问:2010年3月15日,“鬼影”病毒出现在人们的视野中,它是国内首个“引导区”下载者病毒。由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法彻底清除该病毒,犹如“鬼影”一般“阴魂不散”,所以被称为“鬼影”病毒。一年后,“鬼影”经过变种已经升级为第三代,开始疯狂地进驻到用户的电脑中。如果不幸感染了“鬼影3”病毒,怎么办呢?
答:不用担心,本文将介绍一种利用安全工具半分钟手工清除“鬼影3”病毒的方法。
我们知道,“鬼影”病毒是以隐蔽性著称的,而“鬼影3”则将其隐蔽性更提升了一个层次,普通安全工具要想找出“鬼影3”的全部隐藏行为那是十分困难的,但是通过PowerTool 这款软件就可以轻松把“鬼影3”的尾巴揪出来。PowerTool是国人编写的一款专业安全工具,其功能非常丰富,是手工杀毒的不二选择。运行PowerTool后,我们切换软件的各个监测模块对系统进行全面的检测,危险的地方软件会以红色字体标注。
“鬼影3”病毒对于系统的修改
经过监测,可以发现“鬼影3”对系统进行了如下修改:
1)进程。鬼影3会创建了一个名为“Vanyro.tmp”的进程,该进程是隐藏的,在“任务管理器”中不可见。
2)文件。在C盘根目录下被创建了“Vanyro.tmp”、“PulgFile.log”、“PulgConfig.log”这三个文件,其中“Vanyro.tmp”为病毒主体文件,“PulgConfig.log”为病毒配置文件,用于下载流氓软件。
隐藏的病毒文件
3)快捷方式。在桌面上将会被创建多个快捷方式、包括“淘宝网”、“酷狗音乐”等,以此牟利。
4)网络连接。有3个端口将被打开,用以从别的网站上下载流氓软件。
5)内核钩子。内核中被创建了一个名为“DriverStartIO”的钩子函数,鬼影3借此用于隐藏自己。
6)隐藏扩展名。鬼影3会设置隐藏文件的扩展名,以降低自身文件被发现的概率。
修改设置隐藏扩展名
7)修改MBR。这是“鬼影”系列病毒引以为傲的地方,病毒会修改硬盘的MBR,从而实现优先于系统启动,即使用户重装系统也无法彻底删除。
发现MBR被修改
清除“鬼影3”病毒
在PowerTool的检测下,“鬼影3”的隐藏手段暴露无遗。其实病毒并不可怕,只要我们能发现其隐藏手段,那么清除起来是相当容易的。我们可以按照以下步骤使用PowerTool清除“鬼影3”病毒:
1)结束进程:在病毒进程上点右键,选择“结束进程”。
2)恢复隐藏文件扩展名:右键→“修复”。
3)删除病毒文件:右键→“删除且不可还原”。
4)删除快捷方式:右键→“修复以及删除关联文件”。
5)恢复钩子:右键→“摘除钩子”。
6)恢复MBR:点击“自动修复MBR”按钮即可。
至此,大名鼎鼎的“鬼影3”病毒就被我们在半分钟内清除了,整个过程十分简单。其实不仅对于“鬼影3”病毒,对付其他病毒都可以用PowerTool轻松搞定,这样以后就算杀毒软件不给力,我们也不用再害怕病毒了。
,第3代鬼影病毒该如何清除