这个系统使用的是什么还原方法？ 求助，求助！！！

song-ci

1.昨天碰到一台机器（普通老机器），安装了很多流氓软件，主页浏览，视频浏览，播放器等，用ccleaner卸载清理，重启。

2.流氓软件自动恢复了，以为安装了还原精灵，寻找安装程序（包括隐藏文件），只有一键Ghost，进入安全模式卸载。重启（启动项是直接进入系统），一键Ghost文件夹安然无恙，奇怪……

3.当时进程如下，无其他……

360Tray.exe
alg.exe
csrss.exe
ctfmon.exe
explorer.exe
lsass.exe
notepad.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe  （7个）
system.exe
system Idle Process
winlogon.exe
taskmgr.exe
ZhuDongFangYu.exe

4.进安全模式尝试部分卸载软件，重启，软件自动恢复。其他分区检测并没有Ghost备份（全被格式化了一遍），无奈只有进入PE系统，直接删除了软件的安装文件夹。

5.重启进入Windows，PE里删除的软件没有了，但快捷图标还在桌面，删除清理，重启又还原了……在正常和安全模式下进修的修改都无效

6.真心请教高手们，没有使用Ghost备份还原，系统启动是直接进入Windows，没有软件运行进程的情况下，这个系统会是用的什么软件对其进行了保护和开机还原？


（提议重装，谢谢）请高手帮分析，想解决这个困扰，而非一装了之。真心恳求大家帮助分析，解决！！！

zm王子

硬盘驻留

玉振金声123

zm王子 发表于 2012-11-20 19:11
硬盘驻留

这种病毒叫”影子病毒“，貌似格盘也不管用的说，，该类病毒寄生在磁盘主引导记录中（MBR），即使格式化重装系统，也无法清除的病毒。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常~，比较悲剧··，这种病毒只有去专业人士那里去解决了~


楼层回复错了
·············

玉振金声123

这种病毒叫”影子病毒“，貌似格盘也不管用的说，，该类病毒寄生在磁盘主引导记录中（MBR），即使格式化重装系统，也无法清除的病毒。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常~，比较悲剧··，这种病毒只有去专业人士那里去解决了~

wfn195

楼主说:"直接删除了软件的安装文件夹"
请问是什么软件的安装文件夹啊?360吗?
我觉得这个系统就是有还原精灵之类的软件,驱动里找找,应该能找到.
先不要重装系统,把这个软件卸载了再做系统,我以前装的毛豆时光机,没卸载时光机就进PE格式化了C盘,做了系统,然后硬盘就读不出来了,拿去修,那人也不会,说先放下,修好了给我,过了两天告我说硬盘坏道太多,修不好了.后来还是把时光机卸载了才重做的系统.

zm王子

玉振金声123 发表于 2012-11-20 22:13
这种病毒叫”影子病毒“，貌似格盘也不管用的说，，该类病毒寄生在磁盘主引导记录中（MBR），即使格式化重 ...

重写MBR就好了啊    很多工具都可以的     DG     bootice什么的

ccsfuture

360 金山急救箱 上去先来一遍

wfn195

6楼说的对,方法又简单,你下载个工具修复一下MBR就好了,恢复MBR以后还原软件应该就不会启动了.

觉得这个系统应该是有一个还原软件的,它修改了MBR里面的分区表,把硬盘分成了三个盘区,一个C盘,一个是包括D,E,F在内的从盘,一个是你看不见的隐藏分区,然后把备份文件放在了那个隐藏分区里面,所以你在硬盘里面找不到备份文件.

没用过急救箱,急救箱能重建MBR不?

玉振金声123

zm王子 发表于 2012-11-20 23:16
重写MBR就好了啊    很多工具都可以的     DG     bootice什么的

我是没遇到过，，我同学遇到过，我觉得还是找专业的人员看看比较保险，貌似很悲剧的说~，，这种病毒还是比较厉害的···

song-ci

谢谢楼上的两位，因为很久没有接触过这类软件的使用和系统的维护了，手生的很，非常感谢你的帮助，下班回去再试试重建MBR，然后再看看情况，十分感谢大家