【经验贴】当新手遇到：新鬼影病毒@@@

会员323517

  本文绝对原创，

如转载，请标明出处及作者，谢谢！

终于体会到了鬼影病毒的厉害，但是再厉害也有解决的方法。

今天客户拿来一台机器，说机器不好用了，好像有病毒，客户自己重做系统也不好使，

拿来检查，发现桌面有一个名为“淘宝网”的快捷方式，而且桌面还多了一个IE图标，开机自动弹出网页。

将两个图标删除，出现了错误，检查发现有一个名字为“nat.exe”的进程，

将此进程结束，图标顺利删除，重新启动，发现桌面再次出现了这两个图标，

再次删除，再次重启，还是继续出现。

**想了想思路，检查一下启动项，

发现有一个，名为“nat.exe”的可以启动项，将其禁止启动，保存---重启

发现桌面仍然继续出现两个图标，再检查启动项，发现又出现一个"nat.exe"的启动项，

然而在它的下面有一个刚刚被禁止启动的“nat.exe”,但是，它并没有打勾

由此可知，病毒在每次开机的时候自动生成启动项和图标，

到此，建议客户重新安装系统，客户同意。

**进入PE，将C盘格式化，重新GHO系统，

系统安装一切顺利，安装完毕---重启

开机发现桌面竟然出现了之前的两个图标，一个“淘宝网”，一个IE图标

而且，开机之后，自己会弹出来一个网页，

检查发现进程里面和启动项又一次出现”nat.exe“的身影。

这可是第一次遇见这样的问题，这病毒可真强，

**这怎么办呢，网上查一下，找到点思路，

用360安全卫士修复一下，立刻蓝屏。

用另一种方法，替换windows目录下的"nat.exe"文件，

建立一个空文件，保存名称为“nat.exe”并设置为“只读”

结束nat.exe进程，并替换windows目录下的 nat.exe文件，

然后将桌面图标删除，禁用启动项---重启

发现进入系统不再弹出网页，而且桌面也不在生成图标。

**至此，应该是解决了，但是这种病毒是写在分区表里面的，

无论如何格式化，删除分区，都没有用处，

只有重新建立MBR，或者修复分区表。

**最后帮客户把硬盘分区全部删除，重新建立MBR，安装系统

没有出现以上问题。

**希望各位基地的朋友，遇到此类问题不要慌，静下心捋顺一下思路。适当的话到网上查查相关资料，希望这个经验能与大家分享，望转载的朋友留下署名谢谢！


最后希望各位朋友，如果觉得有用，请收藏，支持一下@@！

会员329741

真的有那麽牛吗？？？用其他的杀毒软件试了没有，我不相信还有杀不了的病毒》》》》

会员323517

回复 hfcm2008 的帖子

杀过了，没用，因为他是写在主引导里面的。听说金山好像有专杀，不过没有尝试。

会员329741

不过还是O(∩_∩)O谢谢你的思路，

会员275381

恩恩·我也遇到过·我比你还点·直接重新安装，在使用360修复就可以了··

会员123888

用分区软件直接重写MBR就OK了,进系统再查杀病毒!其实360急救箱就可以解决这个问题!

会员253739

金山卫士可以杀掉的！

会员248698

在中鬼影毒不是很严重的时候可以用金山来杀。。。

会员199158

进pe后重写mbr，清每个盘下的auto病毒，紧接着就在pe下ghost系统，ghost完系统并安装后第一时间随便装个杀毒扫描整个硬盘。搞定收工收钱。

会员329383

最多GHOST完的时候重建MBR就是了。根本用不做全格盘。

会员227477

我用360解决了啊

会员43303

以前听客户说过有这么回事，但没遇到过，以为他忽悠我，看来是真的哦！谢谢楼主分享宝贵经验

会员184330

真正的鬼影病毒好像比这个厉害！！！

会员237416

如果有种病毒就算你全格式化再分区都还存在的话，那就牛了

会员327581

用金山急救箱可以解决

会员325799

数据不重要么  ？

会员326369

這個真的是一個好用的常識.感謝樓主您無私的分享!

会员228569

没有那么复杂吧，用360里的系统急救箱应该就可以

会员323517

回复 疯子蚁 的帖子

数据的问题，已经和客户协商好了！

会员280845

楼主，你这已经是很省心的了，我遇到过啊，重装系统不行，重新分区不行，最后低格了才行的。从下午4点一直装到晚上8点，每次重装都出淘宝网和一个IE。到现在不明白什么原因啊