查看完整版本: 实战查杀“鬼影”病毒及防杀毒的一些做法

实战查杀“鬼影”病毒及防杀毒的一些做法

前两天弄一台上adsl互联网中毒的机子，现象是桌面有淘宝网链接图标，IE被劫持、修改，系统运行极慢，不停地弹出乱七八糟的网页，无法关闭，360杀毒和360安全卫士被干掉，出现文件夹病毒现象。
      按惯例光盘进入PE，上清理助手、360安全卫士全盘查杀一遍，30几个木马被干掉。
      重新起机，正常。保险起见再次查杀一遍，无毒，起机正常。交活离开。
      不久，机主再次打来电话，故障依旧。纳闷？杀完了还有？重复以上查杀操作。重启正常，这次没立即离开，而是亲自测试一番，把ADSL拨号连上没一会，桌面上就出现了淘宝网图标，IE也被拿下了。较劲是吧！我惹不起还躲不起么，来最后一招，重装系统！
      格式化C盘后10分钟装完，再起机...........淘宝图标在桌面正等着我呢，一查IE又被拿下了。
      刚装完起机就感染？坏了，遇到难题了，看来重装也不起作用。用其他机子上网查了一下，卖噶嗒！原来是“鬼影”病毒，仔细学习了一下鬼影的感染原理，哦，原来是引导区感染了。这不是又回到了dos时代（dos命令都快忘光了）？赶快下载了金山鬼影专杀，晕，根本不起作用。
      没办法只好自己来：用光盘引导进入dos，运行dos命令fdisk /mbr ,重写MBR引导区，然后立即重装系统，再全盘查杀一遍，观察一天没问题，查杀成功。
      这个鬼影病毒知识原来在网上看过，因为没有过多的了解这种病毒，也没见识过他的厉害，所以也没在意这个病毒，今天亲身经历了病毒的发作、查杀全过程。印象颇深，因为这个病毒彻底颠覆了windows操作系统病毒的概念，只要是不重写MBR，你就是全盘格式化也没用，病毒会抢先在windows启动前运行引导区的代码，感染系统，然后通过互联网络疯狂下载各种木马，破换系统。但是了解了这个病毒的原理后，查杀也就简单了。

      另外谈一下日常防毒、杀毒的一些做法：
      一是计算机日常防毒最重要的还是电脑使用习惯问题，一些来历不明的链接、网站尽量不要去点，尽量到比较正规的网站或官方网站下载软件，杀毒软件的选择个人倒觉得不太重要，目前的杀毒软件功能基本上差不多，找一款资源占用少的即可，推荐mcafee8.8、金山毒霸猎豹版。
      二是不要指望杀毒软件全能化，杀毒软件只能查杀病毒，极少数能查杀小部分木马，目前破坏力较大的不是病毒，而是木马，如一些盗号木马、广告木马等等，平时应定期用最新版的windows清理助手定期扫描即可。windows清理助手可是个好软件，木马的查杀率非常高，推荐之常备。
      三是裸奔问题，即不安装杀毒软件，只安装辅助类如360安全卫士、金山卫士、qq电脑管家等等，这些软件只是一些工具软件，防杀毒、木马能力非常有限，有时候还起相反作用。菜鸟、新手尽量不要这样做，杀毒软件还得安装。
      四是木马、病毒最最重要的传播途径----U盘的使用问题。俗话说U盘一插，木马到家，U盘传播病毒、木马隐蔽性、易感染性非常强，平时尽量在资源管理器中打开U盘，或右键点击“打开”选项打开U盘，一些重要的资料不要用U盘做备份，经常格式化U盘也可防一防。      五是系统的漏洞补丁必须定期及时打齐，因有些病毒、木马是通过系统的漏洞传播的，定期把这些漏洞通过补丁修复，可以防止很病毒、木马的攻击，很多系统莫名其妙的问题也可能因不及时打补丁引起的。

以上一些经验之谈不妥之处，欢迎批评指正。并请版主及各位高人进一步指教。