台湾马盖先 北京:这是什么病毒

用Ghost备份和恢复系统视频教程
http://down.htcnc.net/Software/catalog29/1276.html

Windows是系统文件

文件夹里面老是多了个window和Ghost文件
文章来源：http://wiki.sina.com.cn/b/4740377.html

此病毒的运行模式和显示症状大致如下：病毒第一次运行时，会把自己复制到
Windows系统的FONTS目录下，文件名随机产生，以COM为后缀。当目录下的病毒得以运行
时，它就会把自己复制到硬盘各分区的根目录下，文件名为“Windows.exe”和“
Ghost.bat”，紧接着它会在硬盘绝大多数的文件夹里释放一个EXE格式的副本，副本图
标即为一个文件夹，文件名跟所在的目录名相同。病毒在复制自己的同时会生成病毒自
己的““Folder.htt”等病毒文件，这些文件可以使目录被用户打开时病毒得以运行，
大量病毒的复制使系统的运行速度变慢，更为严重的是病毒会通过Outlook的邮件地址列
表向你的好友发送病毒邮件！
此种病毒在网络上经过一段时间的流传后已经出现了大量的变体，到目前为止大致
有C、D、E、F、G、H、I等多种变体，每种变体的表现症状虽然各不相同，但其实也大同
小异。
你所感染的即为最新的N型变体病毒(I-Worm.Ghost.N)，由于到目前为止网络上并未
出现对此种变体的相关评述，且此种变体除了生成“Folder.htt”病毒文件外还生成一
个特殊的“Nethood.htm”文件，加之本人ID的首字母也为N，故以N命名之。
由于I-Worm.Ghost出道的时间比较晚，加之变体繁多，因此到目前为止，国内除瑞
星外的大部分杀毒软件都还无法对其进行查杀，本人所使用的升级版KILL更是不行，病
毒入侵时报警系统毫无反应，进行全面查毒时又显示病毒数为0。
相信国内的大部分网民都不是瑞星正版软件的用户，没法升级病毒库，但东方不亮西方
亮，不能自动我们用手动，接下来我就介绍一下手动杀毒的步骤。
在查杀之前，先提一个建议，先把电脑里和文件夹同名的EXE文件都改成异名，比如
你的C:\Nexism目录下可能有个叫Nexism.exe的程序，你可以把他改成Nexism9.exe，这
样做的好处是防止病毒入侵时把你的同名EXE文件覆盖掉，异名的话它就没法覆盖了。
好了，接下来可以开始了，在这过程中不要乱点文件夹，否则前功尽弃。先打开“文件
夹选项”这个对话框，把电脑设定为“显示所有文件（包括系统文件）”，并且让后缀
名正常显示。由于这种病毒很狡猾，每隔一段时间它就会把设置改回到“不显示隐藏文
件”和“不显示后缀名”的状态，所以在整个杀毒过程中你可能要重新设置好几回。不
过由此可见病毒也是很心虚的哦。
接下来进入windows目录下的fonts文件夹，把那个后缀名为com的始作俑者删除掉，
接着关闭所有窗口，从“开始”菜单里打开“查找”程序，在“我的电脑”这个范围中
搜索“Windows.exe”，把查找到的文件直接在“查找”结果里全部删除，但不要打开它
们，再用同样的方法查找删除“Ghost.bat”和“Folder.htt”，这三种病毒文件是所有
变体都拥有的，至于其他的病毒文件你可以事先通过查看它们的建立时间来确定，有些
删除以后一刷新就会重生且体积较小的一般都是病毒。比如我要查杀I-Worm.Ghost.N那
我就得另外查找删除“Nethood.htm”这个文件。
把这些工作都搞定后先别高兴，因为还有一项更沉重的任务在等着我们。继续使用“查
找”程序来查找“*.exe”，从查找结果中把那些图标为文件夹但又和所属目录同名的
exe文件一一找出来删掉，如果你的exe文件很多的话那这个工作就显得有些沉重了，不
过也没办法，在这一过程中我们应该信奉这么一句话：那就是“宁可错杀一百，也不放
过一个”。因为如果留有一个祸根在电脑里的话，总有一天它会被重新唤醒然后继续作
恶。
当你辛辛苦苦做完这步工作后，我们的工作马上就要进入尾声了，但此时我们尤其
不要乱点文件夹。直接按ALT+F4重启，转入DOS模式，运行SCANREG，然后选择一个在病
毒感染前就备分好的注册表文件进行载入，这样做的原因是有些变体在感染时已经修改
了你的注册表，如果你不重载注册表的话你一进入系统病毒又会重生。
好了，杀毒工作就这样完成了。重启电脑后你会发现系统正常如先。