀。
安裝 Windows Vista 或 Windows 7 之後,又安裝了舊版的 Windows 作業系統。如果是這種情況,電腦會使用 Windows NT Loader (NTLDR) 啟動,而非使用 Windows Boot Manager (Bootmgr.exe) 啟動。
/ScanOs
/ScanOs 選項會掃描所有磁碟,尋找與 Windows Vista 或 Windows 7 相容的安裝。此外,這個選項會顯示目前不在 BCD 存放區中的項目。如果有 [開機管理程式] 功能表未列出的 Windows Vista 或 Windows 7 安裝時,請使用此選項。
/RebuildBcd
/RebuildBcd 選項會掃描所有磁碟,尋找與 Windows Vista 或 Windows 7 相容的安裝。此外,這個選項可讓您選取要加入至 BCD 存放區的安裝。如果您必須完全重建 BCD,請使用這個選項。



http://support.microsoft...7392/zh-tw



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣碩網網路娛樂股份有限公司 | Posted:2012-04-20 23:56 |
kamancy 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小有名氣
級別: 小有名氣 該用戶目前不上站
推文 x0 鮮花 x894
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

請問如何知道是 MBR 中毒呢?
通常感染的途徑是什麼?
現在還流行 MBR 中毒嗎?

MBR 中毒電腦會有什麼狀況?

謝謝


學習無限大♪爬文無限大♪
獻花 x0 回到頂端 [1 樓] From:臺灣遠傳電信股份有限公司 | Posted:2012-04-24 12:13 |
Davis 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x60
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

圖 1.

圖 2.



也可用手工來檢查,第一張是正常的MBR,第二張就不太正常的。


知之為知之,不知為不知,是知也
獻花 x1 回到頂端 [2 樓] From:臺灣新世紀資通股份有限公司 | Posted:2012-05-01 20:05 |
Davis 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x60
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

Hi kamancy,

關於你詢問的問題,我簡單回答如下,因為要解釋清楚並非三言兩語可行。

檢查MBR是否受到感染並加以修正,有很多方法,我簡單介照兩種種方法。


第一種自動工具檢測

下載 MBRCheck 到桌面後,點擊後按Enter,桌面會有一個

MBRCheck的txt檔,如果是正常檔案的最下方會顯示如下(以XP為例)

PhysicalDrive0 Model Number: WDCWD5000AAJS-22YFA0, Rev: 12.01C02

    Size Device Name       MBR Status
--------------------------------------------
  465 GB \\.\PhysicalDrive0   Windows XP MBR code detected
        SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

第二種手工檢測與修復

將你電腦作業系統的MBR dump 收集,收集的方法有很多,如果你己下載了MBRCheck,可以用
這個軟體來收集。開始>執行>將下列的命令貼上後,按Enter可在桌面得到一個mbrdump.dat的檔案。

複製程式
"%userprofile%\Desktop\MBRCheck.exe" -s 0 -d mbrdump.dat

可將這個mbrdump.dat上傳到 virustotal 來進行檢測,是否受感染。如果需要修復

,有很多種軟體可處理,當然XP與Vista 或Win7 有許多不同之處。

如以手工來修復可以下載 HxD Hex Editor 到桌面安裝後,右鍵按mbrdump.dat以

HxD Hex Editor開啟,就會如同下列的Hex檔,你可以進行編輯修復,然後另存新檔後,更換感染的mbr檔。

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

00000000 33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C 3ÀŽÐ¼.|ûP.P.ü¾.|
00000010 BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04 ¿..PW¹å.ó¤Ë½¾.±.
00000020 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5 8n.|.u.ƒÅ.âôÍ.‹õ
00000030 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B ƒÆ.It.8,tö µ.´.‹
00000040 F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88 ð¬<.tü»..´.Í.ëòˆ
00000050 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B N.èF.s*þF.€~..t.
00000060 80 7E 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83 €~..t. ¶.uÒ€F..ƒ
00000070 46 08 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB F..ƒV..è!.s. ¶.ë
00000080 BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0 ¼.>þ}Uªt.€~..tÈ 
00000090 B7 07 EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56 ·.ë©‹ü.W‹õË¿..ŠV
000000A0 00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC .´.Í.r#ŠÁ$?˜ŠÞŠü
000000B0 43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56 C÷ã‹Ñ†Ö±.ÒîB÷â9V
000000C0 0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C .w#r.9F.s.¸..».|
000000D0 8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A ‹N.‹V.Í.sQOtN2äŠ
000000E0 56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD V.Í.ëäŠV.`»ªU´AÍ
000000F0 13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60 .r6.ûUªu0öÁ.t+a`
00000100 6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A j.j.ÿv.ÿv.j.h.|j
00000110 01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B .j.´B‹ôÍ.aas.Ot.
00000120 32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 49 6E 76 61 2äŠV.Í.ëÖaùÃInva
00000130 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 lid partition ta
00000140 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E ble.Error loadin
00000150 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 g operating syst
00000160 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 em.Missing opera
00000170 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 00 00 ting system.....
00000180 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
000001B0 00 00 00 00 00 2C 44 63 22 E2 B6 9D 00 00 00 01 .....,Dc"â¶.....
000001C0 01 00 27 FE FF FF 3F 00 00 00 3B 4C 38 01 80 FE ..'þÿÿ?...;L8.€þ
000001D0 FF FF 07 FE FF FF 00 50 38 01 F8 C7 52 07 00 17 ÿÿ.þÿÿ.P8.øÇR...
000001E0 C1 FF 07 FE FF FF 03 18 8B 08 6B 3C A3 06 00 FE Áÿ.þÿÿ..‹.k<£..þ
000001F0 FF FF 07 FE FF FF 00 70 2E 0F 40 E4 09 2B 55 AA ÿÿ.þÿÿ.p..@ä.+Uª


這種手工修復只適用於進階用戶,就是了解mbr的人來使用,否則會造成系統無法啟動。由其是Vista,Win7與XP的

啟動檔在不同的分區。當然有很多的自動工具來處理修復mbr。一般感染TDL4 bootkit會造成下列的現象


1.搜尋引擎會被綁架
2.系統所用的Bootrec /fixmbr來修復的命令無效
3.用系統的Bootrec /fixboot會造成系統無法啟動
4.病毒會自動在硬碟創建一個active的分區來取代原來的啟動分區,例如最新的Zero Access病毒

目前我們來解決此類的問題,最好的辦法就是使用第三方的PE recovery CD來處理,就是移除病毒、修復mbr一次搞定。希有所助益。 表情


知之為知之,不知為不知,是知也
獻花 x1 回到頂端 [3 樓] From:臺灣新世紀資通股份有限公司 | Posted:2012-07-22 22:53 |
Davis 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
初露鋒芒
級別: 初露鋒芒 該用戶目前不上站
推文 x0 鮮花 x60
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

圖 1.



請問 SPFdisk 重建 MBR 可以清除病毒嗎?
我沒有使用過SPFdisk,但如果spfdisk有更換啟動分區的功能,應該是可以的。因為病毒不但改變了mbr也改變了啟動分區,尤其是Vista 與Win7。

一般而言xp的啟動分區是在系統的C:\,但Vista 與 Win7是在System Reserved Partitions,而這個分區是Hidden(隱藏)的,所以除了修復完後,必須將啟動的分區歸還原始預設的啟動分區。


例如上面這個Win7的硬碟的圖,其中Capacity為1MB這個分區就是病毒所創建的分區,修復之時,除了要刪除這個分區,也必須檢查啟動是否回復到reserved partition,如果沒有就要讓啟動還原預設的分區。但xp就沒有這個問題。


[ 此文章被Davis在2012-07-23 00:10重新編輯 ]


知之為知之,不知為不知,是知也
獻花 x1 回到頂端 [4 樓] From:臺灣新世紀資通股份有限公司 | Posted:2012-07-22 23:59 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.061288 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言