基本介紹
- 中文名:鬼影2
- 時間:2011年
- 類型:高危木馬
- 傳播:捆綁遊戲外掛進行傳播
概念,清除建議,
概念
經360安全中心分析,“鬼影2”木馬主要威脅Windows XP系統用戶。該木馬之所以難以清除,原因在於它採用了三招“組合拳”:第一招,欺騙用戶關閉安全軟體,“否則就無法達到遊戲外掛的透視效果”;第二招,暴力破壞被用戶手動關閉的安全軟體,使其無法正常工作,並阻止用戶重新安裝運行主流安全軟體;第三招,感染電腦硬碟MBR(主引導記錄),使用戶無論是重灌系統、還是格式化硬碟都無法徹底清除木馬。
清除建議
在整整一年前,專門感染MBR的“鬼影”木馬已經出現,然而“鬼影2”比它的原型更為頑固。根據360安全專家石曉虹博士介紹,所有正規安全軟體在發布時都帶有數字簽名,相當於安全軟體的“身份證”。“鬼影2”木馬恰恰利用了這一點,凡是帶著“身份證”的正規安全軟體一律阻止運行,包括國內外11家主流安全廠商的產品。
石曉虹博士表示:“360安全衛士‘木馬防火牆’完全可以攔截‘鬼影2’木馬。但是如果用戶被木馬外掛欺騙,關閉了‘木馬防火牆’,電腦在不設防狀態下就會完全被木馬控制。因此,網民一定要保持安全防護軟體處於開啟狀態,不可被各種外掛程式誤導。”
據介紹,“鬼影2”木馬典型的中招症狀包括:無法安裝主流安全軟體、電腦明顯變慢、CF(穿越火線)等20餘款熱門遊戲帳號被盜、任務管理器出現1.tmp等隨機數字名稱的可疑進程。如果電腦出現上述問題,用戶可訪問360官方網站求助中心,聯繫工作人員協助查殺“鬼影2”木馬 。
1,先用PowerTool或xuetr看MRB有無異常,PowerTool打開就有主引導記錄,英文就是MBR了,檢測是否異常,xuetr在系統雜項-雜項里,檢測MBR ,提示未知,就是有問題了,下面修復
2,下載MbrFix.exe 放到,c盤,d盤或其他任何盤下都行,最好放根目錄,方便,我用D糟說明,開始運行輸入cmd進入命令行在進入D糟運行MbrFix /drive 0 fixmbr 就可以了,具體 是這樣的
系統列-開始-運行輸入cmd,進入命令行
cd d: 進入d盤,這一步可以省略
輸入d: 回車,
輸入 MbrFix /drive 0 fixmbr 提示按Y就可以了,這樣修復MBR了
下面是MBrfix的說明
Commands: (命令)
MbrFix /drive <num> driveinfo Display drive information
(顯示硬碟信息)
用法同上,一個硬碟 是,MbrFix /drive 0 driveinfo 2個硬碟上1,以此類推
MbrFix /drive <num> listpartitions Display partition information
(顯示分區信息)
MbrFix /drive <num> savembr <file> Save MBR and partitions to file
建議用xuetr保存,方便 (保存MBR 到分區)
MbrFix /drive <num> restorembr <file> Restore MBR and partitions from file
建議用xuetr還原,方便 (從分區寫入MBR)
MbrFix /drive <num> fixmbr Update MBR code to W2K/XP/2003
(更新 MBR code 用於W2K/XP/2003 or Vista)
MbrFix /drive <num> clean Delete partitions in MBR
(刪除所有分區的MBR)
MbrFix /drive <num> readsignature {/byte} Read disk signature from MBR
(從MBR讀取簽名信息,即標記)
MbrFix /drive <num> generatesignature Generate disk signature in MBR
(磁碟簽名生成MBR中)
MbrFix /drive <num> readstateRead state from byte 0x1b0 in MBR
(讀取位置在 byte 0x1b2 在MBR中)
MbrFix /drive <num> writestate <state> Write state to byte 0x1b0 in MBR
(寫入到位置於 byte 0x1b2 在MBR中)
MbrFix /drive <num> drivesize在mb區返回有用驅動
MbrFix /drive <num> writesignature <hex> 往MBR寫入標記
MbrFix /drive <num> readdrive <startsector> <sectorcount> <file>
MbrFix /drive <num> /partition <part> fixbootsector <os>
MbrFix /drive <num> /partition <part> getpartitiontype
MbrFix /drive <num> /partition <part> setpartitiontype <typenum>
MbrFix /drive <num> /partition <part> setactivepartition
MbrFix /drive <num> getactivepartition 獲取活動分區
MbrFix volumeinformation driveletter 獲取分區卷信息
MbrFix flush {driveletter(s)}刷新檔案到分區
MbrFix listpartitiontypes 分區列表類型
rive numbering <num> starts on 0.
Commands restorembr, fixmbr, generatesignature, writestate and clean will ask for confirmation unless /yes is included.
If the /byte option is given for the readsignature command, the signature is returned as a byte array instead of as a DWORD.
示例:
我要修復C糟的xp引導(NT),進入軟體所在目錄,
MBRFIX /drive 0『(1、2、3等)』 driveinfo 查看你的硬碟信息,通過容量斷定是不是你要修復mbr的隨身碟或硬碟
MBRFix /drive 0 fixmbr /yes
vista mbr修復 MBRFix /drive 0 fixmbr /vista。 註:這裡0是第一塊主硬碟主分區。
ok,溫馨提示下,在vista下會用新的bootmgr信息代替NT的引導信息,謹慎。
強調這工具是用來修復硬碟位置0簇512位元組的引導信息