Trojan.Win32.thsys这种木马怎么办啊格式化重装没用高手帮帮忙啊感激不尽．．． bbs.ikaka.com

ivan09 - 2010-8-6 18:13:00

Trojan.Win32.thsys这种木马怎么办啊格式化重装没用

QQ自动重启，网站打不开，电脑经常蓝屏，安装程序失败，迅雷直接崩溃，自动下载木马到中标电脑，替换系统文件（360系统急救箱可以扫描出，但是无法解决）。所有杀毒软件都无法正确查杀该木马。

昨天全格后用ghost盘重装完还是有，换了个硬盘装好象也是那样，然后就不敢再拿别人的硬盘了．．
之后今天看百度说此病毒是感染了硬盘引导区，需要先重写引导区．使用DOS命令Fdisk /MBR重写硬盘主引导区，注意中间有个空格。
．这一步很奇怪我输入了命令没用．．．不行我就只好进fdisk把分区全部删除了．然后再重新分区．．再用xp的原装盘一步一步装（非ghost），然后辛辛苦苦装完，看起来还好，然后又装了360系统急救箱，３６０安全卫士．．问题又来了，这死木马还在！！！．．．
用SREng扫描完自动重起，SREng还提示被修改内核．．只好进安全模式下扫描．．然后也杀毒，但是杀不到啊．．．

希望有高手能帮帮忙．．．感激不尽啊，．．．不然真是束手无策了．．．

还有个希望就是引导区怎么能重写，对于那个命令，试了就是没反应．．

SREngLOG１是在安全模式下扫的．．

[复制到剪贴板]

CODE:

2010-08-06,17:48:36
System Repair Engineer 2.8.2.1321
Smallfrogs ([url]http://www.KZTechs.com[/url])
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
计划任务
Windows 安全更新检查
API HOOK
隐藏进程

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Windows Publisher]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Windows Publisher]
<RTHDCPL><RTHDCPL.EXE> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<Alcmtr><ALCMTR.EXE> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Component Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<PostBootReminder><%SystemRoot%\system32\SHELL32.dll> [(Verified)Microsoft Windows Component Publisher]
<CDBurn><%SystemRoot%\system32\SHELL32.dll> [(Verified)Microsoft Windows Component Publisher]
<WebCheck><%SystemRoot%\system32\webcheck.dll> [(Verified)Microsoft Windows Publisher]
<SysTray><C:\WINDOWS\system32\stobject.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
<WinlogonNotify: crypt32chain><crypt32.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
<WinlogonNotify: cryptnet><cryptnet.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
<WinlogonNotify: cscdll><cscdll.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
<WinlogonNotify: ScCertProp><wlnotify.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
<WinlogonNotify: Schedule><wlnotify.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
<WinlogonNotify: sclgntfy><sclgntfy.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
<WinlogonNotify: SensLogn><WlNotify.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
<WinlogonNotify: termsrv><wlnotify.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
<WinlogonNotify: wlballoon><wlnotify.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
<Microsoft Windows Media Player><C:\WINDOWS\inf\unregmp2.exe /ShowWMP> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS]
<浏览器自定义组件><RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
<Windows 桌面更新><regsvr32.exe /s /n /i:U shell32.dll> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
<Internet Explorer 6><%SystemRoot%\system32\ie4uinit.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Control Panel\Desktop]
<SCRNSAVE.EXE><C:\WINDOWS\System32\logon.scr> [(Verified)Microsoft Windows Publisher]
==================================
启动文件夹
N/A
==================================
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Windows Installer / MSIServer][Stopped/Manual Start]
<C:\WINDOWS\system32\msiexec.exe /V><Microsoft Corporation>
==================================
驱动程序
[AMD Processor Driver / AmdK8][Stopped/System Start]
<system32\DRIVERS\AmdK8.sys><Advanced Micro Devices>
[gdrv / gdrv][Stopped/Manual Start]
<\??\C:\WINDOWS\gdrv.sys><Windows (R) 2000 DDK provider>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus][Running/Manual Start]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService][Stopped/Manual Start]
<system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[nvata / nvata][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\nvata.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD][Stopped/Manual Start]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus][Stopped/Manual Start]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Stopped/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[TCP/IP Protocol Driver / Tcpip][Stopped/System Start]
<system32\DRIVERS\tcpip.sys><Microsoft Corporation>
==================================
浏览器加载项
[]
{B69F34DD-F0F9-42DC-9EDD-957187DA688D} <, >
[Office Genuine Advantage Validation Tool]
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} <C:\WINDOWS\system32\OGACheckControl.DLL, (Signed) >
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, (Signed) Microsoft Corporation>
[Microsoft Genuine Advantage Self Support Tool]
{1E3F1348-4370-4BBE-A67A-CC7ED824CA85} <C:\WINDOWS\system32\SelfHelpControl.DLL, (Signed) Microsoft Corporation>
[Office Genuine Advantage Validation Tool]
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} <C:\WINDOWS\system32\OGACheckControl.DLL, (Signed) >
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, (Signed) Microsoft Corporation>
[Microsoft Genuine Advantage Self Support Tool]
{1E3F1348-4370-4BBE-A67A-CC7ED824CA85} <C:\WINDOWS\system32\SelfHelpControl.DLL, (Signed) Microsoft Corporation>
[]
{87515F61-A66C-4319-A0E0-D416CB8059E3} <, >
[]
{B69F34DD-F0F9-42DC-9EDD-957187DA688D} <, >
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash6.ocx, (Signed) Macromedia, Inc.>
[]
{FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
==================================
正在运行的进程
[PID: 144][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 192][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 216][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 260][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 272][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 412][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 468][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 528][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 772][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_qfe.070613-1311)]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 832][C:\Documents and Settings\ivan\桌面\sreng2\SREngLdr.EXE] [Smallfrogs Studio, 2.8.2.1321]
[PID: 840][C:\Documents and Settings\ivan\桌面\sreng2\SRE6c4c0aa8.EXE] [Smallfrogs Studio, 2.8.2.1321]
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\sfc_os.dll] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Documents and Settings\ivan\桌面\sreng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]
==================================
文件关联
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1 localhost
==================================
进程特权扫描
N/A
==================================
计划任务
N/A
==================================
Windows 安全更新检查
N/A
==================================
API HOOK
N/A
==================================
隐藏进程
N/A
==================================

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: SREngLOG1.log

附件: SREngLOG2.log

天月来了 - 2010-8-6 18:15:00

既然换了个硬盘装好象也是那样

那么你需要考虑是否使用了原保存的什么文件，或者你所在的局域网其他中毒电脑在影响你。

天月来了 - 2010-8-6 18:21:00

日志没看出什么

暂时绝不装360软件

然后观察看如何，还异常，再扫描SRENG日志来看

很可能内存接触不良，或处理器等硬件原因导致异常重启

因为你换了硬盘还异常嘛

ivan09 - 2010-8-6 18:23:00

没有其他机子啊．．就单台

ivan09 - 2010-8-6 18:26:00

不行了啊现在进桌面开IE都出错，ＣＰＵ应该没问题啊，我机子里面都拆装了一遍了．．
是这个木马搞的没错，Trojan.Win32.thsys
班主你可以搜索baidu，有好多．．就说这个木马难杀啊．．．

ivan09 - 2010-8-6 18:28:00

现在进去系统不知道还能扫描不．．好象木马又很厉害了．．IE都不让开．．我只好进安全模式上网页啊．．．好悲剧．．．

ivan09 - 2010-8-6 18:29:00

第二份扫描结果也显正常？扫的过程中就提示sreng内核被修改．．．太恐怖了．．

ivan09 - 2010-8-6 18:35:00

关于trojan.win32.thsys木马困扰了网络上很多朋友，很多网友用了很多办法都解决不了！在百度和谷歌上搜索“trojan.win32.thsys”结果不少，但都是求助的，没有看到有真正的解决办法。针对这个木马进行了一番尝试，总结出了一套彻底清除这类顽固木马的解决方案，接下来，深受trojan.win32.thsys木马伤害的网友们就请跟随来看一看吧。病毒特征：
感染Trojan.Win32.thsys木马的一般症状是：QQ自动重启，网站打不开，电脑经常蓝屏，安装程序失败，迅雷直接崩溃，无法进入安全模式，自动下载木马到中标电脑，替换系统文件（360系统急救箱可以扫描出，但是无法解决）。目前所有杀毒软件都无法正确查杀该木马。认识误区：
该病毒感染了内存。“一般在断电后，内存不就没有信息了吗？但是貌似这个病毒就在这里面，因为每次开机启动时，病毒就自动加载，所以你格式化硬盘N次都解决不了。”
我们知道，内存是无法在断电后存储信息的，这是内存的物理特性，并不会因为某种病毒的感染而改变，病毒也只不过是一种普通的程序而已。病毒感染内存，其实是病毒感染了硬盘引导区，电脑每次在启动时首先读取硬盘引导区，这时候，病毒就被载入内存里了，这就造成了“病毒感染内存”的假象。最近非常有名的“鬼影”病毒，就是通过感染硬盘引导区来起到开机即加载而且格式化重装系统也无法清除的“鬼影”效果的。
相关阅读：
鬼影病毒详细分析报告重装系统也无法清除的史上最牛病毒——鬼影做好安全防护“鬼影”病毒也没那么可怕鬼影病毒详解鬼影病毒的工作原理及防治办法解决方法：
在分析了网友们提供的病毒相关信息后，提出了一套完整的解决方法，总结起来就是——重装系统！具体操作步骤如下：
1、备份文件。
电脑里最为重要的就是各种各样的文件，重装系统之前这些一定要备份好，备份的方式有两种，一是备份到硬盘C分区以外的分区，二是备份到移动存储设备里。但是鉴于目前并没有哪个杀毒软件能够完美查杀Trojan.Win32.thsys，建议，如果不是太重要的文件，都无须备份，以免重装系统后发生重复感染的情况，对于实在非常重要的文件，最好是备份到移动存储设备里，等过段时间各大杀毒软件厂商能够完美解决该病毒了再拿出来彻底查杀后正常使用。
2、重写硬盘主引导区。
提示：这一步是彻底清除Trojan.Win32.thsys等顽固木马病毒的最关键一步。
相关阅读：
电脑操作系统安装大全之图文详解如何在BIOS里设置光驱优先启动
新手教程 phinex bios启动顺序的设置方法
先在BIOS里设置第一启动设备为光盘，然后使用一张干净的系统盘引导系统至DOS状态下。如图：

我们使用的是萝卜家园系统盘引导，选择DOS增强版及工具集。

选择strat computer with IDE CD-ROM support选项，以启动到带IDE接口光驱支持的DOS环境。

使用DOS命令Fdisk /MBR重写硬盘主引导区，注意中间有个空格。
fdisk /mbr 命令主要适用于：1、主引导程序受损；2. 清除嵌入式主引导型病毒；3. 仅设基本 dos 分区硬盘的主引导信息全损；4. 清除 lilo 信息；5. 清除主引导程序“空闲”字节中的外加信息。
相关阅读：
DOS命令详解：使用Fdisk /MBR重写硬盘主引导区

3、重新对硬盘进行分区。
用Fdisk /MBR重写硬盘主引导区后，藏匿在硬盘主引导区内的病毒就已经被清除了，此时对硬盘进行全盘分区及格式化，这样就能把硬盘里的病毒彻底清除，当然，前提是你将硬盘你最重要的文件进行了备份。如果没有备份的话，还是不要重要分区了。

重启电脑，选择瞬间把硬盘分4、5区。

选择分区数量，一般分四区足够了。
4、重新安装操作系统。
找一张干净的系统盘重装操作系统，windows xp、windows 7都行。安装完系统后安装驱动程序、防病毒软件及实时防护软件，并打好系统补丁。

提示：如果你没有进行磁盘的全面重新分区的话，重装系统后不要打开除C分区以外的其它硬盘分区，以免激活病毒的本体，导致重新感染病毒。
相关阅读：
操作系统安装大全Windows 7旗舰版光盘启动安装过程详细图解
操作系统安装大全 Windows xp光盘启动安装过程详细图解
5、全盘杀毒
重启系统至安全模式下，用杀毒软件和木马查杀软件全盘查杀病毒和木马。
相关下载：
金山毒霸 v2011 sp1增强版
360杀毒 v1.1.0.1104 正式版
360系统急救箱(原顽固木马专杀大全) v4.3.0.2014
可牛免费杀毒 v1.0.0.1040
金山卫士“顽固木马专杀”工具
金山卫士U盘病毒专杀工具 v1.0.0.34
6、对移动存储设备进行杀毒
重启系统至正常模式下，注意打开防护软件里的U盘病毒免疫模式，插入你的移动存储设备，用杀毒软件和木马查杀软件检查移动存储设备。这样，Trojan.Win32.thsys等顽固木马就从你的系统里彻底清除了。你可以安心地使用你的电脑了。总结与建议：
其实前段时间的鬼影病毒，运用的也是将病毒隐藏在硬盘的主引导区内的手法，造成格式化重装系统也无法将病毒清除干净的现象，今后大家遇到类似的顽固病毒，都可以使用本文所教授的方法，使用fdisk /mbr命令重写主引导区，彻底清除病毒。
另外提醒各位网友，上网要小心，系统要打补丁，下载软件去官网（当然上下载的东西也是有安全保障的），少去下载观看“兽兽门”、“闫凤娇”、“工行女”之类的东西，机器上一定要安装实时防护软件。这样，才能尽可能少地被Trojan.Win32.thsys等顽固木马困扰。

这是baidu那位高人的，可是我就是少了重写引导区的关键步骤啊．．．那个命令用不了．．．:kaka4:

byxxdrls - 2010-8-6 22:46:00

呵呵，不会又是误报吧？:kaka10:

kingyan - 2010-8-6 23:24:00

引导区不能重写？？这个感觉比较棘手，记得kv的DOS版貌似有引导区修复的功能，楼主可以考虑试一下。

841460498 - 2010-8-11 18:03:00

你重的是机器狗病毒下这个：http://dl.rising.com.cn/DownLoadInfo/2008-04-26/1209209417d46482.shtml:kaka1:

jks_风 - 2010-8-11 22:13:00

:kaka6: 这样的日志我还是第一次看见啊。就运行了系统必须的几个进程，一个进程下面加载了不下十个动态函数链接库。。。。
正常情况下explorer.exe下面是不会加载这么多的dll文件的啊。:kaka6: 明显很异常嘛。
根据病毒提示木马.sys 好像是驱动层的病毒。具体原因不明。
先检查MBR吧，写MBR的典型代表就是鬼影了，应该是类似的病毒。
参看猫叔帖子：
http://bbs.ikaka.com/showtopic-8721469.aspx
http://bbs.ikaka.com/showtopic-8724849.aspx
http://bbs.ikaka.com/showtopic-8717677.aspx

使用猫叔经常用的那个工具恢复一下，建议是在安全模式下进行。如果修改成功了，就再格式化一此吧。你的这个系统里面的文件肯定也是被感染了。
重装在看看。我也是第一次看到这样的病毒。:kaka6:
不行的话再继续跟帖吧。

jks_风 - 2010-8-11 22:16:00

你到底有没有更换硬盘？更换别人的硬盘的话应该是没问题的。病毒是不可能存活在内存和主板上的。:kaka6:

更换硬盘看看情况，如果还是不正常的话就是你的硬件的问题吧。

不就不是人 - 2010-8-13 3:32:00

恭喜你了~我以前格式化了4次都还在的病毒~你感染上了~~~我当时是重装以后，直接进安全模式，马上用菲尔强制删除软件将抄写在笔记本上的病毒路径导入，强制隔离，然后格式化机器，再重装才清理干净。

瑞星卡卡安全论坛