教你如何手动查杀“幽灵(I-Worm.Ghost)”病毒(1) 最近有一款病毒甚是猖獗,那就是幽灵(I-Worm.Ghost),由于本人经常从网吧拷贝东西的缘故,我的电脑也于昨晚不幸中招。 此病毒的运行模式和显示症状大致如下:病毒第一次运行时,会把自己复制到Windows系统的FONTS目录下,文件名随机产生,以COM为后缀。当目录下的病毒得以运行时,它就会把自己复制到硬盘各分区的根目录下,文件名为“Windows.exe”和“Ghost.bat”,紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本,副本图标即为一个文件夹,文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的““Folder.htt”等病毒文件,这些文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统的运行速度变慢,更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件! 此种病毒在网络上经过一段时间的流传后已经出现了大量的变体,到目前为止大致有C、D、E、F、G、H、I等多种变体,每种变体的表现症状虽然各不相同,但其实也大同小异。 本人所感染的即为最新的N型变体病毒(I-Worm.Ghost.N),由于到目前为止网络上并未出现对此种变体的相关评述,且此种变体除了生成“Folder.htt”病毒文件外还生成一个特殊的“Nethood.htm”文件,加之本人ID的首字母也为N,故以N命名之。 由于I-Worm.Ghost出道的时间比较晚,加之变体繁多,因此到目前为止,国内除瑞星外的大部分杀毒软件都还无法对其进行查杀,本人所使用的升级版KILL更是不行,病毒入侵时报警系统毫无反应,进行全面查毒时又显示病毒数为0,真是辜负了我对它的信任。 相信国内的大部分网民都不是瑞星正版软件的用户,没法升级病毒库,但东方不亮西方亮,不能自动我们用手动,接下来我就向大家介绍一下手动杀毒的步骤。 说到手动杀毒大家都可能以为是电脑高手的专利,其实不然,象我这种比菜鸟高明不了多少的用户也能轻松做到对I-Worm.Ghost的手动查杀。在查杀之前,先给大家一个建议,大家可以先把电脑里和文件夹同名的EXE文件都改成异名,比如你的C:\Nexism目录下可能有个叫Nexism.exe的程序,你可以把他改成Nexism9.exe,这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉,异名的话它就没法覆盖了。 好了,接下来我们可以开始了,在这过程中不要乱点文件夹,否则前功尽弃。先打开“文件夹选项”这个对话框,把电脑设定为“显示所有文件(包括系统文件)”,并且让后缀名正常显示。由于这种病毒很狡猾,每隔一段时间它就会把设置改回到“不显示隐藏文件”和“不显示后缀名”的状态,所以在整个杀毒过程中你可能要重新设置好几回。不过由此可见病毒也是很心虚的哦。 接下来进入windows目录下的fonts文件夹,把那个后缀名为com的始作俑者删除掉,接着关闭所有窗口,从“开始”菜单里打开“查找”程序,在“我的电脑”这个范围中搜索“Windows.exe”,把查找到的文件直接在“查找”结果里全部删除,但不要打开它们,再用同样的方法查找删除“Ghost.bat”和“Folder.htt”,这三种病毒文件是所有变体都拥有的,至于其他的病毒文件你可以事先通过查看它们的建立时间来确定,有些删除以后一刷新就会重生且体积较小的一般都是病毒。比如我要查杀I-Worm.Ghost.N那我就得另外查找删除“Nethood.htm”这个文件。 把这些工作都搞定后先别高兴,因为还有一项更沉重的任务在等着我们。继续使用“查找”程序来查找“*.exe”,从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉,如果你的exe文件很多的话那这个工作就显得有些沉重了,不过也没办法,在这一过程中我们应该信奉这么一句话:那就是“宁可错杀一百,也不放过一个”。因为如果留有一个祸根在电脑里的话,总有一天它会被重新唤醒然后继续作恶。 当你辛辛苦苦做完这步工作后,我们的工作马上就要进入尾声了,但此时我们尤其不要乱点文件夹。直接按ALT+F4重启,转入DOS模式,运行SCANREG,然后选择一个在病毒感染前就备分好的注册表文件进行载入,这样做的原因是有些变体在感染时已经修改了你的注册表,如果你不重载注册表的话你一进入系统病毒又会重生。
