手工清除“新欢乐时光”,手工清除“新欢乐时光”相关文章
您的位置:本站首页 - 源码软件 - 安全相关 - 安全文献
 
 
 

手工清除“新欢乐时光”

  • 现象:
    周六,像往常一样泡网。qq响起,有人传来文件,名为showgood的flash文件。出于对网友的尊重,运行了,随即弹出出错提示框,除此之外别无异常。糟!马上检查一下注册表,运行下多了一个键kernel32,值为c:\windows\system\kernel.dll
    因为当时用的是98系统,并不存在该文件,该系统内核为kernel32.dll(windows nt/2000为kernel.dll而不是kernel32.dll)。由此断定,中着了。在检查一下系统目录,看多了哪些新东东,刚打开c盘,看到desktop.ini和folder.htt。由于并非web察看方式又没有设置个性化文件夹。此二文件甚为可疑。经检查。所有文件夹下都出现这两个文件。由此判断。是中了欢乐时光2(kj.vbs)了,由于最近常有朋友问起关于新欢乐时光病毒的问题曾特意以身试法进行研究,所以知道所中病毒为何物。
    解决:
    进注册表,删除HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/run
    下的kernel32键值。
    参照备份的注册表文件,恢复 HKEY_CLASSES_ROOT/dllFile 下键值
    病毒还会感染outlook的信纸更改注册表outlook的相关键值,而本人从来不用微软的outlook,所以早就将其根除,自然没有必要对注册表进行修复。(对于使用outlook的网友,可以参照其他机器的注册表恢复HKEY_CURRENT_USER/Identities 下相关键值和HKEY_CURRENT_USER/Software/Microsoft/Outlook 下相关键值以及
    HKEY_CURRENT_USER/Software/Microsoft/Office9.0/Outlook/Options/Mail 下相关键值)
    用windows自带的搜索功能查找desktop.ini和folder.htt和kjwall.gif(欢乐时光2病毒文件的一部分),删除。
    查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;
    进入windows\system文件夹,删除kernel.dll文件。删除windows\web文件夹(欢乐时光会感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。)

    重新启动计算机,症状消失,建立windows\web文件夹(系统不自动建立此文件夹,需手工建立),病毒清除。

    病毒介绍:
    新欢乐时光病毒为vbs脚本病毒,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。 该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中!该病毒感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。

    建议:
    建议广大网友注意网络安全,不可轻信他人。及时更新防病毒软件的病毒库,对所有接收或下载的文件进行病毒扫描(虽然不一定有效),下在东西尽量到大一些的、有规模的网站。平时注意经常检查系统,留意注册表run及runservice的健值。在健康状况下备份注册表,以备不时之需。对于vbs等脚本病毒,都是调用系统windows目录下wscript.exe程序(命令方式为cscript.exe),可以将其改名,并在注册表中更改相关健值指向,可达到对脚本病毒的免疫功能。另:微软的outlook漏洞不少,针对微软的病毒更是数不胜数,大家完全可以使用国产的foxmail进行邮件收发及管理,既支持国货,又免遭病毒侵害,何乐而不为呢?:)

    对本文有何不同见解或对本人有何指教,请联win2ksvr@sina.com

 
 
 
版权所有华夏IT站 by 中国·上海 沪ICP备06018754号
Copyright(C) 2006-2007 www.zzuni.com All Rights Reserved
Processed in 0.109 second(s) -