鬼影病毒是指寄生在磁盤主引導記錄（MBR），即使格式化重裝系統，也無法清除的病毒。

2010年3月15日，國內某安全中心發現一種被命名為“鬼影”的電腦病毒，由于該病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，同時即使格式化重裝系統，也無法徹底清除該病毒。猶如“鬼影”一般“陰魂不散”，所以稱為“鬼影病毒“。該病毒也因此成為國內首個“引導區下載者病毒”。

據金山安全實驗室工程師說，“鬼影”病毒是較為罕見的技術型病毒，直接改寫MBR的技術主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被黑客實際大規模利用的案例。 另據金山安全實驗室研究人員透露，在目前國內安全廠商和民間反病毒高手中，能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生于硬盤的主引導記錄（MBR），病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山已經推出了鬼影專殺工具。 金山毒霸已經升級，可查殺傳播“鬼影”病毒的母體文件，避免更多用戶受“鬼影”病毒之害，用戶只需要在線升級即可獲得相應防御能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表，防止更多用戶下載這個神秘的“鬼影”病毒。 以下是經過測試可穿透的還原列表：開啟驅動防火墻沒有測試，此測試只供大家參考 <1>.訊閃全系列還原軟件(包括最新版,開啟驅動防火墻無法穿透) <2>.快速還原(包括最新版) <3>.易速還原(包括最新版) <4>.極速還原(包括最新版) <5>.貝殼還原(包括最新版) <6>.雨過天晴(包括最新版) <7>.影子系統(包括最新版) <8>.勝天還原(包括最新版) <9>.冰點還原(包括最新版) <10>.小哨兵還原卡 <11>.三茗還原卡 <12>.方正磁盤保護器 <13>.大部份防狗補丁，所有品牌電腦公司還原保護(如聯想、DELL、SONY、三星等品牌)。

鬼影病毒特征

編輯 無需寄主 結束所有殺毒軟件。 該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無文件、無系統啟動項、無進程模塊，比系統運行還早，結束所有殺毒軟件，下載av終結者，盜號木馬，ie主頁修改等大量多品種病毒。 顛覆傳統 重裝系統無法清除。 一般的電腦病毒是Windows系統下的應用程序，在Windows加載之后才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄（MBR），即使用戶重裝了系統，仍無法將其完全清除。當系統再次重啟時，該病毒會早于操作系統內核先行加載。而當病毒成功運行后，在進程中、系統啟動加載項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼影”病毒是國內首個引導區下載者病毒，顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊，而且即使用戶重裝了系統，該病毒依然會再次進入用戶新系統。 安全軟件失效 電腦明顯變慢 “鬼影”病毒入侵后，會釋放驅動程序改寫硬盤MBR（主引導記錄），驅動程序在開機過程中攻擊眾多殺毒軟件，令殺毒軟件失效，再下載傳統的AV終結者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產牟利。中毒后，最直觀的現象是安全軟件無法正常運行，電腦明顯變慢，IE主頁被改。

鬼影病毒工作原理

編輯 1.“鬼影”病毒母體運行后，會釋放兩個驅動到用戶電腦中，并加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式，嘗試修改IE屬性。 （分析：病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標，便于病毒的真正母體隱藏得更好） 2.a驅動會修改系統的主引導記錄（mbr)，并將b驅動寫入磁盤，保證病毒是優先于系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒加載入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。 3.病毒母體自刪除。 4.重啟系統后，主引導記錄（MBR）中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載b驅動。 5.b驅動加載起來后，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。 6.b驅動會下載av終結者到電腦中，并運行。 7.下載的av終結者病毒會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。 8.該病毒只針對Winxp系統，尚不能破壞Vista和Win7系統。（目前最新的變種可以感染vista、win7和win8，但在win8/win8.1無法破壞MBR，無法注入病毒驅動程序，比較容易處理）

鬼影病毒出現癥狀

編輯 1、電腦非常卡，操作程序有明顯的停滯感，常見殺毒軟件無法正常打開，同時發現反復重裝系統后問題依舊無法解決。 2、系統文件被感染殺毒查殺以后提示找不到相應的dll或者系統功能不正常。rpcss.dll，ddraw.dll是盜號木馬常修改的系統dll。 3、QQ號碼被盜，可被黑客用來傳播廣告等。魔獸、DNF、天龍八部、夢幻西游等游戲賬號被盜。 4、進程中存在iexplore.exe進程并指向一個不正常的網站。 5、鬼影共同特征就是進程里有ali.exe 6、你的電腦桌面上出現了一個討厭的“播放器”快捷方式，而且刪不掉。 7、鬼影病毒還有一個特征就是任何軟件（有些例外如360急救箱），會在7——12秒內自動關閉，一些鬼影病毒可以屏蔽一些“純鬼影專殺”，當啟動專殺時，會發現專殺驅動無法成功啟動。只有一些強制性的殺毒軟件（如金山系統急救箱），才可以清除。 8、還有一個共同點就是中了該病毒之后，電腦如果只裝有一塊硬盤可以啟動系統，如果電腦裝有兩塊硬盤以上，或者插了U盤。進入系統時就會出現藍屏。（藍屏原因是分區錯誤）

鬼影病毒處理方法

編輯

鬼影病毒重裝系統

格式化C盤，進入dos狀態，運行fdisk/mbr 命令，用以清除掉主引導區的病毒引導代碼，這時候重裝系統就可以了，但是這是在完全安裝起作用的，如果你用是GHOST安裝系統那么還要多做以下幾步： 1、通過GHOST系統盤進入PQ/PM分區工具，一般GHOST系統盤都帶的。 2、 右擊c盤，選擇進階-設為作用，這樣就把MBR引導層重新寫了一遍，這樣在引導層中的病毒也自然被剔除了。 3、 直接用GHOST系統盤安裝系統就OK了。

鬼影病毒查殺方法

DOS下手動查殺方法 第一步：找專殺工具：這里推薦使用“一鍵GHOST“，其中的DOS工具箱自帶的小工具DISKRW就可以完美解決。 第二步：殺除MBR病毒 1、清除MBR以外的硬盤保留扇區。安裝或制作好“一鍵GHOST”，開機進入一鍵GHOST，最終出現紅色界面時按ESC鍵退回到主菜單，按方向鍵選擇“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 確定。（注意，盡量使用2010版，更早的版本不能保證有此功能）。 2、修復MBR（關鍵一步，必須做），接著下一步，選擇“4.修復”--> “修復(F)“ --> 確定。 第三步：重裝或恢復系統。在第二步完成后，千萬不要重啟電腦進入WINDOWS了，否則會二次感染。正確的方法是，將系統安裝光盤放入光驅中，重裝系統。或者如果你有本地的系統備份（當然是沒感染病毒之前做過的備份），也可以用“一鍵恢復系統”功能進行恢復。 第四步：全盤殺毒。返回WINDOWS后，需要升級你的殺毒軟件到最新版本（最新病毒庫），然后進行“全盤查殺”，這樣可以把殘留在非系統盤（比如D盤、E盤、F盤）里的病毒寄主文件殺掉，以做到“斬草除根”。 WindowsXP下MBRFix配合360安全衛士查殺 步驟一：開機打開任務管理器，結束（nat.exe） 步驟二：打開360安全衛士，選擇系統修復來修復系統 步驟三：在網上下載一個工具（MBRFix），在XP下運行“CMD”進入DOS模式，運行（MBRFix /drive 0 fixmbr /yes） 重啟后OK

鬼影病毒專殺工具

“鬼影”病毒的特征之一是安全軟件不能正常運行，該病毒累計感染量約30萬臺。若網民發現自己電腦上安裝的安全軟件莫名其妙不能正常運行，常見的修復工具也不能正常運行，請嘗試使用金山安全中心發布的“鬼影”病毒專殺工具檢查修復。此工具適用于尚未變種的鬼影病毒，一旦該病毒變種，該專殺將會無效，這里提醒大家要注意上網時的網絡防護，要定期開啟殺軟掃描，金山毒霸已能夠殺滅鬼影母體。“鬼影”病毒傳播的廣度分析金山云安全系統分析該惡意軟件的下載頻率，結合傳播病毒的網站流量分析，評估該病毒的日下載量大約為2-3萬之間。

鬼影病毒金山查殺

金山查殺后手動善后 開始-運行-msconfig。 1.選擇“啟動”，把ali前面的勾去掉，單擊應用。 2.開始-運行-win.ini，內容已被更改為 [DownLoad] exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe exe2= [ad] ad1=12 [HomePage] home= [Time] DownLoadIniTime=60 PopAdTime=2 DownLoadLelayTime=1 RunDelayTime=0 FirstRunExeTime=2 FirstPopWidTime=1 cjver=2 cjaddr= [Link] Link1=手機圖鈴|http://66.79.168.187:55325/tuling.html ing.html 替換為 ;msconfig ; for 16-bit app support
　　;msconfig [fonts]
　　;msconfig [extensions]
　　;msconfig [mci extensions]
　　;msconfig [files]
　　[Mail]
　　;msconfig MAPI=1
　　[MCI Extensions.BAK]
　　m2v=MPEGVideo
　　mod=MPEGVideo
　　;msconfig aif=MPEGVideo
　　;msconfig aifc=MPEGVideo
　　;msconfig aiff=MPEGVideo
　　;msconfig asf=MPEGVideo
　　;msconfig asx=MPEGVideo
　　;msconfig au=MPEGVideo
　　;msconfig m1v=MPEGVideo
　　;msconfig m3u=MPEGVideo
　　;msconfig mp2=MPEGVideo
　　;msconfig mp2v=MPEGVideo
　　;msconfig mp3=MPEGVideo
　　;msconfig mpa=MPEGVideo
　　;msconfig mpe=MPEGVideo
　　;msconfig mpeg=MPEGVideo
　　;msconfig mpg=MPEGVideo
　　;msconfig mpv2=MPEGVideo
　　;msconfig snd=MPEGVideo
　　;msconfig wax=MPEGVideo
　　;msconfig wm=MPEGVideo
　　;msconfig wma=MPEGVideo
　　;msconfig wmv=MPEGVideo
　　;msconfig wmx=MPEGVideo
　　;msconfig wpl=MPEGVideo
　　;msconfig wvx=MPEGVideo
　　[MSUCE]
　　Advanced=0
　　CodePage=Unicode
　　Font=Arial 保存，退出

鬼影病毒病毒變種

編輯 最新高危木馬“鬼影2”現身 2011年首款高危木馬“鬼影2”現身網絡，電腦一旦中招就會明顯變慢、無法打開安全軟件、重裝系統甚至格式化硬盤也無濟于事，危害超過當年的“熊貓燒香”、“犇牛”等惡性木馬下載器。360安全中心發現，“鬼影2”主要通過捆綁游戲外掛進行傳播，對20余款熱門網游實施盜號，保守估計該木馬至少已攻擊了10萬臺網民電腦。 經360安全中心分析，“鬼影2”木馬主要威脅Windows XP系統用戶。該木馬之所以難以清除，原因在于它采用了三招“組合拳”：第一招，欺騙用戶關閉安全軟件，“否則就無法達到游戲外掛的透視效果”；第二招，暴力破壞被用戶手動關閉的安全軟件，使其無法正常工作，并阻止用戶重新安裝運行主流安全軟件；第三招，感染電腦硬盤MBR（主引導記錄），使用戶無論是重裝系統、還是格式化硬盤都無法徹底清除木馬。 專門感染MBR的“鬼影”木馬已經出現，然而“鬼影2”比它的原型更為頑固。根據360安全專家石曉虹博士介紹，所有正規安全軟件在發布時都帶有數字簽名，相當于安全軟件的“身份證”。“鬼影2”木馬恰恰利用了這一點，凡是帶著“身份證”的正規安全軟件一律阻止運行，包括國內外11家主流安全廠商的產品。 據介紹，“鬼影2”木馬典型的中招癥狀包括：無法安裝運行主流安全軟件、電腦明顯變慢、CF（穿越火線）等20余款熱門游戲帳號被盜、任務管理器出現1.tmp等隨機數字名稱的可疑進程。 史上最強“鬼影3”現身網絡 繼“鬼影2”后，網絡上又出現了超級頑固的病毒“鬼影3”（只感染Windows XP系統） 鬼影3病毒的表現現象： 1、殺毒軟件反復對beep.sys和c盤根目錄下alg.exe報毒卻無法清除； 2、瀏覽器首頁被篡改為bubu888網址導航（也可能為其它網址導航）； 3、電腦桌面出現“免費電影”、“美女圖片”等廣告圖標，不定期彈出廣告網頁。 4、 同時在后臺下載安裝多個互聯網軟件以賺取推廣費。 5、 個別變種也會下載其它木馬下載器和AV終結者病毒，中毒電腦可能出現游戲帳號被盜等安全風險。 “鬼影”病毒家族主要包括三代“鬼影”病毒，無論重裝系統或是格式化硬盤都無法清除病毒，鬼影3與鬼影1、鬼影2的區別在于它釋放了一個惡意驅動作為“保鏢”，用來禁止任何修復MBR的操作。對殺毒軟件來說，不清除“保鏢”驅動就無法修復MBR，不修復MBR又無法清除“保鏢”驅動，從而陷入“鬼影3”怎么都殺不干凈的死循環中。 鬼影3病毒傳播渠道 1.通過某個視頻專用播放器捆綁傳播 2.通過網絡游戲外掛捆綁病毒傳播 3.通過“不良網站”提供的視頻捆綁病毒 4.通過部份惡意游戲下載站下載的游戲捆綁傳播 “鬼影3” 格式化硬盤都刪不掉的“鬼影”系列病毒又出現了。某安全中心捕獲最新的“鬼影3”病毒后發現，該病毒采用非常頑固的方式強駐受害電腦，常規殺毒技術無法清理，甚至病毒作者似乎也認為“鬼影3”根本不可能被殺掉，并沒有像前兩代“鬼影”一樣破壞殺毒軟件。為此，360已緊急開發出專殺工具，提醒受害網民盡快安裝使用。 據國內某知名殺軟廠商介紹說，“鬼影”系列病毒的共同特點是感染電腦硬盤的主引導記錄（MBR），無論重裝系統或是格式化硬盤都無法清除病毒。在查殺前兩代“鬼影”時，不同廠商推出的專殺工具都會首先修復MBR，然后再全面掃描清除病毒殘骸，然而這個方法在查殺“鬼影3”時卻遇到了難題。 不過，“鬼影3”病毒并非完全無藥可解。某安全中心經過研究，已經找到了突破該病毒“保鏢”驅動的辦法，能夠順利修復MBR并徹底清除病毒。另外，如果網友電腦開啟了百度衛士，也可以在“鬼影3”感染電腦前就將其攔截，避免電腦遭受不必要的損失。 “鬼影3”病毒典型癥狀包括：篡改瀏覽器首頁為bubu888網址導航、桌面出現“免費電影”、“美女圖片”等廣告圖標、不定期彈出網頁廣告、殺毒軟件反復掃出beep.sys和alg.exe文件卻無法清除。如果符合上述情況，網友應立即訪問360官網下載使用專殺工具。 鬼影3病毒查殺以及防御 1.建議網友的電腦開啟了殺毒軟件的監控防御，會在“鬼影3”運行之前就將其攔截，避免電腦遭受不必要的財產損失。 “鬼影”家族進化史 “鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染電腦硬盤的主引導記錄（MBR）。當受害電腦開機時，“鬼影”病毒家族會比Windows系統更早加載到內存中運行，從而使病毒獲得系統控制權。 新鬼影病毒主要通過假冒游戲外掛和電影播放器傳播，其主要攻擊目標是游戲玩家和在線看視頻的網民。中毒后的主要表現是主頁被鎖定，殺毒軟件反復報毒（因病毒母體會下載盜號木馬）。即使格式化重裝，這些現象依舊不能解決。 新鬼影病毒可以改寫特定型號主板BIOS，這很容易讓人聯想到Windows 95時代流行的CIH病毒，當時有殺毒廠商稱CIH病毒可以破壞硬件。中毒后的電腦將完全黑屏，不能啟動。 新鬼影病毒的目的和CIH完全不同，CIH是以破壞系統為主，而新鬼影則是以賺錢為主，不會破壞系統，中毒電腦不會出現黑屏和分區受損。其主要目的是為導航站帶流量，再下載更多木馬或木馬下載器，推廣其他病毒或軟件。 新鬼影病毒先判定當前系統主板BIOS是否為Award BIOS，然后再查找SMI端口，寫入新的BIOS內容，其目的是保護硬盤MBR（主引導記錄）被其他程序改寫。這樣就造成殺毒軟件或一些磁盤編輯工具無法查看或編輯主板MBR信息，從而使病毒難以清除。 鬼影6病毒查殺以及防御 2012年8月，鬼影6出來了。 特征： 1：在C:\Program Files\Internet Explorer 目錄下多了skype.exe， qq.exe，my_705file.exe， my_Xcode.exe等3 4個病毒文件。temp目錄下，也有很多個.exe文件，這些文件可以手動刪除，但是重啟之后就出現， 2：360安全衛士、金山衛士和QQ管家，以及殺毒軟件都不能啟動。 3：電腦開機之后很慢，進程里面有一個skype.exe，結束這個進程之后，過五六分鐘電腦會稍微快一點。 處理辦法： 任何殺毒軟件都沒用，360保險箱和金山鬼影專殺都無效，如果系統是windows2003，360保險箱還會誤傷系統，導致系統無法啟動。GHOST，重裝系統，格盤，甚至分區都不能決絕這問題。 辦法：制作一張帶Diskgen的PE啟動U盤或許光盤，（不會做，百度一下，這個不難。）如果是U盤，用U盤啟動電腦（不會的，百度一下，或許打電話咨詢你的電腦主板廠家），進去PE系統，打開Diskgen，選中你的硬盤，點擊重建MBR，然后保存，退出，重啟電腦。（注意，這時候千萬別急著進系統）,這時候引導區的病毒已經消滅了，但是系統的病毒還沒有消滅，這時候可以格式化C盤，然后重裝系統，或許直接GHOST還原C盤。等系統裝完，或許GHOST還原完畢，病毒就徹底消滅了。

總結

以上是生活随笔為你收集整理的鬼影病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。