页面&#x91载开启
页面&#x91载开启 欢&#x8光临本站，页面正在&#x91新载入，请稍候 ...电脑出现了GHOST装机木马怎么查杀？_百度知道
电脑出现了GHOST装机木马怎么查杀？
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
北京瑞星信息技术股份有限公司
北京瑞星信息技术股份有限公司
瑞星公司主营业务为信息安全整体解决方案的研发、销售及相关增值服务。公司自成立以来一直专注于信息安全领域，以优质的产品和专业的“安全+”服务，向政府、企业及个人提供各类安全服务，帮助所有用户。
电脑有病毒一般需要使用杀毒软件全盘杀毒，如果遇到查杀不掉的病毒需要分什么情况分析：1、如果杀毒杀出来的病毒删除不掉，安全模式下查杀，还是不行使用强删工具删除文件。2、局域网环境，计算机在联网的时候文件能杀掉但是总杀总有，断网可以杀干净，属于局域网感染病毒，修复系统漏洞，对局域网计算机进行杀毒，杀干净再看。3、断网情况下依然总杀总有，病毒可以杀掉但是反复回写，说明病毒主体没有查杀出来，不停的释放其他病毒文件，使用filemon工具，通过进程动作的监控，查出是哪个进程再不停的释放其他病毒文件，把病毒主体删除，如果这个操作无法自行操作，请联系杀毒软件的技术客服解决。
Lucifer丶HT
Lucifer丶HT
采纳数：638
获赞数：351
建议尝试使用腾讯电脑管家查杀，先进的病毒查杀引擎以及规模可观的云病毒库，电脑管家一直在不断的在改进自身的杀毒引擎，同时其庞大的用户群、海量云病毒库也是其他杀毒软件无法比拟的。
uycje7405774
uycje7405774
擅长：暂未定制
直接用电脑管家就好，它的工具箱里面为了对付这种病毒，出了一个工具，
为你推荐：
其他类似问题
您可能关注的内容
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。重装电脑，遭遇顽固病毒！
腾讯电脑管家接到网友求助，称自己的电脑重装系统后，发现杀毒软件不能升级，也不能下载其他组件，意识到系统有问题因此求助。安全专家远程支持后发现，该用户电脑已被安装高危病毒“双枪2”，检查确认“双枪2”病毒正是来源于用户自行下载的Ghost系统盘。对病毒进行溯源处理后发现，已有众多知名Ghost系统同样被植入“双枪2”病毒。
需要提醒用户的是：网上下载的Ghost系统是盗版组织为方便系统安装发布的一键重装系统软件包，盗版组织会在这类软件包中集成系统补丁、常用软件，以及并未告知用户的有害程序。
（已被植入病毒的盗版Ghost系统）
双枪2，究竟是何妖孽？
腾讯电脑管家安全专家指出，“双枪2”病毒是1代的最新变种，是一个Bootkit病毒，病毒会在操作系统启动加载之前抢先运行。与1代相比，新变种通过驱动程序切断杀毒软件联网功能，并能阻止某些杀毒软件急救箱功能运行。
感染“双枪2”这种Bootkit病毒之后，硬盘的MBR（主引导记录）及VBR(卷引导记录)也会被改写。此类病毒的特别之处就是，“即使用户简单重装系统，病毒依旧寄生在电脑硬盘上”。
为在电脑上长期存在，“双枪2”病毒切断了主流杀毒软件的联网功能，即使用户在重装系统后安装杀毒软件，因杀毒软件联网功能已被切断，连升级更新、下载病毒库、下载附加组件、云查杀等等关键功能均无法实现，杀毒软件虽已安装，但功能已被破坏。
除了破坏杀毒软件的正常功能，“双枪2”病毒还会将浏览器主页锁定为带有“33845”编号的网址导航站并以此来牟利，同时“双枪2”病毒会在系统预留后门以窃取用户敏感信息。
查杀“双枪2”利器：电脑管家急救箱！
虽然“双枪2”是一个非常顽固的病毒，普通杀毒软件很难发现并查杀，但广大用户也不用恐慌。使用电脑管家急救箱可100%完美查杀此病毒。以下为电脑管家急救箱的使用步骤：
第一步：下载电脑管家急救箱
下载解压文件后，双击运行急救箱.exe。
第二步：点击“快速急救”进行处理
第三步：急救箱自动对电脑存在的风险项进行扫描。请您耐心等待
第四步：待扫描结束后，点击“重启电脑”
第五步：确保文件和数据保存情况下，点击“立即重启”
第六步：电脑重启后，系统菜单多出一项“开始系统急救（电脑管家）”，点击回车键进入急救
第七步：&电脑将自动查杀系统病毒，请耐心等待
第八步：查杀完毕后，电脑正常重启，急救箱提示病毒清理成功
如何避免中招“双枪2”
很多用户会通过搜索来查找重装系统所需的软件，目前已确认“双枪2”就是通过页面链接来传播的，因此，有重装系统需求的用户一定要开启电脑管家，当打开了这些问题网站，电脑管家就会提醒您“此链接有毒”。根据提示，不要去点击，即可避免中毒。
敲诈者病毒文件恢复教程
Tip：对于被病毒加密的文件，电脑管家的工程师竭尽全力破解并发现了恢复部分文件的方法，但恢复成功率受到文件数量、大小、及恢复时间等多个因素影响，越早恢复成功率越高。
1、下载小工具
下载地址：
2、安装工具
3、点击【恢复被删除的文件】并开始恢复
4、选择要恢复的文件和目录所在的位置
5、耐心等待扫描结果，整个过程受磁盘大小影响
6、选择想要恢复的文件
●系统默认桌面文件夹的位置：C:\Users\Administrator（你电脑用户名）\Desktop
●恢复的文件，文件名可能会发生改变，没有找到想要的文件不一定是没有恢复哦
●请尽量将恢复的文件放到新的磁盘中以提高成功率，例：被删除的文件在C盘，请将恢复的文件恢复到D盘，防止文件覆盖。
7、恢复完成
H5跳转链接
PC跳转链接
Description只需一步，快速开始
后使用快捷导航
Ghost系统有毒！“苏拉克”木马详细分析
TA的每日心情奋斗 20:47签到天数: 1 天[LV.1]初来乍到
windows 7 64位
马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。
才可以下载或查看，没有帐号？
　　引言　　刚重装的系统就中毒了，这是很多网友常常遇到的事，难道是中了引导区？甚至bios中毒？其实没那么复杂，很可能是你安装的系统自带了木马。　　一、“苏拉克”木马简介：　　“苏拉克”木马是2015下半年来持续爆发的木马，该木马感染了大量的计算机，其主要传播释放是直接在ghost镜像中植入木马，然后将ghost镜像上传到大量网站提供给用户下载，此外，近期也发现该木马的、win10版本通过oem激活工具植入用户电脑中。由于该木马的主要名为“surak.sys”，且通过分析得知该木马的项目名称即为“surak”，因此将其取名“苏拉克”木马。　　二、“苏拉克”木马特点：　　1、传播渠道隐蔽，由于该木马被直接植入到ghost镜像中，用户一安装系统就自带该木马，而此时尚未安装任何安全软件，因此木马的传播过程完全不在监控中。　　2、影响用户多，由于大量网站传播该类ghost镜像，且此类网站投入了大量推广费进行推广，普通用户通过找到的镜像下载站几乎全是带木马的。此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“”等主流ghost。　　3、难以清除，由于木马进入系统时间比安全软件早，掌握了主动权，对其后安装的安全软件做了大量的功能限制，使其大量功能无法正常使用，如安全防护无法开启、信任列表被恶意操作等，导致难以检测和清除木马。　　4、对用户电脑安全威胁大，“苏拉克”木马除了锁定主页获利外，还会实时连接云端获取指令，能够下载其它木马到本地执行，给系统安全造成了极大的威胁。此外，针对64位系统，该木马还会修改系统内核文件，使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。　　图1. “苏拉克”木马产业链示意图　　三、“苏拉克”木马行为分析：　　“苏拉克”木马的功能主要分为4大模块，即内核Rootkit模块、应用层主体模块、应用层加载器模块、应用层上报模块。模块分工明确，可扩充性强，配置灵活，且所有的通讯都使用高强度加密算法加密(AES & RSA)，该木马有xp版、win7版、win8版、win10版，除xp版外其它版本又分为32位版本和64位版本，每个版本功能基本一致，以下以xp版本为例进行分析，其它版本行为类似。　　通过各个模块分工协作，该木马完成了主页锁定、云端控制、插件下载、对抗安全软件等功能。　　图2. “苏拉克”木马模块分工示意图　　1、启动模块行为：(MD5：a3c79b97bdea22acadf951e0d1b06dbf)　　qidong32.dll的功能单一，其被注册成系统组件，开机时随系统启动，由Explorer.exe进程加载执行。该文件被加载后首先判断自己是否位于explorer.exe进程或者regsvr32.exe进程中，若是，则启动system32\drivers\UMDF\.exe文件。该文件是木马的主体文件，预置在带毒的Ghost系统中。　　图3.　　图4.　　2、主体模块行为：(MD5：bf47d80deb86ac213e46510)　　Boot.exe文件是该木马的主体模块，主要负责定时从云端下载最新的配置信息及负责其它模块的调度、插件下载、数据传递等。　　1)运行后首先从云端下载文件，该文件使用AES加密，密钥为“DownloadKey”，顾名思义该配置文件与下载相关，解密后的该文件如图5所示，主要包含要下载的文件列表、文件类型、本地路径等。　　图5.解密后的2.0xpFileList.dl　　2)解析配置文件，并进行相应的下载，下载完成后根据类型进行Load或者Exec。　　图6.　　3)完成以上行为后，将下载成功后的文件路径按一定格式存储，并使用AES加密(密钥：dl_encrypt)存储在C:\Windows\System32\drivers\UMDF\dllist文件中，即插件列表。　　图7. 存储插件列表　　4)下载到内存中，该文件是木马的配置文件，下载后计算配置文件的MD5值，并与C:\Windows\System32\drivers\UMDF\hash\config中存储的值进行比较，以判断配置文件是否更新，如果更新则将其传给surak.sys。　　图8. 下载配置文件并比较MD5　　5)该配置文件分为三部分，分别使用AES进行加密，密钥均为“ConfigEncryptKey”，解密后的单个配置信息结构大致如图9所示。　　图9. 配置信息数据结构　　6)配置文件对应的木马功能分别如下：　　注册表隐藏：阻止列表进程访问指定的注册表路径(图10)　　文件隐藏拦截驱动加载：阻止列表进程访问指定文件，拦截指定驱动加载(图11、13)　　进程隐藏三部分：当列表进程枚举系统进程列表时隐藏指定进程(图12)　　图10. 注册表相关的配置信息　　图11. 文件操作相关的配置信息　　图12. 进程隐藏相关配置信息　　图13. 阻止驱动加载的相关配置信息　　7)解密完配置文件后，依次将其加密后传递给内核surak.sys完成相应功能。　　图14. 将配置信息传递给surak.sys　　3、Rootkit模块行为：(MD5：8bb5cdc10c017d0c22348d2ada0ec1dc)　　1)挂钩NtQuerySystemInformation函数，对应隐藏进程功能。在win7等64位系统中，由于“苏拉克”木马patch了系统的内核文件，因此挂钩此函数也不会引起蓝屏。　　图15.　　2)注册LoadImage回调，通过此回调函数，拦截指定sys文件加载，其拦截方式直接将DriverEntry初代码改成返回指令。　　图16.　　3)注册CmpCallback回调，对应注册表隐藏功能。　　图17.　　4)挂钩IofCallDriver、IoCreateFileSpecifyDeviceObjectHint，对应文件隐藏功能。　　图18.　　图19. 在x64版本的系统中，为了能够Hook内核，系统的内核文件被篡改　　4、上报模块行为：(MD5：ca0)　　tj.dll文件主要用于上报，其主要功能是收集机器信息、木马版本信息、木马配置信息等，使用RSA做非对称加密，将信息上传到服务端。　　图20.　　5、木马其它模块(插件)行为：　　1)ielock32.dll(MD5：fadb57ff6fbfaf5f7f09e83d0de4a2ed)用于锁定浏览器主页。该文件插入到explorer中，并通过挂钩进程创建函数，以添加命令行的方式锁主页。　　2)subooa.sys、suboob.sys、subooc.sys(MD5：e94faf79acceb)这三个驱动文件都会被加载到内核中，但只是一个空的工程，未见。　　四、传播渠道探索　　“苏拉克”直接植入到ghost系统镜像中，其传播渠道主要是通过推广ghost系统传播扩散。从10月份以来，反实验室监控到大量的传播带毒镜像的网站，此类网站一般伪装成“系统之家”网站，并通过搜索推广或者直接刷搜索引擎来使自身排名靠前。此外各大装机相关的论坛，布满了带毒ghost系统的推广帖，吸引大量网友上钩。　　图21. 伪装成系统之家的带毒ghost下载站　　图22. 通过广告或者刷排名来使自己排名靠前　　图23. 通过论坛发帖推广带毒ghost系统　　结语　　随着安全软件的普及和防护能力的强化，木马想绕过安全软件的防护深入用户系统变得非常困难，因此黑产从业者们想方设法让自己先于安全软件进入用户的系统，并借先入之机大肆破坏后来安装的安全软件，从而达到霸占用户电脑并利用用户电脑实现盈利的目的。近期，反病毒实验室对通过国内各大搜索引擎找“ghost”、“ghost xp”、“ghost win7”等关键词排名前10的ghost镜像全部进行分析，发现90%以上的ghost镜像都是带有木马的。建议用户选择正规渠道安装，通过下载ghost镜像安装系统虽然快速省事，但其安全性，确实很令人担忧。　　Ghost系统的确非常方便易用。但是网上流传的众多Ghost系统都是带后门或者病毒。“良心”一点的也是一堆预装流氓软件和锁定主页。。
网上的ghost系统 确实很复杂
提示: 作者被禁止或删除 内容自动屏蔽
还是正版放心。。。
特来看一下。。。。。。。。
太专业了，我学不来啊
谢谢楼主的提醒
谢谢提醒，注意一下
看看& && && && && &
特别进来学习一下
“苏拉克”木马是2015下半年来持续爆发的木马，其主要传播方式是直接在ghost镜像中植入木马，然后将ghost镜像上传到网站提供给用户下载～～
1、传播渠道隐蔽，由于该木马被直接植入到ghost镜像中，用户一安装系统就自带该木马，因此木马的传播过程完全不在监控中。
2、影响用户多，由于大量网站传播该类ghost镜像，且此类网站投入了大量推广费进行推广，普通用户通过搜索引擎找到的镜像下载站几乎全是带木马的。此类镜像涵盖了“雨林木风”、“深度技术”、“电脑公司”、“萝卜家园”、“番茄花园”等主流ghost。
3、难以清除，由于木马进入系统时间比安全软件早，掌握了主动权，对其后安装的安全软件做了大量的功能限制，使其大量功能无法正常使用，如安全防护无法开启、信任列表被恶意操作等，导致难以检测和清除木马。
4、对用户电脑安全威胁大，“苏拉克”木马除了锁定浏览器主页获利外，还会实时连接云端获取指令，能够下载其它木马到本地执行，给系统安全造成了极大的威胁。此外，针对64位系统，该木马还会修改系统内核文件，使得64位系统自带的驱动签名校验、内核防钩子等安全机制全部失效。
分析发现，90%以上的ghost镜像都是带有木马的～～
由于该木马的主要模块名为“surak.sys”，且通过分析得知该木马的项目名称即为“surak”，因此将其取名“苏拉克”木马。
“苏拉克”木马的功能主要分为4大模块，即内核Rootkit模块、应用层主体模块、应用层加载器模块、应用层上报模块。
模块分工明确，可扩充性强，配置灵活，且所有的通讯都使用高强度加密算法加密(AES & RSA)，该木马有xp版、win7版、win8版、win10版~~
通过各个模块分工协作，该木马完成了主页锁定、云端控制、插件下载、对抗安全软件等功能。
逛了这许久，何不进去瞧瞧？
Powered by
关注我们：我想问下gost系统的镜像有病毒么？听说不安全_百度知道
我想问下gost系统的镜像有病毒么？听说不安全
答题抽奖
首次认真答题后
即可获得3次抽奖机会，100%中奖。
Compassnet
来自电脑网络类芝麻团
Compassnet
采纳数：1972
获赞数：8947
参与团队：
你好，对于你的问题：1、一般网上比较常用的几个品牌的Ghost版系统是不带病毒的，但是也有一些系统镜像带有病毒2、安全与否，其实只需要使用杀毒软件检测一下就可以了，只要杀软不报毒，那么就是安全的，请放心使用3、Ghost版系统，建议使用纯净版的有其他问题欢迎到咨询，我们将竭诚为您服务！腾讯电脑管家企业平台：
纯净版东西太少我想要旗舰版
再说如果装系统系统报毒那系统都装失败了
你好，1、纯净版和旗舰版是两个概念，纯净版只针对于Ghost系统来说，一般Ghost系统分为纯净版和捆绑软件版两种；而旗舰版是微软公司发布软件时的版本，还有高级版、标准版、家庭版等等，旗舰版是最高级别的，所以你可以下载纯净版的旗舰版系统——如Windows7 旗舰版（Ghost纯净版）2、Ghost版系统下载下载都是ISO镜像，即使你购买的是光盘，也可以在使用前检测病毒，如果有病毒就不使用
旗舰版纯净版的内存不大吧
wi8.1有什么版
你好，1、旗舰版因为是最高版本，功能也最多，可能占用硬盘体积略微大一些，建议分区至少在50G以上，最好100G2、占用内存一般来说2G内存可以运行，4G或以上可以完美流畅运行3、Win8.1有核心板、专业版、企业版等几种，普通用户用核心板即可
如果你没有特殊需求，使用核心版即可！
北京瑞星信息技术股份有限公司
北京瑞星信息技术股份有限公司
瑞星公司主营业务为信息安全整体解决方案的研发、销售及相关增值服务。公司自成立以来一直专注于信息安全领域，以优质的产品和专业的“安全+”服务，向政府、企业及个人提供各类安全服务，帮助所有用户。
有的有有的没有，直接去系统之家下载一个老毛桃，直接放到U盘里面就可以了
本回答被网友采纳
whisky0723
whisky0723
采纳数：72
获赞数：232
源文件没有病毒就没问题
如电脑公司的版本，玉林之家和大白菜等等
理论上没问题，我用的大白菜
为你推荐：
其他类似问题
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。