教你如何手动查杀“幽灵（I-Worm.Ghost）”病毒

台州

标题:如何手动查杀“幽灵（I-Worm.Ghost）”病毒
作者：Nexism@Taizhou（也就是俺）
　　
　　 最近有一款病毒甚是猖獗，那就是幽灵（I-Worm.Ghost），由于本人经常从网吧拷贝东西的缘故，我的电脑也于昨晚不幸中招。
　　 此病毒的运行模式和显示症状大致如下：病毒第一次运行时，会把自己复制到Windows系统的FONTS目录下，文件名随机产生，以COM为后缀。当目录下的病毒得以运行时，它就会把自己复制到硬盘各分区的根目录下，文件名为“Windows.exe”和“Ghost.bat”，紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本，副本图标即为一个文件夹，文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的““Folder.htt”等病毒文件，这些文件可以使目录被用户打开时病毒得以运行，大量病毒的复制使系统的运行速度变慢，更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件！
　　 此种病毒在网络上经过一段时间的流传后已经出现了大量的变体，到目前为止大致有C、D、E、F、G、H、I等多种变体，每种变体的表现症状虽然各不相同，但其实也大同小异。
　　 本人所感染的即为最新的N型变体病毒(I-Worm.Ghost.N)，由于到目前为止网络上并未出现对此种变体的相关评述，且此种变体除了生成“Folder.htt”病毒文件外还生成一个特殊的“Nethood.htm”文件，加之本人ID的首字母也为N，故以N命名之。
　　 由于I-Worm.Ghost出道的时间比较晚，加之变体繁多，因此到目前为止，国内除瑞星外的大部分杀毒软件都还无法对其进行查杀，本人所使用的升级版KILL更是不行，病毒入侵时报警系统毫无反应，进行全面查毒时又显示病毒数为0，真是辜负了我对它的信任。
　　 相信国内的大部分网民都不是瑞星正版软件的用户，没法升级病毒库，但东方不亮西方亮，不能自动我们用手动，接下来我就向大家介绍一下手动杀毒的步骤。
   说到手动杀毒大家都可能以为是电脑高手的专利，其实不然，象我这种比菜鸟高明不了多少的用户也能轻松做到对I-Worm.Ghost的手动查杀。在查杀之前，先给大家一个建议，大家可以先把电脑里和文件夹同名的EXE文件都改成异名，比如你的C:\\Nexism目录下可能有个叫Nexism.exe的程序，你可以把他改成Nexism9.exe，这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉，异名的话它就没法覆盖了。
　　 好了，接下来我们可以开始了，在这过程中不要乱点文件夹，否则前功尽弃。先打开“文件夹选项”这个对话框，把电脑设定为“显示所有文件（包括系统文件）”，并且让后缀名正常显示。由于这种病毒很狡猾，每隔一段时间它就会把设置改回到“不显示隐藏文件”和“不显示后缀名”的状态，所以在整个杀毒过程中你可能要重新设置好几回。不过由此可见病毒也是很心虚的哦。
　　 接下来进入windows目录下的fonts文件夹，把那个后缀名为com的始作俑者删除掉，接着关闭所有窗口，从“开始”菜单里打开“查找”程序，在“我的电脑”这个范围中搜索“Windows.exe”，把查找到的文件直接在“查找”结果里全部删除，但不要打开它们，再用同样的方法查找删除“Ghost.bat”和“Folder.htt”，这三种病毒文件是所有变体都拥有的，至于其他的病毒文件你可以事先通过查看它们的建立时间来确定，有些删除以后一刷新就会重生且体积较小的一般都是病毒。比如我要查杀I-Worm.Ghost.N那我就得另外查找删除“Nethood.htm”这个文件。
　　 把这些工作都搞定后先别高兴，因为还有一项更沉重的任务在等着我们。继续使用“查找”程序来查找“*.exe”，从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉，如果你的exe文件很多的话那这个工作就显得有些沉重了，不过也没办法，在这一过程中我们应该信奉这么一句话：那就是“宁可错杀一百，也不放过一个”。因为如果留有一个祸根在电脑里的话，总有一天它会被重新唤醒然后继续作恶。
　　 当你辛辛苦苦做完这步工作后，我们的工作马上就要进入尾声了，但此时我们尤其不要乱点文件夹。直接按ALT+F4重启，转入DOS模式，运行SCANREG，然后选择一个在病毒感染前就备分好的注册表文件进行载入，这样做的原因是有些变体在感染时已经修改了你的注册表，如果你不重载注册表的话你一进入系统病毒又会重生。
　　 好了，杀毒工作就这样完成了。重启电脑后你会发现系统正常如先。
　　
　　 对于病毒的预防我也有点心得，不如再花点口水介绍一下：
　　 1、最好不要把好友的邮件地址存在地址簿里，得罪人呀。
　　 2、不要随意打开附件，尤其是“这是一个关于美女的故事，请看附件吧”这种标题的邮件一定要随见随删。
　　 3、不要随便地从其他机上拷贝文件，尤其是陌生的机器。
　　 4、将机器设置为“显示所有文件”和“显示后缀名”，以便你随时掌握情况。
　　 5、随时关注各种杀毒软件的升级病毒库，相信各大软件商也会陆续推出升级包。
　　
　　 祝大家好运！

crazip

能不能介绍点更通用的方法，这个东西好像比较适合于这样的病毒，首先的步骤应该是看进程里面有多少异类吧。呵呵，至于那个文件夹，就是你杀毒软件的工作了，因此，我建议江民。

台州

这种病毒不在进程里运行的

crazip

其实我是想知道如何知道自己中了毒,是不是就是机器变慢了就考虑到了,即使如此,机器变慢的时候也有很多种情况,如何确定就是这种毒.

crazip

哎呀,我真是笨,其实楼主已经把症状都说了,不好意思呀.

台州

呵呵