"鬼影"病毒入侵原理与感染后可能出现的症状(2)

　　“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR(主引导记录)，驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。

　　电脑感染后可能出现的症状

　　1、电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决。

　　2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。目前rpcss.dll，ddraw.dll是盗号木马现在常修改的系统dll。

　　3、QQ号码被盗，可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。

　　4、进程中存在iexplor.exe进程并指向一个不正常的网站。

　　5、现在鬼影共同特征就是进程里有ali.exe6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式，而且删不掉。

　　鬼影病毒的工作原理

　　鬼影病毒伪装为某共享软件，欺骗用户下载安装。病毒运行后，会释放2个驱动到用户电脑中，并加载。驱动会修改系统的引导区(mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

　　重启系统后，存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。b驱动会下载av终结者到电脑中，并运行。av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　鬼影病毒处理方法

　　重装系统格式化C盘，进入dos状态，运行fdisk/mbr命令，用以清除掉主引导区的病毒引导代码，这时候重装系统就可以了，但是这是在完全安装起作用的，如果你用是GHOST安装系统那么还要多做以下几步：

　　1、通过GHOST系统盘进入PQ/PM分区工具，一般GHOST系统盘都带的。

　　2、右击c盘，选择进阶-设为作用，这样就把MBR引导层重新写了一遍，这样在引导层中的病毒也自然被剔除了。

　　3、直接用GHOST系统盘安装系统就OK了。[3]DOS下手动查杀方法

　　第一步：找专杀工具：这里推荐使用“一键GHOST“，其中的DOS工具箱自带的小工具DISKRW就可以完美解决。

　　第二步：杀除MBR病毒

　　1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”，开机进入一键

　　GHOST，最终出现红色界面时按ESC键退回到主菜单，按方向键选择“DOS工具箱”-->“DISKRW"-->"3.清除"-->"清除(2)“-->确定。(注意，尽量使用2010版，更早的版本不能保证有此功能)。

　　2、修复MBR(关键一步，必须做)，接着上一步，选择“4.修复”-->“修复(F)“-->确定。第三步：重装或恢复系统。在第二步完成后，千万不要重启电脑进入WINDOWS了，否则会二次感染。正确的方法是，将系统安装光盘放入光驱中，重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份)，也可以用“一键恢复系统”功能进行恢复。

　　第四步：全盘杀毒。返回WINDOWS后，需要升级你的杀毒软件到最新版本(最新病毒库)，然后进行“全盘查杀”，这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉，以做到“斩草除根”。

　　WindowsXP下MBRFix配合360安全卫士查杀

　　步骤一：开机打开任务管理器，结束(nat.exe)　

　　步骤二：打开360安全卫士，选择系统修复来修复系统

　　步骤三：在网上下载一个工具(MBRFix)，在XP下运行“CMD”进入DOS模式，运行(MBRFix/drive0fixmbr/yes)重启后OK

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]