NOD32查毒有时会遇到红色报警:物理磁盘 0 的 MBR 扇区,病毒 - 未知的 TSR.BOOT 病毒[7],或物理磁盘 1 的 主引导记录扇区,物理磁盘 - 未查明的 TSR.BOOT 病毒[7],一般都是无法清除状态。
这一般说明硬盘的引导区被修改,但不一定是病毒,虽然也有引导区型病毒会藏身硬盘引导扇区(MBR),以便在加载操作系统前进入内存(系统启动时会先执行引导扇区上的引导程序),但是一些还原保护的软件与硬件(如影子系统、还原精灵、GHOST、还原卡之类,不限于以上列举的例子,而以上列举的例子也不一定必然引发杀毒软件的报警,即使是NOD32)也同样会修改引导区,因而引发杀毒软件的报警(不光NOD32)。如果能够确认是后者,则不必理会杀毒软件的提示。
最后说明一下MBR,MBR引导过程是实模式的,在windows系统下也可以直接写MBR引导区,如果真有病毒在引导区内,可以通过重建来清除修复引导区,可以用启动到命令行状态下,运行fdisk/mbr命令进行操作,或者使用相关工具软件,如MBRFix工,进入cmd命令窗口,然后进入mbrfix工具所在的目录,输入命令 MbrFix /drive 0 fixmbr 。重建MBR也用于修复非windows与windows系统多系统下产生的麻烦,当然最后剩下的只有windows系统,因为用的是windows命令工具。另外重建的话,如果原先确实有装还原工具,可能造成它们不能正常运作。
2012-2-29补充:金山重装高手软件也会修改MBR,从而可能引起上述问题,“……修改MBR,只是增加一个选项,因为我们重装支持7天内不满意还原原系统的功能,这个时候在开机的时候需要对我们的程序进行引导,但是这个是不会对原系统进行其他的修改”。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/192.html
