电脑故障——感染了ACPI恶意驱动:
《症状》:开机花屏,最后在出现系统LOGO标志后蓝屏,英文提示(1),然后死机。可以进入DOS,但进不了PE,用系统安装盘恢复也是死机,若重新安装系统在复制文件阶段后即死机。GHOST失败,安全模式开始进不去,蓝屏死机。后来在BIOS中屏蔽相关中断(2),再在DOS下GHOST,虽说结束后期会报错,报错提示(3),但可从安全模式下进入,只是具体操作文件时会忽然死机,例如复制文件过程中会莫名死机。另在刚恢复,进入安全模式时,电脑提示有新设备驱动已安装要重启动。
在BIOS的硬盘选项中出现“bootable Add-in Cards”栏目(4),在电脑启动检测的硬盘项目中也在硬盘标识后有另一个标识(5),均为异常现象。安全模式中,在设备管理器可见,计算机名称为“ACPI Multiprocessor PC”,另在网络适配器中出现众多的WAN微型端口。
《由来》:夏季电脑时常重启,而之前还发觉主板声卡接口时断时续,便网购并调换了主板。调换后电脑没反应,无声无息,偶见门前维修电脑者,请来看看。开机,在PCI-E插上检测卡,热拔硬盘数据线。看完检测卡显示的数字,然后关机,拉出两条内存,擦擦。问“内存不行怎么没警示声?”回“有时没声音”。再开机,有显示,热插硬盘数据线,电脑出现花屏,维修者说“看,主板不行”,接着显示出系统LOGO后蓝屏。维修者提议,你主板集成显卡不行应退货,我为你重新换,从头到尾,比原先购买的主板多一百元,全部搞定。考虑到新主板在DOS的低分辨率状态下不太可能出现显示功能问题,便装回旧主板,结果开机出现一模一样的问题:花屏、蓝屏,而这是原先从没有的。
《分析》:由于调换过主板,可新旧主板都出现同样的症状,因此不可能是主板硬件问题。怀疑硬盘问题,用MSDOS7.1紧急启动盘的HDDREG1.71进行硬盘坏道的检查与修复,提示“Disk I/O error”,后用MHDD检测,结果报告显示:没有坏道。
坏道被排除,结合系统给出的提示,再查看到BIOS的异常,认为是感染了ACPI恶意驱动。可它在那儿呢?用DISKGEN清理扇区、重写主引导记录,都没效果。用DISKEDIT、KVFIX编辑MBR,直接出现“Invalid partition table”,分区表全损,再用DISKGEN恢复,查看DBR、FAT、Root,知识不够,不敢乱动。
进一步析理,判断故障似乎还在CMOS。因为开机时在BIOS和启动菜单里,会在原来的硬盘上出现另一个项目:“Bootable Add-in Cards”。虽说换过主板,但此恶意驱动可能在硬盘和CMOS里都存在,当更换主板时硬盘里的驱动将向新换的主板写入,故而倘若更换第一硬盘时BIOS也将有可能向第一硬盘写入那恶意驱动。
为更改CMOS,意图去除BIOS中硬盘中小引导盘的驱动加载项目,升级BIOS。可是用了好几版本的AwdFlash程序,都是回答提示:“Unknown Flash Type”(6),即便加参数/CP/CD/LD也不成功,可它们原来使用过均有效果的。
还有一现象,曾插上原来586的PCI显卡,系统倒不花屏了,只是系统还是进不了。
进360网站,下载启动U盘及安全卫士什么的,都没结果。
《问题》:处理此故障,看来是先重写CMOS,再解决硬盘的引导问题。可怎么能进入更改其数据呢?即便修改BIOS的程序,写入的应该还是AwdFlash呀。另外,硬盘中那卡引导驱动的位置在哪里,如何卸载?
附:
(1)蓝屏英文提示:
A problem has been detected and Windows has been shut down to prevent damage to your computer
If this is the first time you’re seen this Stop error screen appears again follow these steps:
Check to be sure you have adequate disk space. If a driver is identified in the stop message disable the driver or check with the manufacturer for driver updates. Try changing video adapters.
Chick with your hardware vendor for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components restart your computer press F8 to select Advanced Startup Options and thin select Safe Mode.
Technical information:
Win32k.sys - Address BF8139B6 base at BF800000 Datestamp 4fofoff9
(2)屏蔽了硬盘管理IRQ14及ACPI的IRQ9,在BIOS的“Miscellaneous Control”栏目内“IRQ Resources”中“IRQ-14 assigned to”与“IRQ-9 assigned to”设置为“Reserved”,另在“Power Management Setup”中“ACPI function”设为“Disabled”。
(3)GHOST恢复系统尾期出现的黑底白字提示:General Protection Fault in RMCB at eip=191960; flags=3002, eax=00000001, ebx=00001246, ecx=00000000, edx=00508d8c, esi=0000142a, dei=00002414, ebp=00ab22a8, esp=000023f8, cs=af, ds=3b, es=33, fs=33, gs=bf, ss=33, error=0000
(4)位置在Award BIOS CMOS Setup的“Advanced BIOS Features”中“Hard Disk Boot Priority”内。
(5)硬盘标识为SAMSUNG HD161HJ,随后若干空格后是:
“41R0186LEN TF100019 SATA2”
(6)有一次AwdFlash报出:Invalid opcode at 000B 0000 0082 02F3 FFFF 0046 40A9 0005 1000 0000 1721 1000 25EA
|
发表于 2013-11-30 13:49:48
楼主
