最近在维护网吧客户端的时候，发现客户端总是被病毒穿透，查电脑没发现病毒。上网查，原来是中了“鬼影”病毒，这个病毒真的是太利害了。

该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木 马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒

症状：1、该病毒伪装为某共享软件，欺骗用户下载安装。

病毒文件中包含3部分文件：

A、原正常的共享软件。
B、“鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。
C、捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。

2，“鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。

3，驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但 找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

4，病毒母体自删除。

5，重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引 导区第五个扇区的b驱动。

6，b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

7，b驱动会下载av终结者到电脑中，并运行。

8，av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗用户的虚拟财产。

现在的解决办法是：
1、把还原服务器系统升级到最新，
2、把客户端格式化C盘后，在重装系统之前，先用 fdisk/mbr 命令清除掉主引导区的病毒引导代码，再把系统全部重做，系统补丁打到最新。
记住：如果只重做系统，没有清除MBR，系统做好后也会很快中毒的。