6,850
社区成员
发帖
与我相关
我的任务
分享如何处理forder,病毒!
我的机器里面发现了很多forder,文件类型是:超文本模块,文件大小3.22k,我怀疑是”欢乐时光,但用新欢乐时光找不到病毒,请问这种病毒是什么名,如何处理,谢谢!·
...全文
请发表友善的回复…
发表回复
i33333 2003-11-30
- 打赏
- 举报
只有folder.htt吗
欢乐时光 一般folder.htt desktop.ini同时出现 在每个分区的根目录和文件夹下生成
c:\windows\system\web\folder.htt增大11kb
下载专杀 金山有
欢乐时光 一般folder.htt desktop.ini同时出现 在每个分区的根目录和文件夹下生成
c:\windows\system\web\folder.htt增大11kb
下载专杀 金山有
eason2000 2003-11-30
- 打赏
- 举报
只能下载专杀工具了!!
yanzili 2003-11-30
- 打赏
- 举报
下个"欢乐时光",一切OK
number197823 2003-11-30
- 打赏
- 举报
除了以上几位仁兄的回答外
更重要的是要在启动中去掉一个名为kernel.dll或kernel32.dll的启动项否则每次起机那两个文件又会回来
更重要的是要在启动中去掉一个名为kernel.dll或kernel32.dll的启动项否则每次起机那两个文件又会回来
kbkingbird 2003-11-30
- 打赏
- 举报
用专杀工具可以轻松搞定~
yeno 2003-11-29
- 打赏
- 举报
金山毒霸绝对可以干掉,以前我用的是试用版的金山毒霸2002
如果金山公司不倒退的话,现在的任何一款金山毒霸应该都可以干掉它
如果金山公司不倒退的话,现在的任何一款金山毒霸应该都可以干掉它
netxmfm 2003-11-29
- 打赏
- 举报
还是手工删除比较踏实
sysadm520 2003-11-29
- 打赏
- 举报
用金山或瑞星的专杀工具就可以
www.spant.net
www.spant.net
hahajohn 2003-11-29
- 打赏
- 举报
瑞星和kv 3000 从2002 年版本的就可以把它杀掉,暂时不要过多的打开新的窗口,因为
你每打开一个窗口它就自动复制一次
你每打开一个窗口它就自动复制一次
leonsun981 2003-11-28
- 打赏
- 举报
我已经用最新的“新欢乐时光”查了, 就是查不到,用什么专杀可以杀掉,如果我要是把windows\web\forder的属性该为只读,以后是不是就不会在感染了,谢谢!
boydgmx 2003-11-28
- 打赏
- 举报
专杀工具,安全方便
happystudy 2003-11-28
- 打赏
- 举报
folder.htt一般是和desktop.ini一起出现的,搜索这两个文件全删(desktop.ini有三个是系统文件,可以不删),在删之前打开desktop.ini在里边有一个很长的值打开是58******你把他复制一下,在注册表里找到搜索这个东东,全删就ok了.
bbcc422427 2003-11-28
- 打赏
- 举报
病毒感染过程介绍
VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用html格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
2、在%Windows%\web和%Windows%System32中生成kjwall.gif。
3、在Windows 9X系统中,生成%Windows%\System\Kernel.dll文件;在Windows 2000/XP中生成%Windows%\System\Kernel32.dll 文件。
4、感染htt文件,将病毒附加在其中;感染html/htm、jsp、vbs、php、asp,用病毒替换其内容。
注册表的修改
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加 Kernel32 键值,使病毒随系统启动;
2、修改HKEY_CLASSES_ROOT\dllFile\,改变dll文件的打开方式;
3、修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\" & OEVersion&"\Mail\Compose Use Stationery"为1,即采用信纸;修改 HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\Stationery Name"指向信纸文件;
4、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容,使Outlook 2000采用信纸来撰写邮件;
5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP采用信纸撰写邮件;
病毒感染的标志
1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值,并指向Kernel.dll或者Kernel32.dll文件;
2、系统中大量存在desktop.ini和folder.htt;
3、在system目录下存在kjwall.gif文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;
参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;
请升级杀毒软件处理该病毒。
VBS.KJ是一个感染html/htm、jsp、vbs、php、asp的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用html格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成desktop.ini和folder.htt文件(这两个文件控制了文件夹在资源管理器中的显示视力)。
2、在%Windows%\web和%Windows%System32中生成kjwall.gif。
3、在Windows 9X系统中,生成%Windows%\System\Kernel.dll文件;在Windows 2000/XP中生成%Windows%\System\Kernel32.dll 文件。
4、感染htt文件,将病毒附加在其中;感染html/htm、jsp、vbs、php、asp,用病毒替换其内容。
注册表的修改
1、在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下增加 Kernel32 键值,使病毒随系统启动;
2、修改HKEY_CLASSES_ROOT\dllFile\,改变dll文件的打开方式;
3、修改HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\" & OEVersion&"\Mail\Compose Use Stationery"为1,即采用信纸;修改 HKEY_CURRENT_USER\Identities\"&UserId&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\Stationery Name"指向信纸文件;
4、修改HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail相关内容,使Outlook 2000采用信纸来撰写邮件;
5、修改HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail相关内容,使Outlook XP采用信纸撰写邮件;
病毒感染的标志
1、在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下存在Kernel32键值,并指向Kernel.dll或者Kernel32.dll文件;
2、系统中大量存在desktop.ini和folder.htt;
3、在system目录下存在kjwall.gif文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32键值;
参照其他机器,恢复HKEY_CLASSES_ROOT\dllFile\下键值;
参照其他机器,恢复HKEY_CURRENT_USER\Identities\"&UserID&"\Software\Microsoft\Outlook Express\"&OEVersion&"\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\下相关键值;
参照其他机器,恢复HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\下相关键值;
2、删除文件(建议在DOS状态下或者使用第三方文件管理系统,如Win Commander等)
参照其他机器,恢复%Windows%\web目录下folder.htt 文件;
删除Kernel32.dll或者Kernel.dll文件;删除kjwall.gif;
查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码;
请升级杀毒软件处理该病毒。
shenshs 2003-11-28
- 打赏
- 举报
如果我要是把windows\web\forder的属性该为只读,以后是不是就不会在感染了,谢谢!
——————————————————————————————————————
不起作用的 主要是你的病毒防火墙要时刻开着 保证是最新的病毒库 这样就能最大限度的防止中招 还是推荐norton防火墙 国产的瑞星好一些
——————————————————————————————————————
不起作用的 主要是你的病毒防火墙要时刻开着 保证是最新的病毒库 这样就能最大限度的防止中招 还是推荐norton防火墙 国产的瑞星好一些
回炉重造,学习编程中。。。 2003-11-27
- 打赏
- 举报
找个专杀工具吧
No001 2003-11-27
- 打赏
- 举报
专杀工具
blueclu0281 2003-11-27
- 打赏
- 举报
用金山或瑞星的专杀工具就可以
阳光小子神 2003-11-27
- 打赏
- 举报
到金山公司下载专杀工具!
hclloveyou 2003-11-27
- 打赏
- 举报
先用最新的杀毒软件进行杀毒。
杀完后看一下隐藏文件。
搜索folder到这个文件后全部删除。
杀完后看一下隐藏文件。
搜索folder到这个文件后全部删除。
FutureStonesoft 2003-11-27
- 打赏
- 举报
搜索folder.htt
全部手工删除
全部手工删除
