☆在Windows“开始”菜单下选择“运行”,运行Regedit,找到Hkey_Current_UserIdentities{AECF6CA3-9614-4AF4-AEF2-CT63FE9D97A4}SoftwareMicrosoftOutlook Express.0Mail,其中有3项:
→Message Send Html="1"
→Com Pose Use Stationery="1"
→Stationery Name="C:\Windows\Untitled.htm"
将其键值删除即可。
然后用同样方法将Hkey_Current_UserControl PanelDesktop中Wallpaper="C:\WINDOWS\HELP.HTM"键值删除。
☆在Windows的“开始”菜单中运行“win.ini”,将其中的“Wallpaper=”等号后的键值删除。
☆运行最新版KV3000或KVD3000查杀硬盘,杀毒过程中如果出现“Help.vbs;help.hta;untitled.htm”等文件提示“删除”选择“Y”即可。
☆查完毒后,最好安装最新的杀毒软件来加强防范。
☆将WSH(Windows Scripting Host)功能去掉可以预防此类病毒的侵害。
步骤是:
→单击“开始”->“设置”->“控制面板”
→双击“添加/删除程序”->“Windows安装程序”、“附件”
→将“组件”中的“Windows scripting host”所占空间1.1MB的“选择划勾”去掉,然后选“确定”即可。
--------------------------------------------------------------------------------
其实我们可以看到此病毒其中的代码:
Key = CInt(Month(Date) + Day(Date))
If Key = 13 Then
Od.RemoveAll
Od.Add "exe", "0001"
Od.Add "dll", "0001"
End If
---------------------------------------------
这个 Key = 13 为病毒触发条件,也就是说当日和月的和为13时
Od.Add "exe", "0001"
Od.Add "dll", "0001"
为执行时破坏删除EXE DLL文件
哈哈,如果我们将其修改为
Key = N 这个N>43 那么这个条件便不存在,也就是说不可能出现比12月31日还大的日期数值,或者将
Od.Add "exe", "0001"
Od.Add "dll", "0001"
修改为
Od.Add "exeexexexe", "0001"
Od.Add "dlllllllll", "0001"
哈哈,那么病毒就找不到这样后缀的文件,
其修改注册表的代码如下
oeid = Rg("HKEY_CURRENT_USER\Identities\Default User ID")
oe = "HKEY_CURRENT_USER\Identities\" & oeid & "\Software\Microsoft\Outlook Express\5.0\Mail"
MSH = oe & "\Message Send HTML"
CUS = oe & "\Compose Use Stationery"
SN = oe & "\Stationery Name"
Rw MSH, 1
Rw CUS, 1
Rw SN, bf
--------------------------------------------------------------------------------
我们将其修改为
oeid = Rg("HKEY_CURRENT_USER\Identities\Default User ID")
oe = "HKEY_CURRENT_USER\Identities\" & oeid & "\Software\Microsoft\Outlook Express\5.0\Mail"
MSH = oe & "\Message Send HTML"
CUS = oe & "\Compose Use Stationery"
SN = oe & "\Stationery Name"
Rw MSH, 0
Rw CUS, 0
Rw SN, 0
------------------------------------------------------------------------
这样病毒程序就变成解毒程序了!哈哈哈哈!
当然,通过修改程序也可以使此病毒变种,例如以前“欢乐时光”的病毒邮件主题为HELP,但是现在已经被人修改成为其他,所以大家要加强防范,另外,触发时间也可以修改的,说到这里,请大家注意,我并不是要大家去将此病毒变种然后去害人,我只是希望大家能和我一起分析一下这个危害性很大的病毒。
这里提供病毒下载,大家可以仔细研究,
不过切记:先删掉Windows Scripting Host,否则只要鼠标移到那里或着打开这个网页就感染病毒了。
“欢乐时光”病毒