9,506
社区成员
发帖
与我相关
我的任务
分享[求助]怎么删除病毒?
每次打开文件夹,会出现一个folder.htt的文件,用“开始”中的“查找”发现有几百个这样的文件,就该怎么删去它?
请高手指点
谢谢!
请高手指点
谢谢!
...全文
请发表友善的回复…
发表回复
eboywang 2003-10-20
- 打赏
- 举报
用这个软件更新完后杀的比较彻底。
http://www.cbht.com.cn/download/tria/vrxp.exe
http://www.cbht.com.cn/download/tria/vrxp.exe
smallrascal 2003-10-20
- 打赏
- 举报
新欢乐时光专杀工具
http://www.duba.net/download/3/18.shtml
http://www.duba.net/download/3/18.shtml
smallrascal 2003-10-20
- 打赏
- 举报
清除新欢乐时光病毒
病毒感染过程介绍
VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用html格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
2、在%Windows%\web和%Windows%System32中生成kjwall.gif。
3、在Windows 9X系统中,生成%Windows%\System\Kernel.dll文件;在Windows 2000/XP中生成%Windows%\System\Kernel32.dll 文件。
4、感染htt文件,将病毒附加在其中;感染html/htm、jsp、vbs、php、asp,用病毒替换其内容。
注册表的修改
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加 Kernel32 键值,使病毒随系统启动;
2、修改HKEY_CLASSES_ROOT\dllFile\,改变dll文件的打开方式;
3、修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\" & OEVersion&"\Mail\Compose Use Stationery"为1,即采用信纸;修改 HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\Stationery Name"指向信纸文件;
4、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容,使Outlook 2000采用信纸来撰写邮件;
5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP采用信纸撰写邮件;
病毒感染的标志
1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值,并指向Kernel.dll或者Kernel32.dll文件;
2、系统中大量存在desktop.ini和folder.htt;
3、在system目录下存在kjwall.gif文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;
参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;
请升级杀毒软件处理该病毒。
病毒感染过程介绍
VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用html格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
2、在%Windows%\web和%Windows%System32中生成kjwall.gif。
3、在Windows 9X系统中,生成%Windows%\System\Kernel.dll文件;在Windows 2000/XP中生成%Windows%\System\Kernel32.dll 文件。
4、感染htt文件,将病毒附加在其中;感染html/htm、jsp、vbs、php、asp,用病毒替换其内容。
注册表的修改
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加 Kernel32 键值,使病毒随系统启动;
2、修改HKEY_CLASSES_ROOT\dllFile\,改变dll文件的打开方式;
3、修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\" & OEVersion&"\Mail\Compose Use Stationery"为1,即采用信纸;修改 HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\Stationery Name"指向信纸文件;
4、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容,使Outlook 2000采用信纸来撰写邮件;
5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP采用信纸撰写邮件;
病毒感染的标志
1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值,并指向Kernel.dll或者Kernel32.dll文件;
2、系统中大量存在desktop.ini和folder.htt;
3、在system目录下存在kjwall.gif文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;
参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;
请升级杀毒软件处理该病毒。
kris2010 2003-10-20
- 打赏
- 举报
不过有个问题,用专杀杀完之后就不能用web浏览资源管理器了
sungod8 2003-10-19
- 打赏
- 举报
脚本病毒的一种红色结束符病毒
专杀工具:http://gwbn.onlinedown.net/soft/6211.htm
RedLof病毒
此病毒感染脚本类型的文件。该病毒能够疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,而病毒每激活一次,在内存中就复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,使计算机运行速度越来越慢,而且其还会随着信件模板,进行网络传播。
病毒发作现象:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。
二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。
三、该病毒会使计算机运行速度变慢。
解决方案:
1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是升级杀毒软件进行彻底清除。
2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。
3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。
4、在杀完毒之后应立即重新启动计算机。
5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。
注意:在杀除此病毒时必须打开杀毒软件的实时监控功能。
专杀工具:http://gwbn.onlinedown.net/soft/6211.htm
RedLof病毒
此病毒感染脚本类型的文件。该病毒能够疯狂感染文件夹,会在感染的文件夹下产生两个文件,一个名为:desktop.ini的目录配置文件,一个名为:folder.htt的病毒体文件,当用户双击鼠标进入被感染的文件夹时,病毒就会被激活,而病毒每激活一次,在内存中就复制一次,所以当用户多次进入被感染的文件夹时,病毒就会大量进入内存,使计算机运行速度越来越慢,而且其还会随着信件模板,进行网络传播。
病毒发作现象:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:
一、如果对脚本文件比较熟悉,比如说网页设计人员等,可以查找一些自己熟悉的vbs,htm, html等类型的文件,用编辑工具查看其内容,看是否能发现可疑代码。
二、病毒会在感染文件夹时,产生两个病毒文件:desktop.ini和folder.htt。
三、该病毒会使计算机运行速度变慢。
解决方案:
1、用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“红色结束符”(Script.RedLof.htm)病毒,用户可以将病毒文件直接删除来消除病毒的影响,但如果想彻底地清除此病毒,最好还是升级杀毒软件进行彻底清除。
2、用户在杀毒过程中要关闭所有WINDOWS窗口,禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。
3、在Windows操作系统环境下,要打开文件监控功能,先查杀内存然后在查杀所有硬盘文件。
4、在杀完毒之后应立即重新启动计算机。
5、如果用户在Windows操作系统环境下不能完全地清除此病毒,请到纯DOS操作环境下进行杀毒,将此病毒全部清除掉。
注意:在杀除此病毒时必须打开杀毒软件的实时监控功能。
