论坛: 电脑门诊 标题:  在打开文件夹时出错? 复制本贴地址    
作者: violin [xuejian]    论坛用户   登录
   在打开文件夹时Folder.htt得脚本出错,而且它和desktop.ini出现在很多文件夹中,请问怎么解决??
        我的一个朋友说它还会依靠软盘传播,有人在电脑中找倒了几百个?


地主 发表时间: 06/15 12:01

回复: playboy [yangud]   论坛用户   登录
这个是什么呀?不会是毒吧。

B1层 发表时间: 06/15 12:56

回复: ranchuan [ranchuan]   版主   登录
不是病毒 ,DESKTOP.INI是回收站的标记文件

B2层 发表时间: 06/15 19:29

回复: ckshappy [ckshappy]   论坛用户   登录
拷一个回来就行啦

B3层 发表时间: 06/16 07:33

回复: cyh811122 [cyh811122]   论坛用户   登录
上面几位朋友你们都错了,这是一种病毒,看了以下的报道 你就知道了,我的机器也有五百多个,不过我的同学比我更狠,他的机器有三千多呢。
“时光”不再,“欢乐”又起
--新欢乐时光病毒“VBS.KJ”的危害与清除

--------------------------------------------------------------------------------

『金山反病毒资讯网』        2002年05月15日 16:41:35 

����病毒感染过程介绍 
���� 
����VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢乐时光“VBS.HappyTime”一样,该病毒采用 VBScript 语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。 
���� 
����然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动发送电子邮件!而是修改系统中 Microsoft Outlook Express、Microsoft Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染 html/htm、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。 
���� 
����病毒生成和修改的文件 
���� 
����1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两个文件控制了文件夹在资源管理器中的显示视力)。 
���� 
����2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。 
���� 
����3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll 文件。 
���� 
����4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php、asp,用病毒替换其内容。 
���� 
����注册表的修改 
���� 
����1、在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下增加 Kernel32 键值,使病毒随系统启动; 
���� 
����2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式; 
���� 
����3、修改 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion��& "\Mail\Compose Use Stationery" 为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\" & UserId & "\Software\Microsoft\Outlook Express\" &��OEVersion & "\Mail\Stationery Name" 指向信纸文件; 
���� 
����4、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使 Outlook 2000 采用信纸来撰写邮件; 
���� 
����5、修改 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail 相关内容,使 Outlook XP 采用信纸撰写邮件; 
���� 
����病毒感染的标志 
���� 
����1、在注册表 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下存在 Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件; 
���� 
����2、系统中大量存在 desktop.ini 和 folder.htt; 
���� 
����3、在 system 目录下存在 kjwall.gif 文件; 
���� 
����手工清除(难度较大,建议采用杀毒软件杀毒) 
���� 
����1、打开注册表,删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 键值; 
����参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值; 
����参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID & "\Software\Microsoft\Outlook Express\" & OEVersion��& "\Mail\ 下相关键值; 
����参照其他机器,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值; 
����参照其他机器,恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值; 
���� 
����2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win Commander 等) 
����参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件; 
����删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif; 
����查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码; 
���� 
����金山毒霸用户可以请升级杀毒软件处理该病毒。 
 



B4层 发表时间: 06/16 18:42

回复: violin [xuejian]   论坛用户   登录
  感谢了,我想也是VBS的病毒(旧的杀毒软件找不到)。但是不知道怎么改!

B5层 发表时间: 06/17 12:16

论坛: 电脑门诊

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号