|
 | 作者: o01 [o01]
 论坛用户 |
登录 |
| 我的电脑经常出现每个文件夹都有desktop和folder文件,听说是病毒,但没法杀掉。哪位高人能帮个忙吗。我的操作系统是win 2000,在局域没去网工作。 |
| 地主 发表时间: 12/10 23:40 |
 | 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
新欢乐时光 金山毒霸有专杀工具 |
| B1层 发表时间: 12/11 00:01 |
 | 回复: fqjpower [fqjpower]  论坛用户 |
登录 |
|
ftp://iduba.net/download/othertools/ScanVBSKJ.EXE ---- 专杀工具 http://www.commandcom.com.cn/cod/cod.htm ------ 很不错的在线杀毒工具(需要安装) |
| B2层 发表时间: 12/11 11:19 |
| 回复: hkxiaolin [hkxiaolin]  论坛用户 |
登录 |
|
这是我写的,手工清除方法! 病毒特征: Folder.htt文件在我们的计算机中是应该存在的,其大小应为11KB~13KB,在染毒之后,该文件的大小会变成23K。 在Windows默认的情况下,我们使用的“资源管理器”或“我的电脑”是以“按Web页”方式浏览硬盘的,在这种方式下一旦浏览到染毒目录,病毒就自动被激活,激活后病毒会常住内存,监视用户对计算机的操作情况,每当用户“按Web页”方式打开一个文件夹时,该病毒会检测此文件夹是否被感染过(目录下是否存在Folder.htt和Desktop.ini),如果已感染则不会进行重复感染;若未被感染,该病毒则会将自己复制一份并存入此目录。如此往复直至“占领”每一个文件夹。 传播途径: 该病毒最早是通过电子邮件进行传播的,但实际上它仍然可通过传统媒介传播(磁盘、光盘),而且该病毒在利用软盘传播方面表现的相当“出色”。 病毒机理: 感染前,我们电脑的C:\WINDOWS\、C:\WINDOWS\SYSTEM\、C:\WINDOWS\SYSTEM32\、C:\WINDOWS\WEB\和C:\Program Files\这五个目录下都有Folder.htt和Desktop.ini两个文件。 首次感染时,病毒会先在C:\WINDOWS\WEB\目录下Folder.htt文件的起始部分加入一段 “<!-- * This file was automatically generated by Microsoft Internet Explorer 4.0 * using the file %THISDIRPATH%\folder.htt (if customized) or * %TEMPLATEDIR%\folder.htt (if not customized). -->” 在该文件的结尾部分还会加入一大堆“乱字符”,其实,这些“乱字符”是VBScript语言。 然后会在同目录下的Desktop.ini中加入一段 “[{5984FFE0-28D4-11CF-AE66-08002B2E1262}] PersistMoniker=file://Folder.htt” 接下来会在C:\WINDOWS\下生成一个“kernel.dll”文件,并在注册表中加入一条指向该文件的相关键值以保证每次都能随计算机启动。至此,病毒寄生成功。 最后,该病毒还会在C:\WINDOWS\SYSTEM32\和C:\WINDOWS\WEB\目录下各生成一个kjwall.gif文件,这两个文件分别是Folder.htt和Desktop.ini的备份,用记事本一看便知。 当您再以“按Web页”形式浏览任何目录时,病毒就会对其目录进行感染! 危害: 目前为止,我还没有发现该病毒具有何种破坏能力,但当该病毒被激活后会常住内存,并且会不断自我复制,直至耗尽系统资源! 手工清除: 1.打开资源管理器,单击“查看”菜单,将“按Web页”前的“对钩”去掉。然后再选择“查看”菜单下的“文件夹选项”,选择“查看”选项卡,然后单击“与当前文件夹类似”,“确定”并退出该窗口! 2.在“开始”菜单的“运行”中输入“regedi”启动注册表编辑器,找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下的一个名叫“kernel”并指向C:\windows\system\kernel.dll的键值,将其清除,然后重新启动计算机。 3.接下来是要删除C:\windows\system\目录下的kernel.dll,然后分别删除C:\WINDOWS\SYSTEM32\和C:\WINDOWS\WEB\目录下的kjwall.gif文件。 4.用记事本分别打开C:\WINDOWS\目录下Folder.htt和Desktop.ini这两个文件,将病毒写入这两个文件的内容删除。(病毒写入文件的内容以在上文列出) 5.最后,单击“开始”菜单 → 选择“查找” → 再选择“文件或文件夹” → 在打开的查找窗口中输入Folder.htt,然后点击“开始查找”,将找到的所有的文件名为Folder.htt大小为32KB的文件全部删除。接下来再查找并删除Desktop.ini文件,至此病毒清除成功! 注意:C:\WINDOWS\、C:\WINDOWS\SYSTEM\、C:\WINDOWS\SYSTEM32\、C:\WINDOWS\WEB\和C:\Program Files\这五个目录下的Folder.htt和Desktop.ini不能删除! |
| B3层 发表时间: 12/11 16:47 |
| 回复: o01 [o01] 论坛用户 |
登录 |
|
谢谢各位,问题解决了! |
| B4层 发表时间: 12/11 21:51 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 一个常见我又不明白的问题