大石桥联通电话:病毒!!!!

转贴

（我见过的大部分电脑上都有这种病毒，你可以去查下你的电脑，设成“显示所有文件”）

最近有一款病毒甚是猖獗，那就是幽灵（I-Worm.Ghost），由于本人经常在龙王港网吧拷贝东西的缘故，我的电脑也于昨晚不幸中招。
此病毒的运行模式和显示症状大致如下：病毒第一次运行时，会把自己复制到Windows系统的FONTS目录下，文件名随机产生，以COM为后缀。当目录下的病毒得以运行时，它就会把自己复制到硬盘各分区的根目录下，文件名为“Windows.exe”和“Ghost.bat”，紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本，副本图标即为一个文件夹，文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自己的““Folder.htt”等病毒文件，这些文件可以使目录被用户打开时病毒得以运行，大量病毒的复制使系统的运行速度变慢，更为严重的是病毒会通过Outlook的邮件地址列表向你的好友发送病毒邮件！
此种病毒在网络上经过一段时间的流传后已经出现了大量的变体，到目前为止大致有C、D、E、F、G、H、I等多种变体，每种变体的表现症状虽然各不相同，但其实也大同小异。
本人所感染的即为最新的N型变体病毒(I-Worm.Ghost.N)，由于到目前为止网络上并未出现对此种变体的相关评述，且此种变体除了生成“Folder.htt”病毒文件外还生成一个特殊的“Nethood.htm”文件，加之本人ID的首字母也为N，故以N命名之。
由于I-Worm.Ghost出道的时间比较晚，加之变体繁多，因此到目前为止，国内除瑞星外的大部分杀毒软件都还无法对其进行查杀，本人所使用的升级版KILL更是不行，病毒入侵时报警系统毫无反应，进行全面查毒时又显示病毒数为0，真是辜负了我对它的信任。
相信国内的大部分网民都不是瑞星正版软件的用户，没法升级病毒库，但东方不亮西方亮，不能自动我们用手动，接下来我就向大家介绍一下手动杀毒的步骤。
在查杀之前，先给大家一个建议，大家可以先把电脑里和文件夹同名的EXE文件都改成异名，比如你的C:\Nexism目录下可能有个叫Nexism.exe的程序，你可以把他改成Nexism9.exe，这样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉，异名的话它就没法覆盖了。
好了，接下来我们可以开始了，在这过程中不要乱点文件夹，否则前功尽弃。先打开“文件夹选项”这个对话框，把电脑设定为“显示所有文件（包括系统文件）”，并且让后缀名正常显示。由于这种病毒很狡猾，每隔一段时间它就会把设置改回到“不显示隐藏文件”和“不显示后缀名”的状态，所以在整个杀毒过程中你可能要重新设置好几回。不过由此可见病毒也是很心虚的哦。
接下来进入windows目录下的fonts文件夹，把那个后缀名为com的始作俑者删除掉，接着关闭所有窗口，从“开始”菜单里打开“查找”程序，在“我的电脑”这个范围中搜索“Windows.exe”，把查找到的文件直接在“查找”结果里全部删除，但不要打开它们，再用同样的方法查找删除“Ghost.bat”和“Folder.htt”，这三种病毒文件是所有变体都拥有的，至于其他的病毒文件你可以事先通过查看它们的建立时间来确定，有些删除以后一刷新就会重生且体积较小的一般都是病毒。比如我要查杀I-Worm.Ghost.N那我就得另外查找删除“Nethood.htm”这个文件。
把这些工作都搞定后先别高兴，因为还有一项更沉重的任务在等着我们。继续使用“查找”程序来查找“*.exe”，从查找结果中把那些图标为文件夹但又和所属目录同名的exe文件一一找出来删掉，如果你的exe文件很多的话那这个工作就显得有些沉重了，不过也没办法，在这一过程中我们应该信奉这么一句话：那就是“宁可错杀一百，也不放过一个”。因为如果留有一个祸根在电脑里的话，总有一天它会被重新唤醒然后继续作恶。
当你辛辛苦苦做完这步工作后，我们的工作马上就要进入尾声了，但此时我们尤其不要乱点文件夹。直接按ALT+F4重启，转入DOS模式，运行SCANREG，然后选择一个在病毒感染前就备分好的注册表文件进行载入，这样做的原因是有些变体在感染时已经修改了你的注册表，如果你不重载注册表的话你一进入系统病毒又会重生。
好了，杀毒工作就这样完成了。重启电脑后你会发现系统正常如先。
对于病毒的预防我也有点心得，不如再花点口水介绍一下：
1、最好不要把好友的邮件地址存在地址簿里，得罪人呀。
2、不要随意打开附件，尤其是“这是一个关于美女的故事，请看附件吧”这种标题的邮件一定要随见随删。
3、不要随便地从其他机上拷贝文件，尤其是陌生的机器。
4、将机器设置为“显示所有文件”和“显示后缀名”，以便你随时掌握情况。
5、随时关注各种杀毒软件的升级病毒库，相信各大软件商也会陆续推出升级包。

由于I-Worm.Ghost出道的时间比较晚，加之变体繁多，因此到目前为止，国内除瑞星外的大部分杀毒软件都还无法对其进行查杀，本人所使用的升级版KILL更是不行，病毒入侵时报警系统毫无反应，进行全面查毒时又显示病毒数为0，真是辜负了我对它的信任。
相信国内的大部分网民都不是瑞星正版软件的用户，没法升级病毒库，但东方不亮西方亮，不能自动我们用手动，接下来我就向大家介绍一下手动杀毒的步骤。

看来瑞星还是不错的..
推荐使用瑞星杀毒软件
ftp://ftp.cupl.edu.cn/装机常用工具/

先关掉你的杀毒软件吧！
打开记事本，用记事本打开C:\windows\web\folder.htt（别用资源管理器去打开！）
进行免疫：在文件注释中加上：vbscript:KJ_start()就行了（"
再在它就不会再传染了，打开你的杀毒软件吧再杀吧。

技术特征：
——————————————————
病毒利用Explorer打开文件夹时自动执行desktop.ini,folder.htt的功能（漏洞吧），在folder.htt中加入恶意代码进行传播破坏。
默认执行C:\windows\web\folder.htt。
病毒会检查folder.htt是否有KJ_start()字符串，如无就进行感染，有就跳过，所以，在C:\windows\web\folder.htt中加上KJ_start()字符串就有了免疫功能。
普通杀毒软件只进行杀毒，并没有进行免疫！所以你下次还会中招！但现在不会了。

（病毒编写者很容易更换这个字符串，看着办吧。“C:\windows”是你安装windows的默认路径。）

folder.htt等文件的问题
Q12.2：最近在我的电脑的所有文件夹中出现了这样两个文件esktop.ini、folder.htt，怎么也删不去。有人说是病毒，把系统和别的分区全格式化了就好了。可是我的东西全都有用，不能格式化的，请问怎么办？
A：你的电脑可能是感染了VBS.KJ脚本病毒。该病毒采用VBScript语言编写，在互联网上通过电子邮件进行传播，也可以通过文件感染；感染后的机器系统资源被大量消耗，速度变慢；利用Windows系统的“资源管理器”进行寄生与感染。在每个检查到的文件夹下生成desktop.ini和folder.htt文件(隐藏属性)。并且，该病毒还会修改注册表的许多键值。手工删除比较困难，建议采用杀毒软件杀毒，这样可以避免格式化你的硬盘，保护你的数据。金山公司反病毒应急处理中心的《新欢乐时光》专杀工具效果比较好，并提供免费下载，下载链接ftp://www.iduba.net/download/othertools/scanvbskj.exe大小仅56KB！

I-Worm/Xgtray

你可以去瑞星官方网站查一查

文件本身不是病毒.估计是被感染了.