千家论坛_弱电智能化技术与工程讨论(建筑智能,家居智能,人工智能)

家居布线与家庭组网
收藏本版 (7) |订阅

家居布线与家庭组网 今日: 2376 |主题: 4096

发新帖
打印 上一主题 下一主题

[9.7][分享]手工清除“新欢乐时光”...

[复制链接]
听雨岩 发布于: 2005-9-7 10:38 538 次浏览 2 位用户参与讨论
跳转到指定楼层
现象: 周六,像往常一样泡网。qq响起,有人传来文件,名为showgood的flash文件。出于对网友的尊重,运行了,随即弹出出错提示框,除此之外别无异常。糟!马上检查一下注册表,运行下多了一个键kernel32,值为c:\windows\system\kernel.dll 因为当时用的是98系统,并不存在该文件,该系统内核为kernel32.dll(windows nt/2000为kernel.dll而不是kernel32.dll)。由此断定,中着了。在检查一下系统目录,看多了哪些新东东,刚打开c盘,看到desktop.ini和folder.htt。由于并非web察看方式又没有设置个性化文件夹。此二文件甚为可疑。经检查。所有文件夹下都出现这两个文件。由此判断。是中了欢乐时光2(kj.vbs)了,由于最近常有朋友问起关于新欢乐时光病毒的问题曾特意以身试法进行研究,所以知道所中病毒为何物。 解决: 进注册表,删除HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/run 下的kernel32键值。 参照备份的注册表文件,恢复 HKEY_CLASSES_ROOT/dllFile 下键值 病毒还会感染outlook的信纸更改注册表outlook的相关键值,而本人从来不用微软的outlook,所以早就将其根除,自然没有必要对注册表进行修复。(对于使用outlook的网友,可以参照其他机器的注册表恢复HKEY_CURRENT_USER/Identities 下相关键值和HKEY_CURRENT_USER/Software/Microsoft/Outlook 下相关键值以及 HKEY_CURRENT_USER/Software/Microsoft/Office9.0/Outlook/Options/Mail 下相关键值) 用windows自带的搜索功能查找desktop.ini和folder.htt和kjwall.gif(欢乐时光2病毒文件的一部分),删除。 查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码; 进入windows\system文件夹,删除kernel.dll文件。删除windows\web文件夹(欢乐时光会感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。) 重新启动计算机,症状消失,建立windows\web文件夹(系统不自动建立此文件夹,需手工建立),病毒清除。 病毒介绍: 新欢乐时光病毒为vbs脚本病毒,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的"资源管理器"进行寄生与感染。 该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中!该病毒感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。 建议: 建议广大网友注意网络安全,不可轻信他人。及时更新防病毒软件的病毒库,对所有接收或下载的文件进行病毒扫描(虽然不一定有效),下在东西尽量到大一些的、有规模的网站。平时注意经常检查系统,留意注册表run及runservice的健值。在健康状况下备份注册表,以备不时之需。对于vbs等脚本病毒,都是调用系统windows目录下wscript.exe程序(命令方式为cscript.exe),可以将其改名,并在注册表中更改相关健值指向,可达到对脚本病毒的免疫功能。另:微软的outlook漏洞不少,针对微软的病毒更是数不胜数,大家完全可以使用国产的foxmail进行邮件收发及管理,既支持国货,又免遭病毒侵害,何乐而不为呢?:) 金山毒霸有一款专杀新欢乐时光的免费软件。大家可以去试试。 新欢乐时光是传染性很强的病毒,杀的时候要断开网。 而且由于他有两个标志性文件desktop.ini和folder.htt,所以一看就能知道感染了。 再者,我用过瑞星杀新欢乐时光,但是似乎对desktop.ini和folder.htt两个文件不会自动删除。而且对新欢乐时光的命名与毒霸也不相同。所以引起不便。 呵呵~~~~~~~~~~就补充这么几句吧~~~~~~~~~
回复

使用道具 举报

已有2人评论

新浪微博达人勋

千家认证

沙发
zhoupei_zp 发表于 2005-9-7 14:36:15

想知道HKEY_CLASSES_ROOT/dllFile 这个子键如何恢复.比如我有一上系统注册表的全部内容,这一个键我如何恢复

,谢谢!

回复 支持 反对

使用道具 举报

新浪微博达人勋

千家认证

板凳
听雨岩 发表于 2005-9-7 14:46:30
用工具啊!优化大师之类的!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 千家通行证登陆

本版积分规则

千家智客微信号
千家智客微信
玩物说商城
玩物说商城