某客户的电脑,桌面上有3个广告网页链接,删除不了。所有的文件夹都只有80多k,很明显真实的文件夹被病毒隐藏了,病毒生产了一个和文件夹名称一样的伪装程序,而且隐藏了这个假文件夹的扩展名exe。
格式化C盘重装系统刚进入桌面,就开始自动弹出网页广告窗口,过了一会儿又自动安装了pipi播放器,酷我音乐盒。马上安装360杀毒软件和360安全卫士,扫描发现一些广告插件和C:\WINDOWS\system32\bhoexe.dll,还有一些其他盘的假文件夹exe病毒。并且IE首页被改成了一个广告网址。广告插件和假文件夹exe病毒能用360清除,这个bhoexe.dll始终无法删除。查杀后重启又有了。
网上baidu一哈,发现这个bhoexe.dll是2010年3月15日,金山安全实验室捕获一种被命名“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。
根据网上的处理方法的思路,在DOS下先运行了fdisk/mbr 命令,为了保险起见,又在DOS下用diskgen重建引导扇区。重启后再次安装系统,进入就一切正常了。然后再次安装360杀毒软件和360安全卫士清理其他盘残余的病毒。机子终于恢复正常了。