请问如何保持分区状态不变重写MBR

zhou0197

回复 9楼 YYDDFYYTL 的帖子

一般新出的伪快播都做过免杀的…………先建议严格按照我7楼的建议处理，包括日志和杀软，再看情况。

YYDDFYYTL

回复 11楼 zhou0197 的帖子

明天试试。感谢。

YYDDFYYTL

回复 11楼 zhou0197 的帖子

回复，似乎还是不行。

过程是这样的，先反安装还原系统，再重写MBR,又在安全模式下用AVAST，360最新版的急救箱整了一通，金山的几个顽固专杀和金山急救整了一通。似乎都没问题。

于是，又重新装了还原系统。不过，感觉还是有病毒。因为整了几小时后，又用金山急救箱扫了一把，结果又有一个啥的桌面快捷方式出错（大意是给木马偷梁换柱）。。。。

我实在不明白，病毒会藏在哪里。BIOS（这个先排除吧，如果有就麻烦鸟），MBR也重写了，难不成是硬盘的某个系统文件或者常用软件里藏着，但又没有检测出来？

这是最新整的一个日志文件，请帮忙再看看。俺自己先粗过了一下，似乎也没啥问题。

zhou0197

回复 13楼 YYDDFYYTL 的帖子

先不急，一切只是猜测，因为没有样本。因为卡饭服务器硬盘故障，貌似原来所有样本都挂了……分析一下，一般来说伪快播最多替换系统文件，我上次告诉你的那个文件是否已经正常文件替换？似乎很少感染其他文件。现在这样，日志确实没有问题（难道雨过天晴天数没有数字签名？安装文件是否官网下载？），你现在再用金山急救箱+windows清理助手在正常系统下（急救箱扩展扫描，清理助手全盘扫描）进行扫描，结束后如果有发现就截图上传，有路径或者注册表一定要完整显示！！！之前金山急救箱的完整截图有没有？之前我和你说的那个系统文件是否已经替换？我根据你的结果再决定以后怎么办。

YYDDFYYTL

清理助手漏网之鱼。

雨过天晴官网下载的正版，绝对没问题。我是扫过后，整到U盘ISO里的。我怀疑别人用远程在监控我的电脑，听音乐的时候，可能输了什么命令，把我的WMA播放器都给弹了。但在端口监控软件里又没发现啥。。。。

因为各种辅助软件存在，我估计木马能能藏身的地方已经不多了。唯一途径就是查不出来，并且可能还会主动升级。。。

我敢肯定是有木马存在的。

明天再战。
非常感谢。

YYDDFYYTL

算了，还是重新格式化分区再重装系统吧。
我现在已经把硬盘应用软件陆续保存文件名，准备数据全盘放弃。