baohe - 2010-8-2 17:47:00
这个鬼影变种(样本:http://bbs.ikaka.com/showtopic-8743361.aspx)比较变态。改写MBR 和 0面0道N个扇区,这自不必说了。还将N多垃圾/流氓引入系统。中招后较难收拾。
用True Image(Acronis公司的DD),若事先做过系统备份,只要花7分钟左右的时间,即可搞掂:kaka12:
具体操作如下:
1、开机按F11,进入 Linux环境下的True Image。选择保存在“虚拟硬盘”上的系统备份。
附件: 您所在的用户组无法下载或查看附件
2、选择恢复方案:恢复整个磁盘分区。
附件: 您所在的用户组无法下载或查看附件
3、最重要的一个选择:除了勾选待恢复的分区外,应勾选“MBR and Track0”(主引导记录及零磁道)。
附件: 您所在的用户组无法下载或查看附件
4、核实要“磁盘属性”(即:确认恢复对话框中列出的这个硬盘的MBR)。若电脑只有单个硬盘,可跳过此步,直接点“Finish”(结束)。
附件: 您所在的用户组无法下载或查看附件
5、点击Proceed,即刻开始恢复过程,恢复完毕,系统重启。 整个恢复过程耗时7分钟(35G的系统分区,13.4G的内容)。
附件: 您所在的用户组无法下载或查看附件
True Image 备份的可取之处在于:除了备份用户指定的分区之外,它还备份整个0面0磁道的64个扇区。我这块硬盘在0面0道56扇有特殊记号(用途保密):kaka16: ,True Image 都能完整恢复。
附件: 您所在的用户组无法下载或查看附件
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.60
用True Image(Acronis公司的DD),若事先做过系统备份,只要花7分钟左右的时间,即可搞掂:kaka12:
具体操作如下:
1、开机按F11,进入 Linux环境下的True Image。选择保存在“虚拟硬盘”上的系统备份。
附件: 您所在的用户组无法下载或查看附件2、选择恢复方案:恢复整个磁盘分区。
附件: 您所在的用户组无法下载或查看附件3、最重要的一个选择:除了勾选待恢复的分区外,应勾选“MBR and Track0”(主引导记录及零磁道)。
附件: 您所在的用户组无法下载或查看附件4、核实要“磁盘属性”(即:确认恢复对话框中列出的这个硬盘的MBR)。若电脑只有单个硬盘,可跳过此步,直接点“Finish”(结束)。
附件: 您所在的用户组无法下载或查看附件5、点击Proceed,即刻开始恢复过程,恢复完毕,系统重启。 整个恢复过程耗时7分钟(35G的系统分区,13.4G的内容)。
附件: 您所在的用户组无法下载或查看附件True Image 备份的可取之处在于:除了备份用户指定的分区之外,它还备份整个0面0磁道的64个扇区。我这块硬盘在0面0道56扇有特殊记号(用途保密):kaka16: ,True Image 都能完整恢复。
附件: 您所在的用户组无法下载或查看附件用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.60