引导区病毒的数据恢复

数据恢复过程中前不久遇到一例硬盘主引导扇区中了病毒，其问题出现情况如下： 1、开机加电自检，检测到硬盘那一步时，检测时间比平时稍长。 2、主机自检完成后，启动操作系统，出现“starting ……”，一直等都无反应。 3、用软盘或光盘启动也只能启动到“starting ……”，视具体启动盘，出现提示也不一样，但都不能正常启动操作系统。 4、在BIOS设置中，将此盘设为“NONE”，才能用（DOS、95、98)启动软盘或启动光盘启动操作系统。但桌面上“我的电脑”中没有此盘；如挂上双硬盘，将故障硬盘设为“NONE”，用NT启动，启动后亦看不到此盘（因为正常情况下，即使BIOS设置中某硬盘设为“NONE”，NT启动后，“我的电脑”中也能正常显示该硬盘）；如用LINUX安装光盘启动安装，则能找到该硬盘，但提示此硬盘出错，不能进行分区。 5、低极格式化此盘，一般时间至少都需要10个小时左右才能格式完，但有的低格显示一切正常，如果重新启动，在BIOS设置中设有此盘，用软盘或光盘启动，也不能正常启动，只能到“starting……”处。（如果你的硬盘故障与前四项相同，请勿执行BIOS设置中的低级格式化，直接用以下的解决方法，这样硬盘上的数据都不会丢失） 从此现象看，应该是硬盘主引导扇区中了病毒，即使用杀病毒软件的功能，如KV300，他的软件中有一功能，能将硬盘的主引导扇区备份写回硬盘。但要想启动机子，BIOS中只能将此盘设为“NONE”，而DOS、95、98启动后，因为没有此硬盘，杀毒软件也找不到此盘，所以想到此款病毒于杀病毒软件来说，也只能说再见了。 解决方法是： 1、用一台能正常启动的机子制作启动软盘一张，并将c:\windows\command\debug.exe文件拷贝到启动软盘。

2、准备一张空白的已格式化的软盘。

3、用能正常启动的机子启动，主板自检完后，启动操作系统之前，按F8键进入DOS模式，将软盘放入软驱。执行以下步骤：（此操作是将好硬盘的主引导区内容备份到软盘，这台机子的硬盘最好与中了病毒的硬盘型号一样，即使不同，也可以。）

cd c:\windows\command                （红色表示自己输入的内容）

debug

-A 100

11BA:0100 mov ax,201

11BA:0103 mov bx,1000

11BA:0106 mov cx,1

11BA:0109 mov dx,80

11BA:010C int 13

11BA:010E int 3

11BA:010F             ;直接回车

-G=100

AX=0000 BX=1000 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000

DS=11BA ES=11BA SS=11BA CS=11BA IP=010E NV UP EI PL ZR NA PE NC

11BA:010E CC      int 3

-W 1000 0 50 1 

-Q                     ;退出程序

将软驱中的软盘取出，就定义此软盘为硬盘主引导扇区备份盘，如果用DIR命令看此盘，应该什么文件都没有。

4、重启计算机，将BIOS设置启动顺序设为FLOPPY，则在软驱中放入步骤一所做的启动软盘。

5、将能启动的硬盘接在IDE0接口线的前端，数据线不要插得太紧。（一定要将硬盘跳线设为MASTER）

6、将中了病毒的硬盘也接在此台机子的电源线上，不接数据线，将硬盘跳线设为MASTER。

7、启动机子进行热插拨。启动计算机，等出现检测完硬盘的时候，马上将好硬盘上的数据线取掉接在中了病毒的硬盘接口上。此步操作要注意时间性，即能让计算机刚好检测到好硬盘的主引导扇区，又能检测到中了病毒的硬盘，且必须能用启动软盘启动操作系统。（这一步可反复测试交换硬盘数据线的时间差，让计算机能启动，检测出中病毒的硬盘，当然不是用此硬盘启动，是用软驱中的启动软盘启动机子的。）

8、机子启动，进入DOS模式中的A盘，运行以下程序。(将硬盘主引导扇区的备份恢复到中病毒硬盘中来）

a:\debug            （将debug程序启动后，取出启动软盘，将硬盘主引导扇区的备份软盘放入软驱中）

-l 1000 0 50 1

-a 100

10D6:0100 mov ax,301

10D6:0103 mov bx,1000

10D6:0106 mov cx,1

10D6:0109 mov dx,80

10D6:010C int 13

10D6:010E int 3

10D6:010F             ;直接回车

-G=100

AX=0000 BX=1000 CX=0001 DX=0080 SP=FFEE BP=0000 SI=0000 DI=0000

DS=10D6 ES=10D6 SS=10D6 CS=10D6 IP=010E NV UP EI PL ZR NA PE NC

10D6:010E CC     int 3

-Q

9、重新启动机子，看此硬盘能否启动，（也就是BIOS设置中要将此硬盘设为有效，能用启动软盘或此硬盘启动机子。硬盘上的数据一般不会丢失，如丢失，可以重新格式化进行安装）

说明：此种病毒感染了硬盘，一般无反应，发作时是你的机子明明好好的，正常关机，重新启动就不行了；BIOS设置中如设得有此盘，就不能启动操作系统，如设为“NONE”，则能启动机子；对主板BIOS设置是用AWARD的机子，其硬盘似乎不会中此病毒。

“硬盘杀手”病毒

这是全球第一个可以覆盖硬盘分区的蠕虫病毒，没有采取防护措施的计算机，一旦被感染，硬盘分区将被覆盖，导致硬盘被锁死，硬盘无法使用、所有数据全部被封存。

瑞星权威反病毒工程师郑重告知广大用户：由越来越多的多项权威数据和近百块受害用户硬盘的受损情况来看，“硬盘杀手”的破坏力是有史以来最凶狠的，对用户数据的破坏程度更是致命的。

病毒类型：蠕虫病毒
发作时间：随机
传播方式：网络/邮件
感染对象：网络
主病毒文件大小：17,408字节
破坏方式：毁坏硬盘数据
警惕程度：★★★★★

病毒介绍：

12月27日凌晨，瑞星全球反病毒监测网于国内率先截获一全新的恶性蠕虫病毒，并将它命名为“硬盘杀手”（Worm.OpaSoft）。这个病毒的破坏力全面超越了臭名昭著的CIH：它可以在Windows95以上的所有版本的操作系统中运行，将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染，传播能力远远强于CIH！

“硬盘杀手”病毒运行时会首先将自己复制到系统目录下，然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播，即使网络共享文件夹有共享密码，病毒也能传染。如果是NT系列系统，则病毒会通过共享文件夹感染网络。病毒会获取当前时间，如果病毒已经运行两天，则病毒会在C盘下写入病毒文件，该病毒文件会改写硬盘分区表，当系统重启时，会出现病毒信息，并将硬盘上所有数据都破坏掉,并且不可恢复。

病毒发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

一、病毒运行时会将自己复制到WINDOWS安装目录下（如果是默认安装则病毒拷贝病毒的目录为：C:\WINDOWS），命名为：mqbkup.exe。可以用DOS盘引导系统，在DOS直接删除此文件，或者在WINDOWS系统中用杀毒软件进行内存杀毒。

二、病毒会改写Windows安装目录下的Win.ini文件，在其中加入run=c:\windows\mqbkup.exe的内容，用户可以用编辑软件直接编辑此文件，将此内容删除。

三、病毒会在C盘创建19个字节的msdos.sys文件、1706个字节的Mslicenf.com文件、88个字节的Boot.ini文件、4096个字节的Boot.exe文件、15个字节的Autoexe.bat文件，用户可以直接将这五个文件删除。

四、病毒会在注册表的自启动项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中加入键值mqbkup或者mqbkupdbs，用户可以用注册表编辑工具直接将该键值直接删除。

五、用户如果中了该病毒，则重启时屏幕上会出现以下内容的信息：NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
for more information, please call us at:
1-888-NOPIRACY
on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world.
不过当用户看到此信息后，则硬盘数据已经被破坏，无法恢复。

以上资料是针对此种情况的硬盘实施的，只对有一定基础的人试用，如果是新手，最好找一个比较懂的人帮助，完成以上操作。如果你也遇到过此种类似情况，有更好的解决方法，望来信探讨，EMAIL：qinrm@163.com