中“鬼影”病毒的解决办法

最近在网吧维护客户端的时候，发现客户端总是被病毒渗透，但是电脑里没有发现病毒。上网一查，原来是“幽灵”病毒，真的太厉害了。

病毒一旦进入电脑，就像恶魔一样躲在系统之外，没有文件，没有系统启动项，没有进程模块，比系统运行还要早。停止所有杀毒软件，下载av终结者，盗号木马，ie主页修改等诸多病毒，而且最重要的是重装系统也无法清除病毒。

症状：

1.该病毒伪装成共享软件，欺骗用户下载安装。

病毒文件包含三个部分：

a、原始的普通共享软件。

b“幽灵”病毒，修改系统引导区(mbr)，结束软件查杀，下载AV终结者病毒。

c、绑定IE主页篡改，修改用户浏览器的主页，在桌面添加多余的快捷方式。

2.“Ghost”病毒运行后，会释放2个驱动程序到用户的电脑上并加载。

3.驱动会修改系统的引导扇区(mbr)，将B驱动写入磁盘，这样可以保证病毒优先于系统启动，病毒文件被保存在系统之外。通过这种方式进入系统后，病毒被加载到内存中，但在进程中找不到启动项、病毒文件和进程模块。

4.病毒妈妈自我删除。

5.系统重启后，存在于引导区的恶意代码会监控windows系统的整个引导过程。当发现系统加载ntldr文件时，就插入恶意代码加载写在引导区第五扇区的B驱动。

6.加载B驱动程序后，它将监控系统中的所有进程模块。如果有安全软件的过程，那就直接结束。

7、B驱动会下载av终结者到电脑上运行。

8.av终结者会修改系统文件，给安全软件进程添加大量的镜像劫持，下载大量的盗号木马。进一步窃取用户的虚拟财产。

现在的解决方案是：

1.将恢复服务器系统升级到最新版本。

2.客户端格式化到c盘后，重装系统前，先用fdisk/mbr命令清除主引导区的病毒引导代码，然后重做所有系统，更新系统补丁。

切记：如果只重做系统而不清除MBR，系统做完不久就会中毒。