中毒后的症状
系统启动项有Ati.exe或者ali.exe等一些调用文件,这个调用的文件名也可能是其它的。
打开IE浏览器时,会自动弹出别的网站的网址(同时可能是导航网址),用任何办法改掉后重起还会回来,分区并做系统均无效。
这个病毒很有意思,它专门修改硬盘的MBR(电脑硬盘主引导记录)区域,电脑在做用软件做分区、格式化、以及克隆(ghost xp)系统的时候一般不会修改MBR区域。只有当你用特定软件修改或者采取手动原始安装系统的时候才会重新改写此区域。
我用二种方法清除掉这种病毒,一种是用Lformat低格程序格个头,然后启动PQ分区。第二种比较简单,启动光盘的DOS系统,执行 Fdisk /mbr。二种方式都可清除此病毒留在硬盘MBR区域的文件。
此电脑病毒只针对XP系统有效,不对VISTA和WIN7系统攻击,我倒是怀疑此种病毒的攻击方法就是由微软提供的,并且和病毒最初制造着有着密切的联系。
下面是关于MBR和主引导扇区的一些说明
首先简要介绍MBR和主引导扇区的关系。
主引导扇区是硬盘0号柱面,0号磁头的第一个扇区,大小为512字节。(注:硬盘可以用柱面、磁头和扇区定位)
MBR,占用主引导扇区的前446字节,紧随其后的64字节是分区表DPT,最后还剩两个字节则恒为55AA,表示结束符号。
然后,具体说一说MBR和分区表。
MBR,全称为Master Boot Record,即硬盘的主引导记录。MBR,共446字节,一般在操作系统安装时写入,但它并不属于操作系统。MBR就是一段引导程序,用于检测磁盘的分区合法性和加载操作系统,它的重要作用就是识别活动分区,并引导操作系统。
分区表DPT,共64字节,记录了硬盘有多少分区以及分区的各种属性。由于一个分区的信息要占用16字节,所以分区表只能定义4个分区,这就是为什么我们说硬盘一般最多只能分为4个主分区(这里说“一般”是对基本磁盘而言,而对于动态磁盘则无此限制,但大部分都在使用基本磁盘,可以暂不考虑 )。
注:关于分区的解释说明
因为分区表的限制,一个硬盘只能容纳4个基本分区(就是4个主分区),其中一个基本分区可以是扩展分区,又由于bios的限制,每块硬盘只能有1个扩展分区,同时扩展分区可以包含多个逻辑分区。
计算机开机后BIOS加电自检,一切正常后,找到第一个启动设备(一般就是硬盘),然后从这个启动设备的主引导扇区读取MBR。MBR这段引导程序识别活动分区,引导操作系统。
参考资料来源
百度:http://zhidao.baidu.com/question/102315932.html?fr=ala0