如何彻底清除鬼影病毒?彻底清理鬼影病毒方法
发布时间:2023-01-20 16:16:44
如何判断计算机是否感染鬼影病毒?鬼影病毒,隐藏性比较好,其编写思路另辟捷径,也许有助于未来的病毒编写,但其危害性是不容忽视,TA寄生于磁盘主引导记录(MBR)中,我们所常用的“治百病(重装系统)”对其毫无影响,形同“鬼影”一般“阴魂不散”。下面,小编就给大家介绍下彻底清理鬼影病毒的方法。
鬼影病毒
据金山安全实验室工程师说,“鬼影”病毒是较为罕见的技术型病毒,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。
另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山已经推出了鬼影专杀工具。
金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
病毒特征
1、无需寄主 结束所有杀毒软件。
该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件, * 终结者, * 木马,ie主页修改等大量多品种病毒。
2、颠覆传统 重装系统无法清除。
一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。
3、安全软件失效 电脑明显变慢
“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播 * 木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
工作原理
1、“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
(分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)
2、a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
3、病毒母体自删除。
4、重启系统后,主引导记录(MBR)中的恶意代码会对Windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
5、b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6、b驱动会 * 终结者到电脑中,并运行。
7、下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的 * 木马。进一步盗取用户的虚拟财产。
8、该病毒只针对WinXP系统,尚不能破坏Vista和Win7系统。(目前最新的变种可以感染Vista、Win7和Win8,但在Win8/Win8.1无法破坏MBR,无法注入病毒驱动程序,比较容易处理)
病毒症状
1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。rpcss.dll,ddraw.dll是 * 木马常修改的系统dll。
3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。
4、进程中存在iexplore.exe进程并指向一个不正常的网站。
5、鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。
7、鬼影病毒还有一个特征就是任何软件(有些例外如360急救箱),会在7——12秒内自动关闭,一些鬼影病毒可以屏蔽一些“纯鬼影专杀”,当启动专杀时,会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件(如金山系统急救箱),才可以清除。
8、还有一个共同点就是中了该病毒之后,电脑如果只装有一块硬盘可以启动系统,如果电脑装有两块硬盘以上,或者插了U盘。进入系统时就会出现蓝屏。(蓝屏原因是分区错误)
鬼影病毒处理方法:
一、重建引导并重装系统
格式化C盘,进入dos状态,运行:
fdisk/mbr
命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是启动盘那么还要多做以下几步:
1、通过启动盘(系统部落启动盘 下载)进入PQ/PM分区工具,一般启动盘都带的。
2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。
3、 之后直接用启动盘安装系统就OK了。
二、DMS手动查杀方法
DOS下手动查杀方法
1、找专杀工具:这里推荐使用“一键GHOST 下载“,其中的DOS工具箱自带的小工具DISKRW就可以完美解决。
2、杀除MBR病毒
①、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”,开机进入一键GHOST,最终出现红 * 面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”-->“DISKRW“ --> ”3.清除“ --> ”清除(2)“ --> 确定。(注意,尽量使用最新版,更早的版本不能保证有此功能)。
②、修复MBR(关键一步,必须做),接着下一步,选择“4.修复”--> “修复(F)“ --> 确定。
3、重装或恢复系统。在第二步完成后,千万不要重启电脑进入Windows了,否则会二次感染。正确的方法是,使用启动盘(系统部落启动盘 下载)重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。
4、全盘杀毒。返回Windows后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。
三、MBRFix配合360安全卫士查杀
1、开机打开任务管理器,结束(nat.exe)
2、打开360安全卫士 下载,选择系统修复来修复系统
3、在WinXP环境下运行“CMD”进入DOS模式,运行:
MBRFix /drive 0 fixmbr /yes
重启后OK。
四、鬼影病毒专杀工具
“鬼影”病毒的特征之一是安全软件不能正常运行,该病毒累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行,常见的修复工具也不能正常运行,请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。此工具适用于尚未变种的鬼影病毒,一旦该病毒变种,该专杀将会无效,这里提醒大家要注意上网时的网络防护,要定期开启杀软扫描,金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率,结合传播病毒的网站流量分析,评估该病毒的日下载量大约为2-3万之间。
五、鬼影病毒金山查杀
金山毒霸 下载 查杀后手动善后
1、开始-运行-msconfig;
2、选择“启动”,把ali前面的勾去掉,单击应用;
3、开始-运行-win.ini,内容已病毒被更改为类似下文:
[DownLoad]
exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12
[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1
RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]
Link1=手机图铃|http://66.79.168.187:55325/tuling.html
ing.html
替换为
;msconfig ; for 16-bit app support
;msconfig [fonts]
;msconfig [extensions]
;msconfig [mci extensions]
;msconfig [files]
[Mail]
;msconfig MAPI=1
[MCI Extensions.BAK]
m2v=MPEGVideo
mod=MPEGVideo
;msconfig aif=MPEGVideo
;msconfig aifc=MPEGVideo
;msconfig aiff=MPEGVideo
;msconfig asf=MPEGVideo
;msconfig asx=MPEGVideo
;msconfig au=MPEGVideo
;msconfig m1v=MPEGVideo
;msconfig m3u=MPEGVideo
;msconfig mp2=MPEGVideo
;msconfig mp2v=MPEGVideo
;msconfig mp3=MPEGVideo
;msconfig mpa=MPEGVideo
;msconfig mpe=MPEGVideo
;msconfig mpeg=MPEGVideo
;msconfig mpg=MPEGVideo
;msconfig mpv2=MPEGVideo
;msconfig snd=MPEGVideo
;msconfig wax=MPEGVideo
;msconfig wm=MPEGVideo
;msconfig wma=MPEGVideo
;msconfig wmv=MPEGVideo
;msconfig wmx=MPEGVideo
;msconfig wpl=MPEGVideo
;msconfig wvx=MPEGVideo
[MSUCE]
Advanced=0
CodePage=Unicode
Font=Arial
猜你喜欢
- MathType6.9是一款很方便的公式编辑软件,可以在office2013及更低版本的office上运行,但是无法在Office2016、
- 在做工作表的时候,为了让大家能够更加看的更加清楚,更加好看,或是突出表格中某块资料的重要性。往往会在表格中的该部分背景添加填充色。一般的填充
- 现在Mac和iOS互相融合,两者间的相似处也有了很大的提高,这对很多喜欢iOS系统的用户来说,是一个很不错的改进。最近小编发现可以通过设置,
- 机械师笔记本是专做高端游戏本的品牌,主板和硬件均采用最新,如果需要给机械师笔记本装win10系统,需要制作uefi u盘来重装,许多用户还不
- 如何在Word中插入图片并进行图片设置?很多朋友都不是很清楚,其实方法很简单的,下面小编就为大家详细介绍一下,来看看吧我们都知道Word是办
- 很多用户在利用Excel表格日常办公时,经常需要输入各种数据,在查找过程中,很多用户只知道利用查找和替换功能进行搜索,但却忽视了通配符的运用
- 在Excel中经常有公司运用Excel进行考勤,或许有的朋友并不知道统计考勤该如何操作,如果不懂的朋友欢迎一起来学习研究吧。下面是由小编分享
- Excel中的公式与结果具体该如何同时显示呢?下面是由小编分享的excel 公式与结果同时显示的教程,以供大家阅读和学习。excel 公式与
- 一个工作簿中包括N个工作表,将各个工作表拆分成工作簿。工作表数量不定,表内内容不限,拆分后保存于当前文件夹内。Sub Sample()Dim
- 不少用户在电脑上升级win10专业版系统的时候很多都遇到了升级出错的情况,遇到这种升级错误的情况要如何修复呢?一起来看看吧!Win10专业版
- word2016中怎么使用格式刷?word2016中可以使用格式刷批量统一文字格式,该怎么使用格式刷呢?下面我们就来看看word2016格式
- 如果你的文件夹太大,或者文件的路径过深,特别是有太多小体积文件时,(由于要遍历所有文件路径和文件名)直接在资源管理器界面中删除文件夹的方式会
- 台式机电脑连不上网怎么解决?最近有用户询问这个问题,在使用电脑的时候发现突然连不上网络了,这是怎么一回事呢?应该怎么解决呢?针对这一问题,本
- Win10系统是大家经常使用的系统,随着使用时间的增加,电脑里我们存放的文件就越多。这么多的文件,偶像想起来要找某个文件,已经忘记了文件的存
- 微软最新Win11 Beta 22621.598/22622.598(KB5017390)发布:无法卸载具有相互依赖关系的应用!今天微软官方
- premiere怎么做弧形画面?premiere处理视频的时候,想要做一个弧形或者扇形的画面,该怎么制作呢?下面我们就来看看pr视频弧形效果
- 如何设置高版本的office文件默认保存为低版本?让低版本的office也可以打开你的文档,版本问题导致文档打不开是一个比较麻烦的问题。为此
- 在excel中输入数字,有些数字前面需要还有0,如公司员工的工号,学生的学号等,excel默认数字前面是不显示数字的;那么怎么在Excel单
- Win8系统打开excel提示“向程序发送命令时出现问题”时该怎么办呢?下面下面小编为你带来win8 excel打不开,向程序发送命令时出现
- 默认情况下,Win10系统开机启动是不播放铃声的,不过Win10系统给我们提供了设置Windows启动声音的选项,我们来看看该如何操作。操作