昨天在家接到朋友电话,说笔记本电脑不能用了,一开机就出现一个QQ号码,其他无法操作。刚一接电话,我还挺奇怪,现在黑客真有这么高吗?能把BIOS直接修改了,这不可能的。仔细一问,原来是小孩子打网络游戏,加别人的QQ被别人暗中植入木马,然后要求微信转帐。小孩子把自己微信的钱都转给对方了,但对方嫌少,就直接把电脑锁了。分析判断应该是把硬盘硬盘锁了。
等电脑拿过来一看,是一台联想Z470笔记本电脑,开机后显示完LENOVO画面后就是一个QQ号码,可以进BIOS设置,原来是硬盘被锁了。直接用U盘启动电脑,进入PE操作界面,查看分区情况,硬盘显示空闲状态,也就是说硬盘的MBR扇区被修改,分区表被转移或加密。
使用DiskGineus软件,尝试查找丢失的分区表,第一遍只找到EF分区,D和G分区没有找到。保存EF后,再次查找挂失的分区,又找回D分区,但C和G一直没有找到。这一点需要明白,分区表被破坏了,C分区肯定丢失的,因为在MBR分区系统中,C盘的起始位置直接在分区表中标注的,而DEFG分区则是串链方式一个接一个,只要找到其中一个,后面的分区就可以找到。
C盘虽然丢失,询问朋友后,C盘也没有特别的重要数据,也就不花时间进行数据找回了,直接安装系统修复。系统安装好后,不能从硬盘启动,原来是自己只存找分区了,没有修复MBR所以不能从硬盘启动,再次修复MBR,正常启动。
C盘的分区数据可以使用数据恢复软件全盘扫描或通过手动计算起始链接,手动填写分区表和分区参数进行修复分区。G盘后来知道了,是客户自己加密了,所以也没有正常找回。G盘的数据想要找回来,可以先把G盘分区建立新分区,可以快速格式化,但一定不能完全格式化,然后使用有数据恢复软件对G盘进行扫描即可找回丢失的数据。
被感染的MBR扇区代码