“教你怎么评估计算机是否感染鬼影病毒？怎么彻底清除鬼影病毒？”

重影病毒隐蔽性较好，其制作思路可以另辟蹊径，有助于未来病毒的制作，但其危害性不容忽视。 ta寄生在盘主诱导记录( mbr )中，我们常用的百病治疗(重装系统)不会影响它，以与重影相同的形式通常阴魂不灭。 要评估计算机是否感染了重影病毒并完全清除重影病毒，请参阅以下内容。

金山安全实验室的工程师表示，重影病毒是一种比较罕见的技术型病毒，直接改写mbr的技术最早在国外技术论坛上传播，在重影病毒之前，该技术很少被黑客实际大规模利用。

金山安全实验室研究人员还表示，目前，国内安全厂商和民间反病毒高手中，能完全降解重影病毒的屈指可数。 由于病毒寄生在硬盘上的主要引诱记录( mbr )，病毒释放的驱动程序可以破坏大部分的安全工具和系统辅助工具，如果中毒了，使用现有的工具完成病毒清除并不容易，金山还是戈戈

金山毒霸已经升级，可以检测并杀死传输重影病毒的母体文件，使越来越多的顾客不会受到重影病毒的侵害，顾客只需要在线升级就可以获得适当的防御能力。 金山网盾将传递这种病毒的恶意网页添加到禁止访问的列表中，以防止越来越多的客户下载这种神秘的重影病毒。

病毒特征

1、宿主不需要退出所有杀毒软件。

这种病毒一旦进入电脑，就会像恶魔一样隐藏在系统外，没有文件，没有系统启动项目，没有进程模块，比系统运行更早，结束所有的杀毒软件，av终结器，特洛伊的

2、以前传下来的重装系统无法清除。

普通计算机病毒是windows系统下的应用程序，在加载windows后运行。 重影病毒的第一个代码是寄生在硬盘上的主要引诱记录( mbr )，用户重装系统后无法完全清除。 重新启动系统后，病毒将在操作系统内核之前加载。 并且，病毒正常运行后，在过程中，系统启动加载项目中未发现任何异常，病毒像重影一样被中毒计算机所笼罩。 重影病毒是国内首个感染地区的下载者病毒，推翻了以前流传的病毒感染优势和客户解决病毒问题的想法，不仅没有三个特点的文件、系统启动项目、过程模块，还采用了用户系统

3、安全软件失效的电脑明显变慢

一旦幽灵病毒入侵，释放驱动器并改写硬盘的mbr (主要引诱记录)。 驱动程序在启动过程中会攻击很多杀毒软件，并禁用杀毒软件。 另外，下载以前传入的av终结者木马下载程序，最终目标依然是传入被盗号码的木马，从而盗取客户的虚拟财产并从中获利。 中毒后，最直观的现象是安全软件不能正常工作，电脑明显变慢，ie主页发生了改变。

事业原理

1、幽灵病毒母体运行后，释放两个驱动程序放入客户电脑，加载。 其他与母体病毒捆绑的恶意软件将尝试创建桌面快捷方式和ie属性。

(分解:病毒传播者这样做的目的可能是转移安全制造商的目标，使病毒真正的母体更容易隐藏)

2、A驱动器改写系统的主要引诱记录( mbr )，将B驱动器写入磁盘，保证病毒优先于系统启动，病毒文件留在系统外。 这样进入系统后，病毒会加载到内存中，但找不到启动项目，找不到病毒文件，在进程中找不到进程模块。

3、病毒母体的自我删除。

4、重新启动系统后，主引导记录( mbr )的恶意代码将监视整个windows系统的启动过程，当发现系统正在加载ntldr文件时，插入恶意代码并加载b驱动程序

5、b驱动程序加载后，监视系统内的所有进程模块，如果有安全软件进程，则直接结束。

6、b驱动程序将av终结器下载到电脑中并执行。

7、下载的av终结器病毒改变系统文件，在安全软件过程中添加大量映像劫持，下载大量被盗号码的木马。 进一步窃取客户的虚拟资产。

8、该病毒只能与winxp系统进行比较，不能破坏vista和windows7系统。 (目前最新的变种可以感染vista、win7、win8，但由于win8/win8.1不能破坏mbr，不能注入病毒驱动程序，所以比较容易解决)

病毒症状

1、电脑非常卡，操作程序有明显的停滞感，发现常见的杀毒软件不能正常启动，而且反复重新安装系统仍然不能处理问题。

2、系统文件在感染病毒检测中被杀死后，提示未找到相应的dll或系统功能不正常。 rpcss.dll，ddraw.dll是一种被盗木马经过仔细修改的系统dll。

3、qq号码被盗，可以被用来向黑客传递广告等。 魔兽世界、dnf、天龙八部、梦幻西游等游戏账号被盗。

4、进程中存在iexplore.exe进程，是指异常的网站。

5、重影的共同特征是工艺有ali.exe

6、你的电脑桌面出现了讨厌的播放器快捷方式，而且不能删除。

7、重影病毒的另一个特征是任何软件(有些例外)例如360急救箱)，7 ) 12秒内自动关闭，一点重影病毒可以阻断一点纯粹的重影特别杀人，启动特别杀人时，特别杀人驱邪。 只有金山系统急救箱之类的强制杀毒软件才能清除。

8、另一个共同点是感染该病毒后，如果计算机中只有一个硬盘，则可以启动系统，如果计算机中有两个以上的硬盘，或者插入了USB存储器。 进入系统后，会显示蓝屏。 (蓝屏的原因是分区错误)

重影病毒的解决方案:

一、重构诱惑，重装系统

使c驱动器样式化，进入dos状态，然后运行:

软盘/ MBR

命令用于消除主要诱导区的病毒诱导代码。 此时，重新安装系统即可，但由于这已经完全安装好了，所以如果要使用启动盘，则需要执行以下步骤。

1、通过启动盘( Udao启动盘下载)进入pq/pm分区工具，通常启动盘都有。

2、右键单击c驱动器，选择“高级-活动”。 现在，我重新写了一遍mbr诱导层。 这样，引诱层中的病毒也会自然清除。

3、之后用启动盘直接安装系统就可以了。

二、dms手动调查做法

dos开始调查杀人的方法

1、寻找专用工具:这里推荐一键下载ghost。 可以用其中的dos工具箱附带的小工具diskrw完美地处理。

2、杀死mbr病毒

①、清除mbr以外的硬盘保存扇区。 安装或创建一键ghost，接通电源进入一键ghost，最终出现红色界面后按esc键返回主菜单，按箭头键进入dos工具箱--- disk rw-- -。 (观察，尽可能采用最新版，以前的版本不能保证这个功能。

②、修复mbr (关键一步，必须进行)，接下来一步，4 .修复---修复) ) f )。

3、重新安装或恢复系统。 步骤2完成后，千人不要重新启动计算机进入windows。 否则，我会二次感染的。 正确的方法是采用启动盘( Udao启动盘下载)重装系统。 或者，如果有本地系统备份(当然是在未感染病毒之前进行的备份)，也可以通过一键恢复系统功能进行恢复。

4、全面做好杀毒工作。 回到windows后，需要将杀毒软件升级到最新版本(最新病毒库)，然后全面检查将其杀死。 这样，就可以杀死非系统盘)，例如d盘、e盘、f盘)中残留的病毒寄主文件，从而彻底根除。

三、mbrfix将与360安全卫士合作检举

1、接通电源，打开任务管理器，结束( nat.exe ) )。

打开2，360安全保护装置下载，选择系统修复来修复系统

3、在winxp环境中执行cmd，进入dos模式并执行:

MBR传真/驱动器0光纤通道/是

重新启动后ok。

四、鬼巴斯特

重影病毒的一个特点是安全软件不能正常工作，该病毒累计感染量约为30万台。 如果读者发现自己电脑上安装的安全软件莫名其妙，无法正常工作，常见的修复工具也无法正常工作，请使用金山安全中心发布的重影病毒专业杀工具检查修复。 该工具适用于尚未变种的重影病毒，一旦该病毒变种，该特别杀人将无效。 在此，我们警告您需要注意互联网连接时的互联网防护。 定期打开软扫描，金山毒霸可以杀死重影母体。 重影病毒的传输范围很广，金山云安全系统分析了该恶意软件的下载频率，并结合传输病毒的网站流量进行了分析，判断出该病毒每天的下载量约在2-3万之间。

五、幽灵病毒金山查杀

金山毒霸下载搜查后，手动收拾残局

1、开始-运行-msconfig；

2、选择启动，取消ali前面的勾选标记，点击应用程序；

3、开始-运行-win.ini，副本被变更为病毒，如下所示。

下载

exe1= coopen-3.0|download.coopen.c/setup/V5/coopen _ setup _ 100201.exe

exe2=

添加

ad1=12

主页

主页=

时间

downloadinitime=60

opad时间= 2

downloadlelaytime=1

运行延迟时间= 0

firstrunexetime=2

firstpopwidtime=1

cjver=2

cjaddr=

链接

link1=手机铃声|66.79.168.187:55325/tuling

ing

重新启动交互渲染

； msconfig； 16位应用支持

； msconfig

； msconfig [扩展]

； mconfig [ MCI扩展]

； msconfig

电子邮件

； 配置映射= 1

MCI扩展版

m2v = mpeg视频

mod = mpeg视频

； msconfig AIF = mpeg视频

； mconfig aifc = mpeg视频

； mconfig aiff = mpeg视频

； msconfig ASF = mpeg视频

； msconfig ASX = mpeg视频

； msconfig au = mpeg视频

； msconfig m1v = mpeg视频

； msconfig m3u = mpeg视频

； msconfig MP2 = mpeg视频

； mconfig mp2v = mpeg视频

； msconfig MP3 = mpeg视频

； msconfig MPa = mpeg视频

； msconfig MPE = mpeg视频

； mconfig mpeg = mpeg视频

； msconfig mpg = mpeg视频

； 配置MP v2 = MPEG视频

； msconfig snd = mpeg视频

； msconfig wax = mpeg视频

； msconfig WM = mpeg视频

； msconfig WMA = mpeg视频

； msconfig wmv = mpeg视频

； msconfig wmx = mpeg视频

； msconfig wpl = mpeg视频

； msconfig wvx = mpeg视频

米苏斯

高级= 0

代码页=统一代码

字体=序列

以上是评价计算机是否感染了重影病毒，并将其完全清除的方法。 重影病毒开创了恶意程序编制的先锋，将来有心思用重影病毒制作新变种病毒的人可能会增加。 客户不能怠慢。

本文：《“教你怎么评估计算机是否感染鬼影病毒？怎么彻底清除鬼影病毒？”》