最近在維護網吧客戶端（duān）的時候，發現客戶端總是被病毒穿透，查電腦沒發現病毒。上網查，原來（lái）是中了“鬼影”病毒，這個病（bìng）毒真的是（shì）太利害了。

該病毒一旦進入電腦，就像惡魔一樣，隱藏在係統之外，無文件、無係統啟動項、無（wú）進程模塊，比係統運行（háng）還早，結束所有殺毒軟（ruǎn）件，下載av終結者，盜號木 馬，ie主頁修（xiū）改等大量多品種病毒，最重要的是重裝係統都不能（néng）清除該（gāi）病毒

症狀：

1、該病毒偽裝為某共享（xiǎng）軟件，欺騙用戶下載安裝。

病毒文件中（zhōng）包含3部（bù）分文件：

A、原正常的共享軟件。
B、“鬼影（yǐng）”病毒，修改係統引導區(mbr)，結束殺軟，下（xià）載AV終結者病毒。
C、捆（kǔn）綁IE首頁篡（cuàn）改器，修改用戶（hù）瀏覽器首頁，桌麵添加多餘的快捷方式。

2，“鬼影”病毒運行後，會（huì）釋放2個驅動到用戶電腦中，並加載（zǎi）。

3，驅動會修改係統的引導區（mbr)，並將b驅動寫入磁盤（pán），保證病毒是優先於係統啟動，且病毒（dú）文件保存在係統之外。這樣進入係統後，病毒加載入內存（cún），但 找不到（dào）任何（hé）啟動（dòng）項、找不到病毒文件、在進程中找不到任何（hé）進程模塊。

4，病毒母體自刪除。

5，重啟係統（tǒng）後（hòu），存在在引導（dǎo）區中（zhōng）的惡意代碼會對windows係統（tǒng）的整個啟動過程進行監控，發現係統加（jiā）載（zǎi）ntldr文件（jiàn）時，插入（rù）惡意代碼，使（shǐ）其加載（zǎi）寫入引 導區第五個扇區的b驅（qū）動（dòng）。

6，b驅動加載起（qǐ）來後，會監視係統中的所有進程模塊，若存在安（ān）全軟件（jiàn）的進程，直接結（jié）束。

7，b驅動會下載av終結者到（dào）電腦中，並運（yùn）行。

8，av終結者會修改係統文件，對安全軟件進程添加大量的映像劫持（chí），下載大量的（de）盜號木馬（mǎ）。進一（yī）步盜取用（yòng）戶的虛擬財產。

現在的解（jiě）決辦法是：

1、把還原服務器（qì）係統升級到最新

2、把客戶端格式化（huà）C盤後，在重裝（zhuāng）係統之前，先（xiān）用 fdisk/mbr 命令清除掉（diào）主引導區的病毒引導（dǎo）代碼（mǎ），再把係統全部重做，係統補丁打到（dào）最新。

記住：如果隻重做係統，沒有清除MBR，係統（tǒng）做好後也會很快中毒的。