鬼影病毒特征：

1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
（“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在 “鬼影”病毒之前，这一技术少有被黑客利用的案例。）

3.病毒母体自删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

鬼影病毒专杀工具免费下载：http://cu003.www.duba.net/duba/tools/dubatools/guiyingfix.exe

金山毒霸安全套装用户可以通过升级病毒库，无需下载专杀工具。

该病毒是一个很强大的病毒下载器，可修改系统注册表，将病毒主文件nwizs.exe添加到启动项，实现开机启动，而且隐藏自身文件和注册表启动项目，使用户用一般软件无法看见其文件和注册表键值。另外，该病毒还具有IFEO 映像劫持、破坏注册表隐藏键值、设置IE 启始页、向病毒作者提交本机信息等功能模块。

解决方案一：

下载金山毒霸杀毒软件，升级病毒库到最新版本。确保毒霸实时监控在运行状态，一旦AUTO木马群入侵，金山毒霸会及时拦截。

解决方案二：

下载AUTO木马群专杀工具，可清除AUTO木马群；修复“映像劫持”；清除msosXXX病毒等。适用平台：WinNT/2000/XP/2003

可以解决以下情况：

1．U盘原来存在的文件夹全部被隐藏
2．插入U盘后每个有文件的文件夹里面都会出现一个和该文件夹同名的，文件夹图标的EXE可执行文件
3． u盘出现里的文件夹后缀名为exe，scr的文件
4． 所有U盘原文件夹别隐藏,出现1.2MB同名exe 或者1.4M
5． u盘中毒后文件夹看不见了，如果恢复呢？

适用操作系统：win 2000/XP/vista

软件下载

木马特征：

病毒运行后将自身伪装成系统正常文件，以迷惑 用户，通过修改注册表项使病毒开机时可以自动运行，同时病毒通过线程注入技术绕过防火墙的监视，利用键盘钩子技术在后台记录用户输入的帐号密码信息，通过 鼠标钩子获取用户游戏角色和装备信息；并且病毒尝试连接特定的网站进行病毒的自我更新；修改用户机器重要注册表项，使用户更加难以清除。

传播途径：

病毒主要通过文件捆绑、欺骗运行、可带病毒的邮件附件等方式进行传播。

工具用途：

该专杀工具可有效查杀此类病毒。

软件下载：

下载地址

在国内，金山毒霸也为上百万台电脑清除了Delphi梦魇，并修复了受该毒感染的文件。由于目前国内仅金山毒霸一家杀毒软件能够有效查杀“Delphi梦魇”和修复受该毒感染的文件，再加上我国互联网发展迅速、个人电脑拥有总量庞大，被迫与“Delphi梦魇”共处的电脑用户依旧是一个非常庞大的群体。金山毒霸反病毒工程师估算，目前国内至少有一千万台以上的电脑依旧被“Delphi梦魇”寄生着。

解决方案

国家计算机病毒应急处理中心已于8月30日发布通告，建议计算机用户立即升级系统中的防病毒软件，扫描所有的开发工具软件Delphi编写的可执行文件，清除这一潜伏已久的病毒。作为国内目前唯一一家可查杀该毒并提供修复服务的杀毒软件，金山毒霸计划无条件免费为全国用户提供“Delphi梦魇”专杀工具，这样，即便没有安装金山毒霸的电脑，也可及时清除该毒，恢复系统安全。

下载：【Delphi梦魇专杀工具】 【金山毒霸安全套装下载】

机器狗/AV终结者/磁碟机 专杀工具下载：http://cu003.www.duba.net/duba/tools/dubatools/dbtools_cdj.com