最近在维护网吧客户【ba kè hù】端的时候，发现客🚪户端总🏋是被病【shì bèi bìng】毒穿透，查电脑【chá diàn nǎo】📵没发现【méi fā xiàn】🌍病毒【bìng dú】。上网查【shàng wǎng chá】🈴，原来是中了【zhōng le】“鬼影🎒”病毒【bìng dú】，这个病毒【bìng dú】真的是太利害了🍘。

该病毒🌧一旦进🍁入电脑，就像恶【jiù xiàng è】魔一样，隐藏在系统之🚑外【wài】，无文件、无系统启动项、无进程🤡模块，比系统运行还🧓早【zǎo】，结束所【jié shù suǒ】有杀毒【yǒu shā dú】🧟软件♟，下载🔵av终结者，盗号木🌮 马【mǎ】，ie主页修【zhǔ yè xiū】改等大量多品种病毒【zhǒng bìng dú】，最重要的是重【de shì chóng】装系统🛃都不能清除该【qīng chú gāi】病毒🌧

症状：

1、该病毒【gāi bìng dú】伪装为🐦某共享软件，欺骗用🍏户下载【hù xià zǎi】安装【ān zhuāng】🛥。

病毒文件中包含3部分文件：

A、原正常的共享软件【ruǎn jiàn】。
B、“鬼影”病毒【bìng dú】♟，修改系🆗统引导区😫(mbr)，结束杀✳软【ruǎn】，下载AV终结者病毒【bìng dú】♟。
C、捆绑IE首页篡改器，修改用【xiū gǎi yòng】户浏览【hù liú lǎn】器首页🌆，桌面添🍚加多余的快捷【de kuài jié】⛓方式【fāng shì】。

2，“鬼影【guǐ yǐng】”病毒运📁行后，会释放2个驱动【gè qū dòng】到用户🕒电脑中，并加载【bìng jiā zǎi】💧。

3，驱动会修改系统的引【tǒng de yǐn】🦖导区（mbr)，并将b驱动写【qū dòng xiě】入磁盘🏘，保证病毒是优✖先于系🔕统启动💱，且病毒文件🛢保存【bǎo cún】🌾在系统【zài xì tǒng】之外🚽。这样进【zhè yàng jìn】入系统【rù xì tǒng】后，病毒加载入内存【cún】🌾，但 找不到【zhǎo bú dào】任何启【rèn hé qǐ】动项🔼、找不到【zhǎo bú dào】病毒文件🛢、在进程💓中找不到【zhǎo bú dào】任何进程模【jìn chéng mó】块【kuài】。

4，病毒母体自删除。

5，重启系统后【tǒng hòu】🤬，存在在引导区🏞中的恶【zhōng de è】意代码😷会对windows系统的【xì tǒng de】整个启【zhěng gè qǐ】😎动过程进行监控，发现系⬅统加载【tǒng jiā zǎi】ntldr文件时，插入恶【chā rù è】🍱意代码😷，使其加【shǐ qí jiā】🐄载写入引🖲 导区第五个扇【wǔ gè shàn】区的b驱动。

6，b驱动加【qū dòng jiā】🍒载起来🍍后，会监视【huì jiān shì】系统中【xì tǒng zhōng】的所有进程【jìn chéng】💛模块，若存在🛰安全软【ān quán ruǎn】🛏件的进程【jìn chéng】💛，直接结束。

7，b驱动会下载🎊av终结者【zhōng jié zhě】到电脑中【zhōng】🥉，并运行。

8，av终结者会修改【huì xiū gǎi】🐄系统文🔴件，对安全⏺软件进【ruǎn jiàn jìn】程添加大量的映像劫持，下载大【xià zǎi dà】量的盗🥠号木马【hào mù mǎ】。进一步盗取用【dào qǔ yòng】😖户的虚【hù de xū】👮拟财产。

现在的解决办法是：

1、把还原服务器系统升级到最新

2、把客户【bǎ kè hù】🎸端格式🔘化C盘后，在重装🐉系统之前，先用 fdisk/mbr 命令清【mìng lìng qīng】除掉主【chú diào zhǔ】👋引导区的病毒引导代🔨码，再把系统全部【tǒng quán bù】重做，系统补【xì tǒng bǔ】丁打到【dīng dǎ dào】最新😕。

记住【jì zhù】：如果只重做系统，没有清【méi yǒu qīng】💰除【chú】MBR，系统做🚃好后也会很快中毒的🍧。