[解毒大作戰] Dedicate 破壞分割表

上周有台現場的工業電腦,因為開不了機拆回公司給資訊部維修。經過檢查後,外置變壓器與內置變壓器燒毀,應該是電力衝擊造成,另外觸控螢幕白化,所以同事就換了一台備用機,把硬碟拆到備用機測試無誤後,裝上備份用的行動硬碟準備備份後送回。

一般來說,現場的電腦只要回公司,都會備份目前的狀況,以利後續維護使用。

行動硬碟是 1 TB 切成 16 GB FAT32 + 剩下 NTFS ,在 16 GB 這邊安裝可用 USB 備份還原的系統,一台工業電腦全機壓縮備份後約 3 GB 左右。

將工業電腦關機重開後,首先碰上行動硬碟不能開機,覺得很奇怪,拆到工作電腦檢查,居然小紅傘跳偵測到 Dedicate 病毒。Google 多數認為是小紅傘誤判,例如:

https://www.ptt.cc/bbs/AntiVirus/M.1385903351.A.665.html

不過既然已損傷開機區,且有提到用 fixmbr ,顯然仍然是病毒。先用小紅傘解毒,行動硬碟共三區中毒,開機區、C/D 兩碟的 autorun。解毒完,把行動硬碟開機碟用救援程式重做,就可以正常用行動硬碟開機了。

此時要進行備份,備份軟體回饋資料錯誤不能備份,經檢查後,工業電腦內建硬碟也中毒了,工業電腦內建的是 160 GB 的硬碟,分成 64 GB 開機碟與剩下來的資料碟,均是使用 NTFS,工業電腦的硬碟分割表被寫成 0.99 GB + 未分割。因為實際定址不同,就沒辦法正常開機。

因為凡接觸過的硬碟均會受損,所以拿到沒接硬碟的電腦使用 HBCD 15.2 光碟救援片開機。HBCD 光碟救援片有一些工具可用,考慮到資料重要性,先使用 Partition Find and Mount 來救資料,Partition Find and Mount 是使用唯讀技術不寫入硬碟方式來讓系統重訂分割區,分割表會寫在記憶體,因此可以確保最大資料安全性,有興趣可在此網站下載:

http://findandmount.com/

當資料庫備份完畢後,雖然 HBCD 有一些文字化的工具,但畢竟沒有畫面讓人心安,所以改用先前介紹過的這套來救分割表:

[Tools] 推薦挽救隨身硬碟磁區消失好工具

處理完成後就可正常開機了。

用小紅傘完整掃描,還有另外兩隻病毒,分別是 TR/Rogue.9008086  與 TR/Agent.Vitro.2452。

推測感染過程應該是

0. 現場電腦不知為何中毒,但因為系統碟被作業系統鎖定保護,不能寫入分割表

1. 隨身碟在未關機前就插入造成隨身碟被感染

2. 被感染的隨身碟開機又寫入現場電腦的開機區

Categories: 工作點滴, 技術分享 | 發表留言

文章導覽

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: