鬼影病毒专杀_鬼影病毒解决办法步骤(鬼影病毒专杀)

俗话说“九毒连十”，游戏外挂捆绑病毒并不稀奇。不寻常的是，有病毒插件来“推销”杀毒软件。最近一个名为“炫舞魔风”的插件捆绑了一个幽灵变种病毒。玩家运行插件后，电脑会自动安装金山毒霸和金山卫士，但金山毒霸无法查杀病毒。

原来金山毒霸采用的是推广分成模式，其推广渠道每增加一个装机量，可以从金山毒霸那里赚取0.4元的分成。之前很多下载站将页面的“高速下载”按钮指向金山毒霸，以软件推广费赚钱，病毒制作者也嗅到了商机，利用杀毒软件的推广获利。

根据反病毒论坛的分析，ghost变种可以感染磁盘主引导记录(MBR)，因此可以比操作系统更早启动。即使用户重装系统，格式化硬盘，也无法清除。即使金山毒霸能检测出ghost变种，点击清除重启电脑，病毒也会通过MBR恶意代码重新感染系统。

根据边肖的实际测量，市面上大多数主流安全软件都可以防止ghost变种。但如果用户相信了病毒插件的提示，关闭了安全软件，就只能下载使用查杀工具，彻底清除ghost变种和MBR中的病毒代码。这里推荐360系统急救箱和卡巴斯基TDSSKiller查杀工具，清除幽灵病毒的效果比较好。

30系统急救箱下载地址：http://www.360.cn/jijiuxiang/index.html

卡巴斯基TDSSKiller下载地址：http://support.kaspersky.com/viruses/utility

Ghost变种病毒分析如下：

1.利用病毒插件“炫舞魔风”捆绑传播：

图1

2.在系统的引导扇区植入病毒代码：

图2

3.创建C: 文档和设置管理员本地设置临时 download.exe，并作为下载器，在系统中下载安装金山毒霸和金山卫士。安装过程中没有提示：

图3

4.该病毒下载器包含金山毒霸和金山卫士在官网的下载地址：

图4

图5

5.劫持IE浏览器目录中的msimg32.dll，潜伏在IE进程中运行：

- END -