怎么判断电脑是否中了鬼影病毒

鬼影病毒，因为其隐藏性比较好，其编写思路有可能被未来的病毒编写者看好，成为今后流行病毒的“潜力股”。
    近期流行的那两个鬼影变种，就其“隐藏性”而言，应该还不算很好。这两个鬼影病毒居然明目张胆地往用户桌面添加IE快捷图标；且在系统启动后，细心的用户还会在windows目录下发现反复出现的病毒文件alg.exe或ali.exe。个人觉得这还算不上真正的“鬼影”。今后出现的“鬼影病毒”有可能会去掉这些张扬的成分，成为真正的鬼影。
    由此便可引出一个普通用户最关心的问题：我怎么知道自己的电脑是否中了鬼影病毒？或问：中了鬼影病毒后我能看到些啥典型症状？

    鬼影病毒的寄生地位于硬盘主引导扇区的“主引导记录(Master Boot Record），简称：MBR。要看“中毒后的典型症状”，应查看主引导扇区的内容。主引导扇区位于硬盘的0面0道1扇区。使用不同的工具查看这个扇区，有一个小小的问题需要注意：主引导扇区号可能有差异：用WinHex看到的主引导扇区序号与我们经常说的主引导扇区序号一致(即：0面0道1扇区）；但用SectorEditor看到的主引导扇区是0面0道0扇区，而不是我们通常说的“0面0道1扇区”。用SectorEditor看到的0面0道的64个扇区编号为0-63。
     查看主引导扇区，对于一般用户来说无异于看天书。其中的内容全部为十六进制数字！
     本人也是菜鸟，完全读不懂那天书般的MBR内容。但这并妨碍我通过查看MBR判断电脑是否中了鬼影病毒。基本思路就是：先大体上了解一下正常的主引导扇区内容。正常的主引导扇区内容如图1。

    图1中红色高亮部分就是正常的“主引导记录”（即：MBR）；绿色高亮显示的是正常的“硬盘分区表”（DPT）；灰色高亮显示的是“扇区结束标志”。知道了正常MBR是啥样的，就有了比较标准。通过比较，就不难发现MBR的异常。
    中鬼影病毒第二个变种前后的MBR比较见图2。

   这个新变种除了改写MBR外，还改写了0面0道内的37个扇区！中此病毒前后的0面0道2扇区（SectorEditor标为0面0道1扇区）内容的比较见图3。

   中此毒前后的0面0道39扇区（SectorEditor标为0面0道26扇区；这个“26”为十六进制数）内容的比较见图4。

    此毒改写的扇区数较多，在此就不一一截图了。

    此外，我曾用SectorEditor查看过不同电脑0面0道各扇区内容，在此大致交待一下，可供中鬼影病毒后判断与处理主引导扇区及0面0道其它扇区时参考：
　　1、我见过的多数电脑：
　　（1）0面0 道0扇：MBR+DPT
　　（2）0面0道1-61扇：空（内容全部为0）
　　（3）0面0道62-63扇：有内容。不要更改。
　　2、某些品牌电脑：
   见过一台DELL品牌机，上述内容除第（1）、（3）部份与多数电脑相同外，第（2）部份中 10号扇区有内容。
   另一个例子就是我那个ThinkpadT60p 笔记本。可能是因为其ThinkVantage蓝键的特殊引导需要，上述第（2）部份中 1-12扇区也有内容

杀  毒