手工清除方法:
首次感染时,病毒会先在C:\WINDOWS\WEB\目录下Folder.htt文件的起始部分加入一段
“<!--
* This file was automatically generated by Microsoft Internet Explorer 4.0
* using the file %THISDIRPATH%\folder.htt (if customized) or
* %TEMPLATEDIR%\folder.htt (if not customized).
-->”
在该文件的结尾部分还会加入一大堆“乱字符”,其实,这些“乱字符”是VBScript语言。
然后会在同目录下的Desktop.ini中加入一段
“[{5984FFE0-28D4-11CF-AE66-08002B2E1262}]
PersistMoniker=file://Folder.htt”
接下来会在C:\WINDOWS\下生成一个“kernel.dll”文件,并在注册表中加入一条指向该文件的相关键值以保证每次都能随计算机启动。至此,病毒寄生成功。
最后,该病毒还会在C:\WINDOWS\SYSTEM32\和C:\WINDOWS\WEB\目录下各生成一个kjwall.gif文件,这两个文件分别是Folder.htt和Desktop.ini的备份,用记事本一看便知。
当您再以“按Web页”形式浏览任何目录时,病毒就会对其目录进行感染!
危害:
目前为止,我还没有发现该病毒具有何种破坏能力,但当该病毒被激活后会常住内存,并且会不断自我复制,直至耗尽系统资源!
清除:
如果您的爱机已感染此病毒建议您使用最新版本的“金山毒霸”、“Kv3000杀毒王”和“瑞星2003”清除该病毒。如果您手头没有最新版本的杀毒软件,那么您可以使用下面的方法手工清除该病毒。
1.打开资源管理器,单击“查看”菜单,将“按Web页”前的“对钩”去掉。然后再选择“查看”菜单下的“文件夹选项”,选择“查看”选项卡,然后单击“与当前文件夹类似”,“确定”并退出该窗口!
2.在“开始”菜单的“运行”中输入“regedi”启动注册表编辑器,找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下的一个名叫“kernel”并指向C:\windows\system\kernel.dll的键值,将其清除,然后重新启动计算机。
3.接下来是要删除C:\windows\system\目录下的kernel.dll,然后分别删除C:\WINDOWS\SYSTEM32\和C:\WINDOWS\WEB\目录下的kjwall.gif文件。
4.用记事本分别打开C:\WINDOWS\目录下Folder.htt和Desktop.ini这两个文件,将病毒写入这两个文件的内容删除。(病毒写入文件的内容以在上文列出)
5.最后,单击“开始”菜单 → 选择“查找” → 再选择“文件或文件夹” → 在打开的查找窗口中输入Folder.htt,然后点击“开始查找”,将找到的所有的文件名为Folder.htt大小为32KB的文件全部删除。接下来再查找并删除Desktop.ini文件,至此病毒清除成功!
注意:C:\WINDOWS\、C:\WINDOWS\SYSTEM\、C:\WINDOWS\SYSTEM32\、C:\WINDOWS\WEB\和C:\Program Files\这五个目录下的Folder.htt和Desktop.ini不能删除!
|
论坛用户
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 病毒专区
标题: 求助,现在我的每个文件夹内都会生成两个文件!!!