“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录(MBR),无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时,不同厂商推出的专杀工具都会首先修复MBR,然后再全面扫描清除病毒残骸,然而这个方法在查杀“鬼影3”时却遇到了难题。据分析,“鬼影3”病毒之所以非常顽固,原因在于它释放了一个恶意驱动作为“保镖”,用来禁止任何修复MBR的操作。对杀毒软件来说,不清除“保镖”驱动就无法修复MBR,不修复MBR又无法清除“保镖”驱动,从而陷入“鬼影3”怎么都杀不干净的死循环中。
年初的时候我写过一篇20秒手杀鬼影的教程,斗转星移,病毒的作者精益求精,前段时间,已更新到鬼影3代了。
不过正所谓魔高一尺,道高一丈,邪还是不能胜正的,现在也有一些鬼影3的专杀工具了,不过为了知其所以然,我写一下如何用PowerTool的3.8版来手刃鬼影3病毒~~~
2. 鬼影3的文件
3. 鬼影3的流氓快捷方式
4. 鬼影3的网络连接
5. 鬼影3在内核里面的钩子
6. 鬼影3在的其他勾当
7. 最后也是最重要的也就是鬼影3的MBR
差不多就这些了,知道了它干得勾当,自然就可以清除它了。
清除步骤:
1.结束鬼影3的进程
2.恢复隐藏的扩展名
3.删除鬼影3的文件
4.删除鬼影3的流氓快捷方式
5.恢复它在内核的钩子(这一步很重要,否则无法恢复MBR)
6.恢复成正确的MBR
阴云总会散去,曙光蓝天再现
最后,鬼影肯定还会继续进化,
病毒和安全的斗争也永远不会结束,
到时候我们再见了,呵呵~~~
