ghost.pif病毒的查杀方法
作者: shexh 发表日期: 2007-06-17 12:06 文章属性: 复制链结
http://big5.ccidnet.com:89/gate/big5/shexh.blog.cc...showone/tid_153085.html


这个病毒会获取某些安全软体的安装目录，并且在这些软体的目下下生成一个ws2_32.dll命明的文件夹，从而使这些安全软体失效。
因为这些软体运行时候会载入ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软体通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软体的文件夹里创建一个伪造的ws2_32.dll从而导致软体启动时载入这个伪造的ws2_32.dll 导致启动失败！
解决方法如下：

1.安全模式下(开机后不断 按F8键 然后出来一个高级功能表 选择第一项 安全模式 进入系统)
打开sreng
启动项目 注册表 删除如下项目
<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的作业系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
右键点击 右键功能表中的打开 打开C盘
删除
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容
3.右键点击 右键功能表中的打开 打开其他分区 删除autorun.inf和ghost.pif
打开sreng
启动项目 注册表 删除如下项目
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> []
<ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> []
<jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> []
<wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> []
<rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> []
<wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> []
<tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> []
<dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> []
<wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> []
<qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] （
4.删除 瑞星杀毒软体 金山毒霸 江民杀毒软体 卡巴斯基杀毒软体 360安全卫士 等文件夹下名为ws2_32.dll的文件夹