今天朋友电脑出现问题,开机后电脑出现黑屏,桌面没有任何图标,进程explorer在,百度,google一下,大多数是因为安装了微软的黑屏补丁所致。

可是重新恢复过系统问题依旧,备份的系统是好的,而且系统属性提示是激活的,最主要的是我安装的系统大多数是OEM的正版系统,所以我就排除了是黑屏补丁的原因

之前我也遇到类似的事情,电脑所有硬盘重新格式化后,多次重新安装系统,还是发现系统很慢,经常死机。

莫非这次和上次问题一样,是中毒所致。中的是什么样的毒呢?

上次的是MBR病毒,这次莫非也是,答案后面揭晓。

MBR病毒症状

  mbr是硬盘的主引导记录,属于引导区,故可以清除。

  引导区  引导区是当硬盘重新分区,格式化时,会重写引导记录.引导系统.

  初买来一块硬盘,我们是没有办法使用的,你需要将它分区、格式化,然后再安装上操作系统才可以使用。一个完整硬盘的数据应该包括五部分:MBRDBRFATDIR区和DATA区。其中只有主引导扇区是唯一的,其它的随你的分区数的增加而增加。

  主引导扇区位于整个硬盘的磁道柱面1扇区,包括硬盘主引导记录MBRMain Boot Record)和分区表DPTDisk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。

  引导区它记录着一些硬盘最基本的信息,像硬盘的分区信息,这些信息可以保证你的硬盘能正常工作,但如果这些信息被修改了,那硬盘里的数据就会丢失。一般常在网上下载东东或是经常到处乱拷东东的机器最容易患引导区病毒。像CIH病毒就是利用了这一点,破坏了你的硬盘分区,使你的数据丢失。所以引导区的安全问题是相当重要的。

MBR病毒简介

  引导区mbr病毒简介:

  引导区病毒是PC机上最早出现的病毒,也是我国最早发现的病毒种类。这类病毒主要感染软盘的引导扇区和硬盘的引导扇区或者主引导记录。

  一个正常的计算机启动过程是:计算机读取引导扇区或者主引导记录加载其进入内存中,然后引导相应的系统。而一台染有引导区病毒的机器则会先把病毒加载入内存然后才进行正常的引导过程。

  在上个世纪八九十年代的时候引导区病毒有很多,如:StoneBrainPingpangMonkey等,但随着Windows 的发展,慢慢的有些引导区病毒已经失效了。但仍有一些引导区病毒存活,并且传染率相当高,常见的就是WYXPolyboot)病毒。

  引导区病毒引起的症状有:软盘读写出现错误、无故读取软驱等。

  引导区病毒隐藏在硬盘或软盘的引导区(Boot),当计算机从感染了引导区病毒的硬盘或软盘启动,或是当计算机从受感染的软盘里读取数据时,引导区病毒就开始发作。一旦它们把自己复制到计算机的内存里,就会感染其他磁盘的引导区或是通过网络传播到其他计算机上。

第一个真正感染个人电脑的病毒Brain就是一个引导区病毒。Brain及其后续者使用了隐藏技术,使它们可以躲过当时的大多数病毒扫描软件。尽管现在软盘被当作病毒感染介质的情况已经越来越少,但引导区病毒依然是一种显著的感染威胁。更加复杂的引导区病毒可以感染计算机的主引导区记录(MBR),或者进化成为multi-partite病毒。

于是用金山卫视查杀,果然发现了病毒的踪迹,没想到这次不是MBR病毒,而是Explorer被劫持了:

病毒木马破坏系统注册表键值Shell,导致操作系统反复注销。

注册表信息:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon – [Shell] : (Explorer.exe D:\sVolumeMBA.{CF92DA25-C429-A645-BDFF-5280C8B22215}..)

删除后,问题解决。

总结下解决问题的优缺点:通过排除法确定是病毒导致的,这是最终能解决问题的根本,因为路是走对了,但是如果不是用金山,手动杀毒的话,就会有很多麻烦,因为我一开始认为的是MBR病毒,其实在一开始就可以排除的,只要结束explorer后再运行explorer就可以知道是不是MBR病毒了。