Redlof病毒的手工杀除
网络与通信
最近,笔者在浏览一张软件光盘的时候不小心中了一个名为Redlof的病毒,病毒文件由Desktop.ini和folder.htt两个文件组成。此病毒会在电脑的每个文件夹下产生Desktop.ini和folder.htt两个文件,而且当你新建文件夹的时候,它也会在当前文件夹创建这两个文件。开始,还以为是这些文件夹原来就有的,便把它删掉。谁知道删除后再刷新一下又跑出来了。不管怎么删都删不完。用了许多种杀毒软件也都没有杀掉。后来经过研究,终于手工把这个病毒给杀干净了。
原来,感染这了这个病毒之后,它会在C:\Windows\System目录下创建一个kernel.dll的文件,并加载为启动项,每次启动它后都会在五个不同的文件夹里建立Desktop.ini和folder.htt这两文件。并且修改C:\Windows\web目录下的folder.htt文件为病毒文件(修改后文件增大11KB)。如果利用Windows浏览器浏览文件夹时,当前文件夹若没有这两个文件,便会读取C:\Windows\web目录下的这两个文件,所以你打开哪个文件夹,病毒便会复制到那个文件夹,很难删除干净。这个病毒的另一可怕之处在于无须你打开病毒文件,只要你浏览到带有Desktop.ini和folder.htt这两个病毒文件的文件夹,Windows便会自动读取它们,而你也就在不知不觉中中毒了。
手工杀除方法:
1.用查找文件的方式找到kernel.dll这个文件,把它删除。打开注册表以“kernel.dll”为关键字查找数据,把所有调用到kernel.dll文件的键值删掉。
2.再用查找文件的方式查找folder.htt文件,用文件大小的方式排列,删掉大小为23KB的文件,并删除相应目录下的Desktop.ini文件。其中C:\Windows\web目录下的folder.htt文件不要删除,从别的机子上拷一个干净的文件过来。用记事本打开带有病毒的这个文件,删掉里面的代码,把干净文件里面的代码复制到这个文件上来,保存即可。
3.最后重新启动机器,打开我的电脑,随便打开几个文件夹,刷新一下看会不会再产生那两个文件(这两个文件为隐藏文件,要先在文件夹选项里设置为“显示所有文件”)。如果没有,说明病毒已被清除了。
注意:查杀病毒期间不要打开我的电脑,一切要删除的文件都要用查找的方式找到并删除,否则很不容易杀干净。还有,这个病毒好像在Win2000不会被感染,笔者在Win2000里打开有带病毒的文件夹会显示该页有错误,而没有中毒。