SiS001! Board - [第一会所关闭注册]

标题: [求助] C我电脑中了欢乐时光病毒了，救命啊。 [打印本页]

作者: 6795622 时间: 2011-1-18 00:09 标题: C我电脑中了欢乐时光病毒了，救命啊。

我电脑中了欢乐时光病毒，病毒把我的输入法删了，是WIN7自带的输入法。该怎么办啊？

作者: vip2009vip 时间: 2011-1-18 00:25

1、打开注册表，删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32 键值；

　　2、打开注册表，找到 HKEY_CLASSES_ROOT\dllfile,

　　修改右窗格的默认值： Windows 9X/ME 改为："C:\Windows\System\Shell32.dll, -154" (注："C:\Windows\" 可能需要根本具体情况变化，下同)

　　Windows2000 改为："C:\Winnt\System32\Shell32.dll, -154"

　　Windows XP 改为："C:\Windows\System32\Shell32.dll, -154"

　　删除左窗格中 dllfile 下的“ScriptEngine”、“Shell”、“ShellEx”和“ScriptHosEncode”文件夹。

　　3、恢复 Outlook Express 信纸：

　　打开 Outlook Express，执行菜单“工具|选项”命令，在“选项”对话框“撰写”页面“信纸”一栏中，如果“邮件”一栏前有选中，且内容为“Blank.htm"，则取消“邮件”信纸的选中。

　　4、恢复 Microsoft Outlook 信纸(如果安装 Microsoft Office 且配置 Outlook)：

　　打开 Outlook，执行菜单“工具|选项”命令，在“选项”对话框“邮件格式”页面“信纸和字体”一栏，选择“默认情况下使用该信纸”为无(该选项为“以该邮件格式发送”的格式设置有关)。

　　5、修改系统 folder.htt 文件(以下操作应该避免打开资源管理器)：

　　缺省情况下系统只需要三个 folder.htt 文件，分别是 Windows, Windows/System 或 Windows/System32，和 Windows/Web 目录下。用记事本分别打开该三个文件(如果设置不显示隐藏文件，可能无法看到这些文件)，删除前三行的“
本文来自：创幻论坛 http://www.chcj.net

作者: ianyours 时间: 2011-1-19 03:20

百度上搜一下这个病毒的专杀工具。记得找可靠的哦，别刚杀一毒又来一毒。

作者: topgamer 时间: 2011-1-19 04:13

这病毒蛮老的，LZ居然还会中
先去找专杀工具全盘查杀，然后重做系统

作者: wzz31111 时间: 2011-1-19 05:16

专杀工具，重启进入安全模式下查杀，杀前记得把专杀工具升级到最新版本

作者: wshgm 时间: 2011-1-19 08:22

楼主没有装杀毒软件吗？这个病毒不难查杀的，去下个免费的杀毒软件就能处理掉的。

作者: 南山隐者 时间: 2011-1-19 12:31

楼主装的是什么杀毒软件？能否告知一下？应该不是卡巴吧？

作者: zxyang00 时间: 2011-1-19 12:41

下个专杀工具再装遍输入法实在没用就重装吧

作者: 追逐 时间: 2011-1-19 15:43

去百度查找一下这个病毒的专杀工具杀一次应该就好了

作者: dewey01 时间: 2011-1-19 15:47

不会吧，欢乐时光病毒我记得是2000年左右的病毒了，现在的win7应该已经不能感染了。可能是别的病毒吧。楼主装卡巴斯基杀毒软件查杀一下，瑞星什么的不推荐。

作者: zdf123456 时间: 2011-1-19 15:52

实在不行，楼主就从做系统吧，别再下个别的什么病毒进去

作者: yc122166131 时间: 2011-1-19 16:44

下载QQ安全管家。。

和瑞星2011 这些都是免费的

也相当好用

作者: Wr.P 时间: 2011-1-19 16:48

用ghost重装一个系统也不麻烦啊，比起一个个杀毒快多了

作者: 偶尔来色色 时间: 2011-1-19 17:22

有时候杀毒真不如重装。全盘扫描2小时也扫不完，重装才10分钟！

作者: yemao1 时间: 2011-1-19 17:43

用360杀毒呀，其他杀毒软件也是可以杀的。要是我就从新安装电脑

作者: chinahenanuser 时间: 2011-1-19 17:46

这病毒不厉害，找专杀工具查杀，然后重做系统

作者: kingcaeser 时间: 2011-1-19 18:32

欢乐时光是什么病毒啊？
怎么防御的、？
我以后要注意啊

作者: wdmjjsw 时间: 2011-1-19 19:57

楼主该不会是裸机上网吧？上网找个专杀来处理，多上电脑论坛学习些软硬件知识。

作者: feifanbaobao 时间: 2011-1-19 20:14

把电脑系统重新做一次，然后把杀毒软件更新，再全盘杀一次，应该可以解决的比较彻底

作者: ewew43 时间: 2011-1-19 20:23

这个病毒，网上有很多专杀工具的，注意进去删除病毒的时候最好用安全模式进入，这样很彻底，很干净

作者: imissu2009 时间: 2011-1-19 20:44

下个杀毒软件杀下比如卡巴瑞星杀下大不了电脑重装

作者: mars1314 时间: 2011-1-19 20:47

百度上搜一下这个病毒的专杀工具。记得找可靠的哦，别刚杀一毒又来一毒。

作者: 578963144 时间: 2011-1-19 21:17

你的电脑不回是没装杀毒软件吧。要不你也不会中的。我用的金山。你要是电脑还可以就用吧。不过很站内存的。我电脑现在都运行300多呢

作者: 527424962 时间: 2011-1-19 21:33

这病毒蛮老的，LZ居然还会中
先去找专杀工具全盘查杀，然后重做系统

作者: zenzealot 时间: 2011-1-20 11:01

好老的病毒啊，这病毒会伤硬盘的，会逻辑锁的，但好久没看见了，为什么这是欢乐时光病毒呢，楼主查下

作者: jlp6 时间: 2011-1-20 11:04

从装下系统用吧，那样子比较快也很省时间.

作者: 4321ewq 时间: 2011-1-20 11:17

首先恭喜你中奖了

新欢乐时光（VBS.KJ、HTML.Redlof.A）病毒FAQ

1、新欢乐时光是怎么样的一个病毒？

答：新欢乐时光是该病毒的中文名，其英文名包括（方括号中是相对应的各个厂家）：HTML.Redlof.A [Symantec], VBS.Redlof [AVP], VBS_REDLOF.A [Trend], VBS/Redlof-A [Sophos], VBS.KJ [金山], Script.RedLof [瑞星], VBS/KJ [江民]。

这个病毒是用VBS编写的多变形、加密病毒，感染扩展名为.html, .htm, .asp, .php, .jsp, .htt和.vbs文件，同时该病毒会大量生成folder.htt和desktop.ini，并在%windir%\System\中生成一个名字叫Kernel.dll的文件（Windows 9x/Me）或kernel32.dll（Windows NT/2000），修改.dll文件的打开方式，感染Outlook的信纸文件。（注：%windir%指的是Windows的目录，对于Win9x/Me系统来说，这个目录通常是\Windows，对于Windows NT/2000来说，这个目录通常是\WinNT）

感染这个病毒后有两个明显的表现：

a. 在每个目录中都会生成folder.htt（带毒文件）和desktop.ini（目录配置文件）；

b. 电脑运行速度明显变慢，在任务列表中可以看到有大量的Wscript.exe程序在运行。

更详细的资料请参见有关资料。

2、如何彻底清除这个病毒？需要注意什么问题？

答：清除这个病毒可以在安全模式或者纯DOS下清除，需要注意以下几个问题：

a. 建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。

b. 在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。

c. 对于联网的计算机，杀毒之前建议取消所有的共享目录。

3、为什么建议在安全模式下清除这个病毒？如何进入安全模式？

答：清除这个病毒我建议是在安全模式下清除，这是因为：

a. 病毒在安全模式下不会被激活，所以可以放心在安全模式下杀毒；

b. 由于杀毒软件和专门清除工具在正常模式下都不能干净清除病毒，所以一般要在安全模式或纯DOS下杀毒，虽然两种方式都可以干净清除病毒，但在安全模式下由于系统使用了更多的缓存机制，因此要比在纯DOS下杀毒速度要快；

c. 专门清除工具只能在Windows环境下运行，不过专门清除工具可以修复病毒修改的注册表，而一般杀毒软件做不到；

注：如何进入安全模式请参见有关资料。

http://bbs.iduba.net/viewthread.php?tid=29843

4、如何预防这个病毒？对于预防这个病毒，有什么建议吗？

答：杀毒后建议立即进行以下操作进行预防病毒：

a. 请浏览以下网址为系统打上必要的补丁：

http://www.windowsupdate.com

或

http://www.microsoft.com/technet/security/bulletin/MS00-075.asp

b. 请安装反病毒软件，并升级到最新的病毒库，坚持打开实时防病毒监控程序和及时升级病毒库；

c. 删除信箱中可疑的电子邮件，建议尽量不要使用信纸；

d. 对于Windows 9x/Me，建议取消共享，如果必须设置共享的话，建议设置为只读或者设置密码；对于Windows NT/2000，应为文件夹配置适当的权限，在有域的网络中，所有用户，特别是管理员级用户必须保证自己不感染病毒。

e. 在使用移动储存介质之前，如光盘、软盘、移动硬盘等，建议先防病毒软件检查一遍是否存在病毒，如果光盘有病毒的话，建议不要再使用该光盘；如果不具备这个条件，关闭Web视图可以部分地防止这个病毒，但对于被感染的html等文件，则这个方法可能无法奏效。

f. 特别地：利用这个病毒的设计缺陷，可以在%windir%\System\创建名为kernel.dll（Win9x/ME系统）或kernel32.dll（WinNT/2000系统）的目录，这样可以在一定程度上阻止病毒的传染。特别注意：在不同的系统中创建的目录名称是不同的，应根据不同的系统来创建对应的目录。如果提示不能创建文件夹，请在杀毒后再创建。

g. 对于一些熟练操作计算机的用户来说，可以通过编辑原正常的folder.htt，在文件头加上<BODY KJ_start()>这一句话，可以预防病毒的传染；

h. 还有一些情况是某些防病毒程序并不能有效地防止病毒的传播，遇到这种情况的时候建议换一个防病毒软件。

2、如何彻底清除这个病毒？需要注意什么问题？

答：清除这个病毒可以在安全模式或者纯DOS下用杀毒软件或者专杀工具清除（专杀工具需要自行下载，在下面的问题中会提供下载地址），不过需要注意以下几个问题：

a. 建议在安全模式或纯DOS中清除。在正常模式清除需要对Windows系统非常深入地了解，一般用户是很难干净地清除病毒的；推荐使用专杀工具在安全模式下进行杀毒，并且，在确认清除完成之前不要使用“Web视图”显示任何文件夹，比较稳妥的做法是在进入安全模式之前将所有的Web视图文件夹改为传统Windows风格。

b. 在检查病毒的时候，建议同时检查平时常用的移动储存介质，如光盘、软盘、移动硬盘等，因为这是病毒重复感染的隐患。

c. 对于联网的计算机，杀毒之前建议取消所有的共享目录。

d. 对于操作系统是Windows Me/XP的电脑，需要将系统还原功能禁止才可以杀毒。禁止方法如下：

禁用 Windows XP 系统还原：

1. 单击“开始”。

2. 右击“我的电脑”，然后单击“属性”。

3. 单击“系统还原”选项卡。

4. 选中“关闭系统还原”或“关闭所有驱动器上的系统还原”。

5. 单击“应用”，然后单击“确定”。

禁用 Windows Me 系统还原：

1. 单击“开始”，指向“设置”，然后单击“控制面板”。

2. 双击“系统”，然后单击“性能”选项卡。

3. 单击“文件系统”，然后单击“疑难解答”选项卡。

4. 选中“禁用系统还原”。

5. 单击“确定”，然后单击“关闭”。当提示重新启动 Windows 时单击“是”。

6、这个病毒是如何传播的？通过什么途径进行传播？

答：这是个网页病毒，利用的MS IE的漏洞，通过感染一些.html, .htm, .asp, .php, .jsp, .htt和.vbs等文件进行传播。而由于病毒的本身特性，其传播的途径也有多种：

a. 通过网页传播。由于病毒会感染网页文件，如果那些网站站长不小心将带毒的网页放到网站上，用户不了心浏览了这些网页就会被病毒感染了；

b. 通过局域网。当本地计算机设有可写权限的共享目录，或者访问局域网上带毒的计算机的时候就会感染病毒；对于Windows NT/2000系统，由于存在默认的管理用共享目录，因此，管理员的疏忽也可能会造成感染。

c. 通过电子邮件。如果发件人使用了带毒的网页文件作为信纸，或者信件中有带毒的网页文件，那么，只要收件人浏览了邮件，也会被感染病毒；

d. 通过移动介质，如软盘、移动硬盘、光盘等。由于病毒会生成folder.htt和desktop.ini，所以在打开移动介质或打开其文件夹的时候，就会激活并感染病毒。

7、为何在正常模式下无法干净清除这个病毒？

答：在安全模式下无法干净清除病毒一般是由以下几个方面的原因造成：

a. 感染病毒后，病毒在激活状态，一般杀毒软件和专门清除工具都无法清除内存中的病毒，导致杀毒不彻底；

b. 局域网上的病毒可能会通过文件夹共享重复感染电脑。

8、什么样的folder.htt和desktop.ini才是病毒？

答：并不是所有的folder.htt和desktop.ini都是病毒。一般正常情况下，%windir%\, %windir%\system\, %windir%\system32\, %windir%\web\ 和 Program Files\目录中都会有这两个文件。而且，使用记事本打开染毒的folder.htt，可以找到<BODY onload="vbscript:KJ_start()">和后面一大段的加密代码，这是正常文件中没有的。此外，作为目录配置文件的desktop.ini并不是病毒体，独立的这一文件并不会造成任何问题。如果这两个文件在杀毒后出现损坏，导致文件夹打开不正常，可以从别的干净的计算机上重新拷贝这两个文件。

9、我没有杀毒软件，哪里可以下载专门清除这个病毒的工具？

答：金山公司专门提供了相应的清除工具，下载地址如下：

ftp://www.iduba.net/download/othertools/ScanVBSKJ.EXE

10、这个病毒会感染什么操作系统？

答：这个病毒主要感染Win9x/Me/NT/2000操作系统，对Windows XP不起作用。

11、病毒生成的KJwall.gif是什么文件？

答：这个不是病毒文件，病毒运行时会在%windir%\web和%windir\system32目录下生成这个文件，这两个文件内容并不一样，前者是你系统没有染毒时候的%windir%\web\Folder.htt的备份文件，后者是%windir%\system32\desktop.ini的正常文件的备份。

12、为什么我跟据你说的方法清除病毒后，还会有杀毒软件报告有病毒？

答：这是由于某些杀毒程序在杀毒的时候，并没有完全的清除网页文件中的病毒代码：只是清除了病毒的运行主体，而没有清除文件中的病毒头代码，通常还会带有<BODY onload="vbscript:KJ_start()">一段代码，不过这段代码已经不起作用了，但由于反病毒软件的检查机制的不同，当检查到文件中带有这段代码的时候认为文件还带有病毒，但却无法清除，如瑞星、Mcafee。（注：如果你现在也使用了这两个软件，那当你浏览本文的时候可能也会报告有病毒，但千万别误会。^_^）

遇到这种情况，可以自行用记事本打开这些网页文件，将文件中那段代码删除。

不过，这段代码已经不起作用，但却可以对这个病毒起免疫作用，可以根据自己的情况选择是否保留该段代码。

作者: 小咕叽 时间: 2011-1-20 12:37

这种病毒没听过，中毒了肯定得先杀毒啊，杀完之后呢还是有类似的情况，看看是否考虑重装系统

作者: sx32156 时间: 2011-1-20 13:07

重启进入安全模式下全盘杀毒，或者从网上下载一个欢乐时光的专杀工具

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://154.84.5.217/bbs2/)