望麓自卑—湖南大学最具潜力的校园传媒

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1624|回复: 5

教你如何手动查杀“幽灵(I-Worm.Ghost)”病毒

[复制链接]
发表于 2005-1-7 22:31:10 | 显示全部楼层 |阅读模式
标题:如何手动查杀“幽灵(I-Worm.Ghost)”病毒
作者:Nexism@Taizhou(也就是俺)
  
   最近有一款病毒甚是猖獗,那就是幽灵(I-Worm.Ghost),由于本人经常从网吧拷贝东西的缘故,我的电脑也于昨晚不幸中招。
   此病毒的运行模式和显示症状大致如下:病毒第一次运行时,会把自己复制到Windows系统的FONTS目录下,文件名随机产生,以COM为后缀。当目录下的病毒得以运行时,它就会把自己复制到硬盘各分区的根目录下,文件名为“Windows.exe”和“Ghost.bat”,紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本,副本图标即为一个文件夹,文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的““Folder.htt”等病毒文件,这些文件可以使目录被用户打开时病毒得以运行,大量病毒的复制使系统的运行速度变慢,更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件!
   此种病毒在网络上经过一段时间的流传后已经出现了大量的变体,到目前为止大致有C、D、E、F、G、H、I等多种变体,每种变体的表现症状虽然各不相同,但其实也大同小异。
   本人所感染的即为最新的N型变体病毒(I-Worm.Ghost.N),由于到目前为止网络上并未出现对此种变体的相关评述,且此种变体除了生成“Folder.htt”病毒文件外还生成一个特殊的“Nethood.htm”文件,加之本人ID的首字母也为N,故以N命名之。
   由于I-Worm.Ghost出道的时间比较晚,加之变体繁多,因此到目前为止,国内除瑞星外的大部分杀毒软件都还无法对其进行查杀,本人所使用的升级版KILL更是不行,病毒入侵时报警系统毫无反应,进行全面查毒时又显示病毒数为0,真是辜负了我对它的信任。
   相信国内的大部分网民都不是瑞星正版软件的用户,没法升级病毒库,但东方不亮西方亮,不能自动我们用手动,接下来我就向大家介绍一下手动杀毒的步骤。
   说到手动杀毒大家都可能以为是电脑高手的专利,其实不然,象我这种比菜鸟高明不了多少的用户也能轻松做到对I-Worm.Ghost的手动查杀。在查杀之前,先给大家一个建议,大家可以先把电脑里和文件夹同名的EXE文件都改成异名,比如你的C:\\Nexism目录下可能有个叫Nexism.exe的程序,你可以把他改成Nexism9.exe,这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉,异名的话它就没法覆盖了。
   好了,接下来我们可以开始了,在这过程中不要乱点文件夹,否则前功尽弃。先打开“文件夹选项”这个对话框,把电脑设定为“显示所有文件(包括系统文件)”,并且让后缀名正常显示。由于这种病毒很狡猾,每隔一段时间它就会把设置改回到“不显示隐藏文件”和“不显示后缀名”的状态,所以在整个杀毒过程中你可能要重新设置好几回。不过由此可见病毒也是很心虚的哦。
   接下来进入windows目录下的fonts文件夹,把那个后缀名为com的始作俑者删除掉,接着关闭所有窗口,从“开始”菜单里打开“查找”程序,在“我的电脑”这个范围中搜索“Windows.exe”,把查找到的文件直接在“查找”结果里全部删除,但不要打开它们,再用同样的方法查找删除“Ghost.bat”和“Folder.htt”,这三种病毒文件是所有变体都拥有的,至于其他的病毒文件你可以事先通过查看它们的建立时间来确定,有些删除以后一刷新就会重生且体积较小的一般都是病毒。比如我要查杀I-Worm.Ghost.N那我就得另外查找删除“Nethood.htm”这个文件。
   把这些工作都搞定后先别高兴,因为还有一项更沉重的任务在等着我们。继续使用“查找”程序来查找“*.exe”,从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉,如果你的exe文件很多的话那这个工作就显得有些沉重了,不过也没办法,在这一过程中我们应该信奉这么一句话:那就是“宁可错杀一百,也不放过一个”。因为如果留有一个祸根在电脑里的话,总有一天它会被重新唤醒然后继续作恶。
   当你辛辛苦苦做完这步工作后,我们的工作马上就要进入尾声了,但此时我们尤其不要乱点文件夹。直接按ALT+F4重启,转入DOS模式,运行SCANREG,然后选择一个在病毒感染前就备分好的注册表文件进行载入,这样做的原因是有些变体在感染时已经修改了你的注册表,如果你不重载注册表的话你一进入系统病毒又会重生。
   好了,杀毒工作就这样完成了。重启电脑后你会发现系统正常如先。
  
   对于病毒的预防我也有点心得,不如再花点口水介绍一下:
   1、最好不要把好友的邮件地址存在地址簿里,得罪人呀。
   2、不要随意打开附件,尤其是“这是一个关于美女的故事,请看附件吧”这种标题的邮件一定要随见随删。
   3、不要随便地从其他机上拷贝文件,尤其是陌生的机器。
   4、将机器设置为“显示所有文件”和“显示后缀名”,以便你随时掌握情况。
   5、随时关注各种杀毒软件的升级病毒库,相信各大软件商也会陆续推出升级包。
  
   祝大家好运!
发表于 2005-1-7 22:35:09 | 显示全部楼层
能不能介绍点更通用的方法,这个东西好像比较适合于这样的病毒,首先的步骤应该是看进程里面有多少异类吧。呵呵,至于那个文件夹,就是你杀毒软件的工作了,因此,我建议江民。
 楼主| 发表于 2005-1-7 22:46:35 | 显示全部楼层
这种病毒不在进程里运行的
发表于 2005-1-7 23:01:57 | 显示全部楼层
其实我是想知道如何知道自己中了毒,是不是就是机器变慢了就考虑到了,即使如此,机器变慢的时候也有很多种情况,如何确定就是这种毒.
发表于 2005-1-7 23:09:29 | 显示全部楼层
哎呀,我真是笨,其实楼主已经把症状都说了,不好意思呀.
 楼主| 发表于 2005-1-8 19:56:35 | 显示全部楼层
呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

每日推荐上一条 /1 下一条

小黑屋|手机版|湖南大学望麓自卑校园传媒 ( 湘ICP备14014987号 )

GMT+8, 2024-11-24 08:47 , Processed in 1.001685 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表