鬼影病毒来势汹汹,最近在全国电脑用户以及网吧大面积爆发,据说感染量已经超过了三万台计算机。该病毒会进行映像劫持、结束杀毒软件进程,下载av终结等多种病毒盗取用户账号,由于网吧大多使用了驱动级的磁盘保护软件,该病毒在网吧常常会造成系统蓝屏冲突的情况。鬼影病毒最令人感到头疼的并不是其病毒危害本身,而是病毒能够修改主引导分区(MBR),在运行操作系统前就对自己进行加载,导致几乎所有的杀毒软件都失效。而一般格式化和GHOST重新安装系统并不会涉及到MBR,所以简单的系统恢复并不能清除病毒。
病毒的加载
虽然鬼影病毒貌似比较可怕,但只要我们了解到该病毒驻留计算机的方式就可以轻松应对这种病毒了。我们知道,计算机启动时,当BIOS完成自检后,系统会将硬盘MBR区域的代码读入内存,并将系统控制权交给操作系统。之后,Windows XP等NT内核的操作系统会通过调用ntldr文件来启动操作系统。由于计算机感染鬼影病毒后,会通过驱动方式绕过Windows的保护核心来进驻MBR,所以必定每次启动时病毒代码就会被计算机读入内存并运行,并且在系统读取ntldr的时候加载到系统中。进入系统后,由于找不到病毒文件和进程,所以查杀起来有些困难。它会篡改IE首页、下载各种盗号木马、结束杀毒软件进程,而自身却隐藏的无影无踪。
轻松消灭鬼影病毒
普通用户或者网吧网管,在系统感染病毒后,往往会使用格式化C盘并且用GHOST恢复镜像的方式来重装系统。而这些操作并不会清除MBR主引导记录,也就是说这种方法并不能清楚病毒,所以要清除病毒,必须要从清除MBR着手。
1、使用安装程序重装时
使用Windows XP安装程序重装系统之前,需要在纯DOS状态下运行fdisk/mbr命令,该命令用以清楚C盘分区已有的MBR主引导记录。运行后,再用安装程序安装Windows即可,Windows安装程序会重新写入MBR引导记录。
2、使用GHOST恢复系统
虽然ghost并不会写入MBR主引导分区,但是我们可以采用第三方分区工具来为C盘重新写入MBR。例如使用PartitionMagic软件时,在软件界面中找到C盘,右击c盘,选择“进阶”设为“作用”即可。这样PartitionMagic就会重写C盘MBR,完成后就可以使用GHOST恢复系统了。
本文来源:不详 作者:佚名