求助 - 還原到原始出廠狀態後掃描出現中毒

[a471]

引用:

作者: haluko

NB: IBM ThinkPad X32
2006年8月購入,
內附Norton AntiVirus 2005 90試用版
出場原始之病毒碼日期為2004年11月
主要用途; 資料製作,照片整理,上網(從未上不良網站)
原廠還原磁區等均未更動
除還原磁區之外只有一顆硬碟分割

小弟使用該nb已有一段時間
平日習慣還算良好
還原整個硬碟後第一件是事先掃毒
因為平均不到90天就會還原成原始出廠狀態
所以也就一直相安無事

但這前天還原成原始出廠狀態之後
還未上網更新病毒碼就先行掃描整顆硬碟
卻出現
"磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒"
的訊息
不論是直接從還原磁區還原至出廠狀態
還是將整顆硬碟format後(包含刪除還原磁區)
再用還原光碟重建還原磁區都一樣會出現中毒訊息

但是若上網更新Antivirus 2005病毒碼再掃描,
或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描
卻又沒出現發現病毒的訊息

能否請各位賢達位小弟解惑
1. 為何會有這種情形發生
2. 小弟又要如何處置才能確保真的沒中毒

謝謝指點

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?

防毒軟體過期了就別用了OK~~~拿明朝的尚方寶劍斬不了清朝的皇帝，2005的防毒
軟體對付2008的病毒?

建議你還原光碟拿去收起來放，證明你的OS是合法的.......

然後把重要資料備份好之後將硬碟重新分割為兩個分割區，C用來安裝應用軟體+OS
，D存放你個人資料......

然後安裝最新的防毒軟體，等你將作業環境弄好之後用GHOST做映像檔燒成CD，取代
你原先的還原光碟...

[plunderer]

為何會有這種情形發生?
1
BloodHoudn 是啟發式技術的一種, 有可能設定太敏感而誤報

2
若你是低階格式化你的硬碟, 那就很乾淨了, 除非作業系統光碟本身帶病毒
若只是 format 分割區或刪除分割區, 還不見得乾淨, 因為有的病毒會自行建立隱藏的分割區, 並感染其 MBR 磁區
隱藏分割區顧名思義, 一般軟體讀不到, 除非用專門軟體, 如DiskGenius

如何處置才能確保真的沒中毒?
現在的硬碟沒必要低階格式化了(低階格式化會降低硬碟壽命)
用 DiskGenius
http://down1.tech.sina.com.cn/downlo...-16/6549.shtml
刪除所有分割區再重新分割, 再用你確定沒問題的作業系統光碟安裝

P.S
慎用 DiskGenius, 功能越強的軟體殺傷力越大

[leowang]

建議 可以的話最好都重新安裝新的OS
畢竟大大的你的還原出來的都太老了 微軟也都更新了很多東西
之後再來安裝較新版的防毒軟體的會比較好
當然也可以把它Ghost備份起來

[haluko]

引用:

作者: a471

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?...

很抱歉這麼晚回覆
說來慚愧
買來之後就都一直很忙
所以到現在一直未能好好的重灌
所以現階段只能每隔一段時間還原一次
a471大大與leowang大大的指示小的會記在心中

那敢問各先進
小弟附上的分析資料中
有中毒的跡象嗎?
不知哪裡有DiskGenius的相關使用說明

謝謝各位

[plunderer]

log 看起來沒問題

DiskGenius 裡面就有輔助說明檔, 簡體中文的

P.S
DiskGenius 是unicode 簡體中文, 在繁體系統上執行時其介面文字會變成一堆問號
安裝Unicode 補完計畫 2.50後, unicode 簡體中文的軟體就能正常顯示
http://search.cpatch.org/download/pa...deaton_250.exe

[a471]

把OS需要的驅動、公用程式全部找齊就重新安裝系統吧，把驅動程式+OS剛裝好時、

建立完成結束重建時的系統做映像檔，這樣你靠一張DVD-ROM就可以讓你系統恢復

成"作業系統剛裝好與系統建置完成時"的兩種情況.....比你過時的還原光碟好用

[haluko]

謝謝各位指點
對其他大大很抱歉
小弟把最佳解答給了plunderer

但是小弟還是很好奇
HijackThis的log可以看出開機磁區有無中毒嗎?

[plunderer]

不能....
MBR 感染屬於低階磁碟存取, 而HJ 只能掃出作業系統載入程式的情況