附件: 中病毒的后的截图.rar (2011-2-3 17:40:02, 288.40 K)
该附件被下载次数 464

结果任务管理器里有70多个进程,然后自动突然重启.本想GHOST恢复一下就没事了,结果GHOSH恢复下主页还是被改了.MD5效验GHO文件也没变.现在把全部分区删除后再重装系统就好了,一直以为GHO恢复是万能的.....以后再也不能乱点了.

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

编辑原因,问题解决了,幸好中了这病毒很明显如果隐藏的好的话GHOST恢复就以为安全了,现在又多学了一招,以后恢复前要先看下MBR区了

应该是这个病毒,用WinHex比较了下,在0扇区的D0位置分区全删除再重建后没中病毒的情况下是8B 4E 02 8E 56 00,而中病毒后为B9 36 00 B6 00 90
还有100位置正常时为6A 00 6A 00 FF 76 0A FF 76 08
中病毒后为                6A 00 6A 00 68 00 00 68 35 00  ,这些是用系统安装盘删除分区后再创建分区进行的比较,如果用DiskGenius更新MBR得到的数据那也是有很大的不同的.还有更重要的是在1到62扇区也被加入了很多数据,而且每次中毒测试位置都不一样有时候是从1扇区开始有时候又是从53扇区开始,这些地方刚创建分区时数据都是00,而中了病毒后不更新MBR就把后面的1到62扇区修改为00开始时就会出现Error Loading Operating System停在这.多次测试发现其它不用把硬盘上每个分区都删除的,只要用XP安装盘运行到那出现安装选择哪一分区时选择C盘按L删除第1分区然后再搂L创建出来MBR就更新了而且是与删除全部分区再创建出来的是一样的,其它盘的数据就不会丢失了.别外这个病毒太智能了有时候把MBR恢复了其它盘也删除下了AutoRun.inf和其它盘下的一切,然后GHOST恢复再点这个病毒同样会修改主出来"改变你的一生"IE快捷等,但是有时候它又不去改变MBR区.还有下载的软件有时候是七喜和呱呱KTV歌等,今天试了又成了其它了,而且还会不断的上传查了下电信的清单都上传了200多兆数据了

,这些地方刚创建分区时数据都是00,
-------------------------------------------------------
另忘了说一下这些地方我是先用WinHex清0的,用XP安装好像他只管0扇区,61到62扇区好像不管的

区然后再搂L创建出来
--------------------------------
是按C创建出来原来那删除的分区...又打错字了