最近在維護網吧客戶端的時候，發現客戶端總是被病毒穿透，查電腦沒發現病毒。上網查，原來是中了“鬼影”病毒，這個病毒真的是太利害了。

該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無文件、無系統啟動項、無進程模塊，比系統運行還早，結束所有殺毒軟件，下載av終結者，盜號木 馬，ie主頁修改等大量多品種病毒，最重要的是重裝系統都不能清除該病毒

癥狀：

1、該病毒偽裝為某共享軟件，欺騙用戶下載安裝。

病毒文件中包含3部分文件：

A、原正常的共享軟件。
B、“鬼影”病毒，修改系統引導區(mbr)，結束殺軟，下載AV終結者病毒。
C、捆綁IE首頁篡改器，修改用戶瀏覽器首頁，桌面添加多余的快捷方式。

2，“鬼影”病毒運行后，會釋放2個驅動到用戶電腦中，并加載。

3，驅動會修改系統的引導區（mbr)，并將b驅動寫入磁盤，保證病毒是優先于系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒加載入內存，但 找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。

4，病毒母體自刪除。

5，重啟系統后，存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統加載ntldr文件時，插入惡意代碼，使其加載寫入引 導區第五個扇區的b驅動。

6，b驅動加載起來后，會監視系統中的所有進程模塊，若存在安全軟件的進程，直接結束。

7，b驅動會下載av終結者到電腦中，并運行。

8，av終結者會修改系統文件，對安全軟件進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

現在的解決辦法是：

1、把還原服務器系統升級到最新

2、把客戶端格式化C盤后，在重裝系統之前，先用 fdisk/mbr 命令清除掉主引導區的病毒引導代碼，再把系統全部重做，系統補丁打到最新。

記住：如果只重做系統，沒有清除MBR，系統做好后也會很快中毒的。