360急救箱http://down.360safe.com/SuperKiller.exe

也可用其它鬼影专杀工具清除 。

鬼影专杀工具:http://cu003.www.duba.net/duba/tools/dubatools/guiyingfix.exe

注意，鬼影病毒专杀工具会尝试修复中毒用户的分区表，因修复分区表存在一定风险，金山安全实验室力图通过技术测试减少分区表改写的风险，但不敢保证改写分区表的操作完全杜绝风险。提醒用户在使用本工具时注意，如果有非常重要的数据，建议事先备份，如果使用本工具发生意外 ，请及时联系金山客服，电话4006107777，金山客服会尽量帮助发生这种意外的用户解决问题。

神秘“鬼影”病毒袭击Winxp系统，重装也无法消灭

以前，常听用户说，中毒了没啥，大不了重装。但现在，这句话将成为历史。一种被命名为“鬼影”的病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将病毒清除出去。当系统再次重启时，病毒会早于操作系统内核加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何母体程序的特征，病毒就象“鬼影”一样在中毒电脑上阴魂不散。

病毒特征：
1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
（“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在 “鬼影”病毒之前，这一技术少有被黑客利用的案例。）

3.病毒母体自删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

“鬼影”病毒影响力分析
在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。

因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除。


“鬼影”病毒传播的广度分析
金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。
 

鬼影病毒处理方法

重装系统

　　格式化C盘，进入dos状态，运行fdisk/mbr 命令，用以清除掉主引导区的病毒引导代码，这时候重装系统就可以了，但是这是在完全安装起作用的，如果你用是GHOST安装系统那么还要多做以下几步：

　　1、通过GHOST系统盘进入PQ/PM分区工具，一般GHOST系统盘都带的。

　　2、 右击c盘，选择进阶-设为作用，这样就把MBR引导层重新写了一遍，这样在引导层中的病毒也自然被剔除了。

　　3、 直接用GHOST系统盘安装系统就OK了。

DOS下手动查杀方法

　　第一步：找专杀工具：这里推荐使用“一键GHOST“，其中的DOS工具箱自带的小工具DISKRW就可以完美解决。

　　第二步：杀除MBR病毒

　　1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”，开机进入一键GHOST，最终出现红色界面时按ESC键退回到主菜单，按方向键选择“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 确定。（注意，尽量使用2010版，更早的版本不能保证有此功能）。

　　2、修复MBR（关键一步，必须做），接着上一步，选择“4.修复”--> “修复(F)“ --> 确定。

　　第三步：重装或恢复系统。在第二步完成后，千万不要重启电脑进入WINDOWS了，否则会二次感染。正确的方法是，将系统安装光盘放入光驱中，重装系统。或者如果你有本地的系统备份（当然是没感染病毒之前做过的备份），也可以用“一键恢复系统”功能进行恢复。

　　第四步：全盘杀毒。返回WINDOWS后，需要升级你的杀毒软件到最新版本（最新病毒库），然后进行“全盘查杀”，这样可以把残留在非系统盘（比如D盘、E盘、F盘）里的病毒寄主文件杀掉，以做到“斩草除根”。

“鬼影”病毒的未来
该病毒开创了中国恶意软件编写的先河，预计该病毒的源文件将会成为黑色产业链中的抢手货，未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒，都会令安全厂商头疼不已。

附：相关名词解释
MBR（Master Boot Record）,中文意为主引导记录。电脑通电开机，主板自检完成后，被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区，它的大小是512字节，不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。
DOS时代泛滥成灾的引导区病毒多寄生于此。

电脑系统开机过程：
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。-->控制权交给主引导程序-->检查分区表状态，寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统启动文件。